Lexique et notions de base liés aux usages VPN

Par Chloé Claessens, Spécialiste cybersécurité.

Mis à jour le 11 juin 2026 à 17h04

Suivez-nous Ajoutez-nous en favori Google

Protocole de tunneling, clé de chiffrement, DNS, obfuscation, kill switch, fingerprinting… Les VPN traînent derrière eux tout un vocabulaire technique, parfois obscur. Voici les notions à connaître pour mieux comprendre leur fonctionnement, leurs usages et leurs limites.

Voici quelques définitions qui devraient vous permettre de mieux appréhender l’univers du VPN, de comprendre comment fonctionnent ces services et de garder en mémoire les critères importants dans le choix d’une solution plutôt qu’une autre.

Comprendre le fonctionnement d’un VPN

Avant de parler réglages, serveurs ou fuites, il faut poser les bases. Ces notions expliquent comment un VPN crée son tunnel, chiffre le trafic et fait transiter la connexion par un serveur intermédiaire.

VPN

Un VPN (Virtual Private Network, ou réseau privé virtuel) est un dispositif permettant d’accéder à un réseau de manière sécurisée grâce à la création d’un tunnel virtuel.

Appliqué au web, le VPN virtualise un tunnel de connexion à l’aide d’un protocole spécifique (OpenVPN, WireGuard, IKEv2, L2TP/IPSec, etc.). Ce tunnel sert à relier un appareil connecté (ordinateur, smartphone) et le serveur VPN. Les données qui circulent via ce tunnel sont généralement chiffrées à la source pour préserver leur confidentialité en cas d’interception du trafic, puis déchiffrées sur le serveur avant d’être transmises aux plateformes web interrogées.

Utiliser un VPN comme relais de connexion améliore considérablement la confidentialité de l’internaute, à condition que le fournisseur VPN soit lui-même respectueux vis-à-vis des informations personnelles de ses utilisateurs (audits indépendants réguliers, non-journalisation des connexions, etc.). D’une part, l’adresse IP visible des sites et pages web visités n’est plus celle de l’utilisateur, mais celle du serveur VPN. D’autre part, suivant la localisation du (ou des) serveur(s) VPN, l’internaute est en mesure de dissimuler sa véritable position géographique, et donc de contourner censure et/ou blocage de contenus géolocalisés.

Bien que les usages domestiques et grand public du VPN incitent les internautes à se tourner vers des fournisseurs professionnels, le statut open source et la prise en charge native par les appareils connectés de certains protocoles permettent à tous de créer et configurer leur propre réseau VPN. Niveau d’expertise requis : élevé. Il faut néanmoins garder à l’esprit qu’un VPN artisanal n’offre pas les mêmes avantages qu’un service commercial (serveur unique, géolocalisation à la maison, bande passante limitée par la connexion domestique, risques d’erreurs de configuration, etc.). Il peut en revanche avoir toute sa place pour accéder à distance à son réseau local, à un NAS ou à des fichiers hébergés chez soi, sans exposer directement ces services sur Internet.

Fournisseur VPN

Le fournisseur VPN est l’entreprise à laquelle on souscrit un abonnement pour profiter d’un service VPN. Sont compris les serveurs et l’ensemble des technologies destinées à consolider la sécurité et l’anonymat : protocoles de tunnelisation fiables, chiffrements solides, maintenance et mises à jour.

Certains fournisseurs VPN proposent leurs services gratuitement. Méfiance ! Gérer un réseau de centaines, voire de milliers de serveurs à travers le monde entraîne forcément des coûts élevés de maintenance. Tous les VPN gratuits ne se financent pas nécessairement par l’exploitation des données personnelles, mais le modèle économique doit être clair. Offre financée par une formule payante, débit limité, nombre de serveurs restreint, quota mensuel ou fonctionnalités réduites, il faut pouvoir comprendre ce qui paie l’infrastructure. À l’inverse, un service gratuit, illimité, opaque sur ses revenus et vague sur sa politique de confidentialité doit immédiatement éveiller la méfiance.

Serveur(s) VPN

Un serveur VPN est un équipement relais par lequel passe le trafic Internet, à l’aller comme au retour. C’est son adresse IP qui sera visible des sites et pages web visités. Aujourd’hui, la plupart des services de VPN considérés comme fiables disposent de centaines, voire de milliers de serveurs dispersés à travers le monde. Les internautes peuvent alors sélectionner celui qui leur convient en fonction de sa géolocalisation, de sa charge, de ses performances ou de l’usage recherché.

Le nombre de serveurs donne une indication utile, mais il ne suffit pas à juger la qualité d’un réseau VPN. La capacité des machines, la bande passante disponible, la part de serveurs physiques ou virtuels, la transparence sur les localisations, la gestion de la charge et la présence éventuelle de serveurs 10 Gbit/s pèsent tout autant dans l’expérience finale. Un parc très fourni peut améliorer le choix et absorber davantage de trafic, mais il ne garantit pas à lui seul une connexion rapide, stable ou plus sûre.

Un vaste choix permet en effet de profiter d’une connexion plus performante lorsque les serveurs sont correctement dimensionnés (moins d’engorgements, alternatives possibles aux IP blacklistées), de brouiller les pistes plus efficacement (les plateformes en ligne identifient toujours partiellement les internautes, même après changement d’IP ; voir « Fingerprinting ») et de contourner les restrictions géographiques de très nombreux pays.

Tunnel

Un tunnel est un canal virtuel privé permettant d’acheminer des données confidentielles dans un réseau public en toute sécurité. En pratique, ce tunnel chiffré isole le trafic qui y transite du reste du trafic Internet.

Pour établir un tunnel sécurisé, il faut recourir à un protocole de tunneling.

Paquet

Un paquet est une unité de transmission contenant une partie des données qui circulent sur un réseau. Ainsi, lorsqu’un internaute formule une requête depuis son navigateur, le message est découpé en plusieurs paquets envoyés les uns après les autres au serveur cible. De cette manière, en cas de pertes de paquets, seuls ceux manquants seront rechargés.

En plus d’encapsuler une partie des données, un paquet contient un en-tête regroupant les informations et règles indispensables au transport et à la reconstitution du message (protocole, adresse des systèmes émetteur et récepteur, numérotation, taille, somme de contrôle, etc.).

Dans le cadre d’un VPN, le trafic est encapsulé dans de nouveaux paquets et la charge utile est chiffrée. Les intermédiaires ne peuvent donc pas lire le contenu protégé par le tunnel, mais certaines métadonnées de transport demeurent visibles. Votre fournisseur d’accès à Internet peut notamment voir que vous échangez des données avec l’adresse IP d’un serveur VPN, connaître la durée de la connexion et mesurer le volume de trafic.

Chiffrement

Le chiffrement est une méthode mathématique permettant de convertir des données lisibles en données codées. Dans le cadre d’Internet, le chiffrement revient à brouiller et verrouiller les données de trafic afin qu’elles soient connues de l’émetteur et du destinataire seulement. Attention, le chiffrement n’empêche pas l’interception du trafic par un tiers. Néanmoins, si l’algorithme utilisé est suffisamment solide, il lui sera impossible d’en exploiter le contenu.

Pour déchiffrer des données sécurisées par un algorithme de chiffrement, il faut une clé secrète. Cette clé agit comme un mot de passe extrêmement complexe. Dans le cadre d’une connexion VPN, elle n’est pas simplement envoyée à côté des données chiffrées. Elle est négociée au moment de l’établissement de la connexion, via un échange sécurisé destiné à éviter qu’un tiers puisse la récupérer et lire le trafic.

Dans le détail, il existe deux méthodes de chiffrement :

Le chiffrement symétrique : une même clé est utilisée pour chiffrer et déchiffrer les données. C’est ce que proposent les services de VPN actuels pour protéger les flux de données. Ce type de chiffrement est très rapide et peu gourmand en ressources, ce qui en fait une solution adaptée au traitement d’un grand volume de données. La taille de la clé participe à sa résistance face aux attaques de force brute. On privilégiera aujourd’hui des clés de 128 à 256 bits, soit 2^128 à 2^256 combinaisons ou valeurs possibles. Attention également à l’algorithme utilisé. L’AES reste une référence solide, tandis que ChaCha20, utilisé notamment par WireGuard, s’est imposé comme une autre option fiable et performante.

Le chiffrement asymétrique : la sécurisation des données repose sur une clé publique, connue de tous, et une clé privée, à ne communiquer sous aucun prétexte. Ces deux clés (différentes, d’où la notion d’asymétrie) sont couplées mathématiquement et déchiffrent ce que leur alter ego a précédemment chiffré. Cette méthode, beaucoup plus lente que le chiffrement symétrique, est généralement réservée aux phases d’authentification, de signature ou d’établissement sécurisé de la connexion.

Protocole

Le protocole VPN correspond à un ensemble de règles permettant d’établir une connexion sécurisée entre le client VPN et le serveur VPN. Il en existe plusieurs et tous ne se valent pas, tant en termes de sécurité que de rapidité.

Certains protocoles VPN sont liés à des solutions de chiffrement spécifiques. C’est notamment le cas d’OpenVPN, qui s’appuie sur la bibliothèque OpenSSL et peut utiliser différents algorithmes selon sa configuration. WireGuard, de son côté, repose sur une approche plus récente et plus compacte, avec ChaCha20 pour le chiffrement, Poly1305 pour l’authentification des messages et une base de code plus légère qu’OpenVPN.

D’autres protocoles comme L2TP ne proposent aucun chiffrement à eux seuls. C’est pourquoi il est bien souvent associé à IPSec, qui utilise lui-même des algorithmes de chiffrement permettant le transport sécurisé des données sur les réseaux IP (Internet).

Le choix du protocole est important lorsque l’on souscrit à un service VPN. Parmi les plus sécurisés et performants, on retiendra OpenVPN et WireGuard. IKEv2/IPSec demeure aussi une option solide, notamment sur mobile, en raison de sa stabilité lors des changements de réseau. En revanche, on oublie PPTP, certes rapide, mais vieillissant et vulnérable. Gare également à L2TP s’il n’est pas couplé à IPSec, et plus largement aux protocoles anciens que les fournisseurs conservent parfois pour des raisons de compatibilité plutôt que pour leurs qualités de sécurité.

Le cas particulier des protocoles maison

Certains fournisseurs VPN grand public ne se contentent plus des protocoles historiques et mettent en avant leurs propres solutions. NordLynx, Lightway, Stealth ou d’autres variantes propriétaires promettent selon les cas de meilleures performances, une connexion plus stable, une obfuscation plus efficace ou une consommation réduite sur mobile.

Ces protocoles ne sont pas à écarter par principe. Certains reposent sur des technologies connues et auditées, ou sur des bases open source. En revanche, plus un protocole s’éloigne des standards documentés, plus il faut regarder la transparence du fournisseur, la disponibilité du code, les audits indépendants et les explications techniques fournies. Une promesse de vitesse ou de confidentialité ne remplace pas une documentation sérieuse.

Bien configurer son VPN

Un VPN ne se limite pas à un bouton marche/arrêt. Selon les usages, certaines options permettent d’affiner la connexion, de limiter les coupures, de choisir les applications protégées ou d’ajouter une couche de discrétion.

Split tunneling

Le split tunneling permet de choisir quelles données emprunteront le tunnel VPN et quelles données circuleront sur le réseau public via une connexion standard. Autrement dit, il s’agit de sélectionner les applications se connectant à Internet via le VPN et celles se connectant à Internet sans intermédiaire. De cette manière, le trafic transitant via les serveurs du VPN est allégé et permet de conserver de bonnes performances de connexion.

Cette fonction sert aussi à éviter les conflits avec certains services qui bloquent les VPN, comme les applications bancaires, les plateformes de streaming, les imprimantes réseau, les outils de visioconférence ou les services professionnels qui exigent une adresse IP précise. Elle doit toutefois être configurée avec soin, car une application exclue du tunnel retrouve la connexion classique et expose donc l’adresse IP réelle.

Kill switch

Le Kill switch est un bouton d’arrêt d’urgence qui coupe automatiquement le trafic Internet lorsque la connexion au VPN est interrompue. Cette fonctionnalité est essentielle dans le cadre d’usages à risques, notamment en cas d’utilisation de réseaux Wi-Fi publics ou d’applications qui ne doivent pas reprendre la connexion hors tunnel.

Concrètement, le kill switch empêche l’appareil ou certaines applications de basculer sur la connexion classique si le VPN décroche. Sans lui, une coupure de quelques secondes peut suffire à exposer l’adresse IP réelle, les requêtes DNS ou une partie du trafic.

Multi-hop / Double VPN

Le multi-hop, parfois appelé double VPN, fait passer le trafic par deux serveurs VPN successifs au lieu d’un seul. Le premier serveur voit l’adresse IP réelle de l’utilisateur, mais pas la destination finale. Le second serveur voit la destination finale, mais pas l’adresse IP réelle.

Cette configuration peut renforcer la séparation entre l’utilisateur et le service consulté, au prix de performances souvent plus faibles. Elle s’adresse surtout aux profils qui veulent ajouter une couche de cloisonnement, pas aux usages du quotidien pour lesquels un serveur VPN classique, bien choisi et bien configuré, suffit généralement.

IP dédiée / IP partagée

Dans la majorité des cas, les VPN proposent à leurs utilisateurs des adresses IP partagées : tous les internautes se connectant à un même serveur se verront attribuer la même adresse IP. De la sorte, le trafic individuel est noyé dans la masse. Il est alors plus difficile pour les plateformes en ligne de dresser un profil précis de leurs visiteurs à partir de leur adresse IP d’emprunt. Toutefois, les adresses IP partagées présentent également des inconvénients : un mauvais voisinage (l’internaute pâtit forcément des comportements en ligne de ceux qui partagent son IP), une inscription sur liste noire (certains services empêchent la connexion d’IP spécifiques à leurs serveurs), des contrôles d’authentification supplémentaires (captcha).

En sus de cette fonction de base, certains services VPN proposent de payer pour une IP dédiée. L’utilisateur se voit attribuer une IP unique et statique qui lui octroie une réputation irréprochable sur le web et facilite la connexion aux services sécurisés. Mais l’IP dédiée présente elle aussi des inconvénients puisque son caractère immuable et individuel en fait un élément d’identification de l’utilisateur pour les plateformes en ligne. Bien que cette IP diffère de la véritable adresse de l’internaute, elle n’empêche pas le tracking et la publicité ciblée.

Serveurs RAM

Certains fournisseurs VPN mettent en avant des serveurs fonctionnant uniquement sur mémoire vive, souvent présentés sous les appellations RAM-only ou diskless. L’idée est de limiter la persistance des données sur les machines. Au redémarrage, les informations présentes en mémoire disparaissent, ce qui réduit les risques liés à une saisie de serveur, à une mauvaise configuration ou à un accès non autorisé prolongé.

Cette architecture constitue un bon signal, mais elle ne doit pas être traitée comme une garantie absolue. Elle ne remplace ni une politique de non-journalisation sérieuse, ni des audits indépendants, ni une gestion rigoureuse de l’infrastructure. Un serveur RAM mal administré ou un fournisseur opaque ne devient pas fiable par le seul effet d’une fiche marketing bien tournée.

Confidentialité, traces et fuites de données

Le VPN masque une partie des informations visibles sur le réseau, mais il ne fait pas disparaître toutes les traces. Pour comprendre ses limites, il faut distinguer ce que voient le fournisseur d’accès, les sites consultés, les résolveurs DNS et les outils de tracking.

Fournisseur d’accès à Internet

Le fournisseur d’accès à Internet (FAI) est l’organisme qui raccorde les internautes au réseau Internet. À cet effet, il leur attribue un numéro d’identification et peut conserver un certain nombre de métadonnées liées à la connexion, comme les dates et heures de connexion, la durée des sessions, l’adresse IP attribuée, l’équipement utilisé ou encore la quantité de données échangées. Avec HTTPS, il ne lit pas le contenu des pages consultées et n’accède pas forcément aux URL complètes. Il peut en revanche voir des adresses IP de destination, des volumes, des horaires et, selon la configuration, certaines requêtes DNS.

En théorie, le FAI n’a pas le droit de recouper ni de communiquer ces informations, sauf ordre de justice ou de police administrative dans le cadre d’une enquête. Dans le cadre de la loi, certaines données d’identification et métadonnées techniques peuvent être conservées pendant des durées encadrées, notamment un an pour plusieurs catégories de données liées à l’identification et à la connexion.

Le recours à un VPN ne permet pas de se cacher entièrement du FAI. L’opérateur sait que l’utilisateur se connecte à une IP (le serveur du VPN), connaît la durée de la connexion et journalise la quantité de données échangées. La parade sert exclusivement à masquer les métadonnées de connexion générées après le VPN, soit le détail des pages visitées, les durées de visites, la quantité de données échangées sur chaque plateforme, etc. En clair, tout ce qu’intercepte le FAI semble uniquement provenir de l’IP du VPN.

Adresse IP

L’adresse IP est un numéro d’identification attribué par le FAI à un équipement connecté à Internet. Ce numéro peut être statique (fixe) ou dynamique (fréquence de changement variable suivant les FAI).

Du côté des FAI, l’adresse IP identifie l’utilisateur en tant que client ayant souscrit auprès d’un opérateur (nom, coordonnées). Les services et sites auxquels l’internaute se connecte accèdent également à l’adresse IP, mais ne peuvent en tirer que des informations techniques (estimation de la position géographique et nom du FAI). Il leur est en revanche possible de tracer les activités en ligne liées aux adresses IP et de dresser un profil utilisateur plutôt précis de leurs visiteurs (durée des visites, nombre de pages vues, nombre de connexions au site, URL des pages consultées). Dans cette configuration, l’usage d’un VPN permet de masquer sa véritable adresse IP auprès des sites web interrogés.

Aujourd’hui, les adresses IP sont réparties entre deux versions du protocole IP, la version 4 et la version 6. Les adresses IPv4 sont notées sous la forme de quatre nombres entiers séparés par des points (plages comprises entre 0.0.0.0 et 255.255.255.255), et codées sur 32 bits (2^32 combinaisons possibles, soit un peu plus de 4 milliards).

On considère qu’il n’existe plus assez d’adresses IPv4 pour répondre aux connexions Internet simultanées dans le monde. D’où le déploiement des IPv6, codées sur 128 bits (2^128 combinaisons possibles, soit 34×10^37 environ).

IPv4 et IPv6 n’étant pas compatibles, des solutions provisoires comme l’attribution des deux types d’adresses aux serveurs ont été mises en place.

DNS

Un serveur DNS (Domain Name System) s’apparente à un annuaire nécessaire à la traduction des noms de domaine en adresses IP. Dans un réseau IP (Internet), tous les équipements connectés / domaines sont identifiés à l’aide d’une adresse IP. Lorsque l’on saisit le nom de domaine d’un site web dans la barre d’URL, la connexion transite via le DNS qui traduit le domaine (langage humain) en adresse IP, avant de parvenir au serveur interrogé. C’est ce qu’on appelle la résolution de domaine. Ce système est indispensable : sans DNS, il nous faudrait obligatoirement saisir les adresses IPv4 et IPv6 des sites auxquels on souhaiterait accéder.

Certains fournisseurs VPN exploitent leurs propres serveurs DNS afin d’éviter que les requêtes de résolution transitent par le fournisseur d’accès à Internet ou par un résolveur tiers non choisi. D’autres permettent aussi d’utiliser un DNS personnalisé, voire un DNS chiffré selon les plateformes. Dans tous les cas, le DNS fait partie des points à vérifier lorsque l’on teste la confidentialité réelle d’une connexion VPN.

Fuite DNS

Une fuite DNS est une anomalie dans le processus de tunnelisation mis en place par le VPN. Malgré l’établissement d’une connexion sécurisée, les requêtes DNS échappent au tunnel virtuel, devenant accessibles aux opérateurs de services DNS (FAI le plus souvent). En d’autres termes, le VPN n’est plus qu’à moitié fonctionnel puisque ces opérateurs peuvent désormais savoir quels sites sont visités par l’internaute.

Pour contrer ces failles de sécurité, la plupart des services VPN disposent de leurs propres serveurs DNS et proposent des options de tests pour vérifier que la connexion VPN n’est pas redirigée vers des DNS externes.

Fuite WebRTC

WebRTC est une technologie intégrée aux navigateurs pour faciliter les communications en temps réel, comme les appels audio, vidéo ou le partage de données entre deux navigateurs. Mal configurée, elle peut révéler une adresse IP locale ou publique, même lorsqu’un VPN est activé. C'est logiquement ce qu'on appelle une fuite WebRTC.

Les navigateurs modernes et les extensions de sécurité limitent mieux ce risque qu’auparavant, mais il n’a pas disparu. Certains fournisseurs VPN intègrent donc une protection WebRTC dans leurs extensions navigateur, tandis que d’autres recommandent de vérifier ce point dans les paramètres du navigateur ou via un test de fuite.

Fuite IPv6

Une fuite IPv6 se produit lorsque le VPN protège correctement le trafic IPv4, mais laisse passer une partie du trafic IPv6 hors tunnel. Le problème concerne surtout les services qui ne prennent pas en charge IPv6 ou qui se contentent de le désactiver sans toujours le faire proprement selon les systèmes.

Pour l’utilisateur, le risque est simple à comprendre. Si votre réseau attribue une adresse IPv6 à votre appareil et que le VPN ne la gère pas correctement, un site ou un service peut obtenir une information qui échappe au tunnel. Les bons fournisseurs doivent donc prendre en charge IPv6 de bout en bout, ou le bloquer proprement pour éviter toute exposition involontaire.

Fingerprinting

Le fingerprinting est une technique de tracking mise en place par certains services web et qui consiste à récupérer l’empreinte digitale d’un navigateur pour établir un profil de l’internaute, même si son adresse IP est masquée et que les cookies sont désactivés.

Parmi les informations délivrées par le navigateur, on peut citer le numéro de version, les plugins installés, la langue utilisée, le fuseau horaire, mais également le système d’exploitation installé sur l’appareil connecté à Internet, les polices de caractères installées, les équipements détectés (micro, webcam, accéléromètre, haut-parleurs, gyroscope, etc.). L’ensemble de toutes ces informations fait qu’il n’existe pas une empreinte de navigateur identique à une autre, mettant à mal la notion d’anonymat en ligne.

Il n’existe pas de solution simple, efficace et durable pour empêcher totalement le fingerprinting. On peut tout de même changer certains comportements de navigation pour s’en prémunir au maximum (utiliser un navigateur populaire, limiter les extensions, éviter les configurations trop atypiques, passer par Tor Browser lorsque le besoin d’anonymat est prioritaire, etc.). Installer de nombreuses extensions de protection peut paradoxalement produire l’effet inverse, car une configuration trop rare rend le navigateur plus facile à reconnaître.

Hotspot

Un hotspot est un point d’accès au réseau Wi-Fi. Il peut être gratuit (accès public ouvert à tous) ou payant (accès public réservé aux abonnés d’un FAI, par exemple). Dans tous les cas, il convient de sécuriser sa connexion lorsque l’on se connecte à un réseau Wi-Fi public afin d’éviter toute tentative de piratage.

La généralisation du HTTPS protège déjà le contenu de la majorité des échanges web, mais elle ne règle pas tout. Un réseau public peut exposer des métadonnées, imposer un portail captif douteux, faciliter des attaques locales ou piéger les appareils mal configurés. Un VPN permet de chiffrer la connexion entre l’appareil et le serveur VPN, ce qui limite fortement ce qu’un administrateur de réseau ou un attaquant situé sur le même Wi-Fi peut observer.

Restrictions d’accès et trafic bloqué

Les VPN servent aussi à modifier l’adresse IP visible, ce qui peut aider à franchir certains blocages géographiques ou restrictions réseau. Mais tous les blocages ne relèvent pas des mêmes règles, surtout lorsqu’il est question de droits audiovisuels, de censure ou de filtrage par pare-feu.

Géoblocage

Le géoblocage consiste à restreindre l’accès à un contenu ou à un service en fonction de la localisation supposée de l’internaute, le plus souvent déduite de son adresse IP. Dans l’Union européenne, le géoblocage injustifié est interdit depuis 2018 pour une partie des biens et services en ligne, afin d’éviter qu’un achat soit refusé ou traité différemment selon le pays de résidence.

Cette règle ne vaut toutefois pas pour tous les contenus numériques. Les services audiovisuels soumis à des droits territoriaux, comme la vidéo à la demande ou le streaming sportif, peuvent encore proposer des catalogues différents selon les pays. La portabilité européenne permet bien de retrouver son abonnement lors d’un déplacement temporaire dans un autre État membre, mais elle ne donne pas accès à l’ensemble des catalogues disponibles en Europe.

Cybercensure

La cybercensure, ou censure d'Internet, est une forme de géoblocage destiné à empêcher les internautes d’un pays, résidents ou en transit, d'accéder à des services et contenus étrangers à des fins politiques et/ou idéologiques.

Pare-feu

Le pare-feu est un logiciel jouant le rôle de filtre entre un ordinateur et un réseau externe. Selon les règles auxquelles il répond, il peut analyser le trafic entrant (Internet vers PC) et/ou sortant (PC vers Internet). Ces mêmes règles lui permettent de bloquer les connexions préalablement spécifiées comme interdites, empêchant les internautes d’accéder à certains sites et services.

Une règle de pare-feu doit spécifier le trafic et les ports utilisés par ce trafic. Ainsi, un pare-feu configuré pour bloquer la navigation web sur le port 80 empêchera l’internaute d’accéder aux sites HTTP. Un pare-feu peut également bloquer une connexion VPN si le protocole de tunneling utilise un port non autorisé. D’où l’importance de bien choisir son protocole VPN.

Le pare-feu intervient aussi dans certaines fonctions de kill switch. Plutôt que de se contenter de fermer l’application VPN, les meilleurs services créent des règles système destinées à bloquer le trafic hors tunnel si la connexion VPN décroche.

Obfuscation

L’obfuscation (parfois offuscation) est le fait de dissimuler du trafic chiffré dans du trafic standard. Dans le cadre d’une utilisation VPN, cette technique consiste à faire passer le trafic VPN pour du trafic non-VPN, permettant ainsi aux internautes d’utiliser un VPN dans les pays où ce type de service est interdit, de continuer à accéder à des sites et plateformes blacklistant les VPN, ou encore de contourner certains pare-feux.

Les fournisseurs l’intègrent sous des noms variés selon les protocoles et les applications. On peut ainsi croiser des serveurs obfusqués, des modes furtifs ou des protocoles maison pensés pour mieux se fondre dans le trafic HTTPS classique. L’efficacité dépend toutefois du réseau, du pays, du pare-feu à contourner et de la capacité du fournisseur à adapter ses outils.

Évaluer la confiance accordée au fournisseur

Choisir un VPN revient aussi à faire confiance à l’entreprise qui exploite les serveurs. Politique de non-journalisation, juridiction, audits et architecture technique doivent donc être lus comme des indices, jamais comme des garanties prises isolément.

No log policy

Pour rediriger la connexion des internautes vers les serveurs interrogés, le VPN en déchiffre les données sur ses propres serveurs. Il convient alors de s’assurer que le service n’enregistre aucune trace de la connexion. Dans le cas contraire, ces journaux de connexions pourraient compromettre la sécurité des informations personnelles et la confidentialité de l’internaute (saisie des serveurs, piratage, revente des données par le fournisseur VPN à des tiers). Un VPN de confiance doit donc appliquer une politique de non-journalisation (no log policy en anglais).

De nombreux services tentent de montrer patte blanche à l’aide d’audits indépendants fréquents. Dans les faits, il est très compliqué de vérifier la bonne foi des fournisseurs VPN qui demeurent des entreprises privées. Il faut donc croiser plusieurs signaux, comme la fréquence des audits, leur périmètre, les rapports de transparence, l’architecture des serveurs, les incidents passés, la juridiction, les décisions de justice éventuellement documentées et la clarté de la politique de confidentialité. La réputation ne suffit pas, mais elle fait partie de l’équation.

Five / Nine / Fourteen Eyes

Les Five Eyes (Cinq Yeux) désignent l’alliance des services de renseignement de cinq pays que sont les États-Unis, le Canada, le Royaume-Uni, l’Australie et la Nouvelle-Zélande. Initiée durant la Seconde Guerre mondiale, cette alliance visait à surveiller et partager les informations concernant les communications de l’URSS et du Bloc de l’Est. Toujours actifs, les Five Eyes ont défrayé la chronique en 2013 avec les révélations d’Edward Snowden concernant la surveillance de masse des citoyens américains, britanniques, australiens, canadiens et néo-zélandais.

Par extension, les Nine Eyes désignent l’alliance des Five Eyes agrémentée du Danemark, de la Norvège, des Pays-Bas et de la France. Les objectifs restent inchangés : mettre en commun des informations exploitables par les différents services de renseignement propres à chaque pays.

Les Fourteen Eyes désignent les Nine Eyes, la Belgique, l’Allemagne, l’Italie, l’Espagne et la Suède.

Ce qu’un VPN ne fait pas

Un VPN protège une partie précise de la connexion, mais il ne remplace pas les autres réflexes de sécurité. Il ne bloque pas automatiquement tous les malwares, ne corrige pas un mot de passe faible, ne protège pas un compte déjà compromis, ne supprime pas les cookies, ne neutralise pas tous les traceurs et ne rend pas invisible auprès des plateformes sur lesquelles vous êtes connecté.

Il faut donc le voir comme une couche de confidentialité et de protection réseau, utile pour masquer son adresse IP, chiffrer le trafic entre l’appareil et le serveur VPN, limiter l’exposition sur les réseaux publics et contourner certains blocages. Pour le reste, gestionnaire de mots de passe, authentification à deux facteurs, mises à jour, réglages du navigateur et vigilance face au phishing gardent toute leur place.

[Article mis à jour le jeudi 11 juin 2026]

À découvrir

Meilleur VPN : le comparatif en juin 2026

09 juin 2026 à 11h00

Comparatifs services

Par Chloé Claessens

Spécialiste cybersécurité

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Poster mon commentaire

Commentaires (6)

Rumpelstiltskin

J’ai un soucis avec mon vpn

J’ai essayé plusieurs navigateur c’est pareil

Je dl un fichier de 40go ( exemple ) avec firefox , téléchargement terminé , ok, mais la somme md5 n’est jamais le même ! Un truc de fou , car le téléchargement termine correctement !

J’ai même essayé de réinstaller Windows c’est pareil

Sans vpn tout ce passe bien , la somme est correct ( et donc le fichier )

Oldtimer

Quel VPN utilises-tu ? Parce que là ça devient inquiétant

Parce si j’ai bien compris, le machin MD5 c’est pour contrôler que le fichier téléchargé est exactement le même que celui mis à disposition sur le serveur et qu’il n’a pas été modifié, alors pourquoi un vpn modifierait il le fichier ?!

Utilises-tu cyber👻 ?

juju251

C’est bien cela.

C’est bizarre en effet.
Tu as ce problème sur chaque téléchargement que tu fais lorsque tu actives ton VPN ?

Quelque soit la taille du fichier téléchargé ?

Quel VPN utilises-tu ?

P.S. : Une fois que tu répondras à mon post, je transférerai les différents messages dans un nouveau sujet du forum (et t’enverrai le lien en MP) afin que l’on ne parte pas complétement hors sujet dans les commentaires liés à cet article.

Rumpelstiltskin

Il s’agit de Fastest VPN

jvachez

Comment on fait du Split Tunneling ?

Car pour le moment la seule façon que j’ai trouvé c’est de mettre le VPN dans une VM pour pas que les mises à jour automatiques Windows, Windows Store, Adobe Creative Cloud, Steam, Epic Games, Ubi Connect, Battle.net etc… se retrouvent sur le VPN de l’enteprise.

Il faudrait dans l’idéal que seul le bureau à distance passe dans le VPN.

dFxed

Il suffit de router correctement le traffic @jvachez .
Par exemple, si le réseau de l’entreprise est en 192.168.100.x, ou au moins les serveurs rdp, il suffit de router uniquement le traffic 192.168.100.x dans le vpn et de laisser la passerelle standard en passerelle par défaut.