Vous pensiez qu’un PC relié au partage de connexion d’un smartphone sous VPN profitait automatiquement du même tunnel chiffré ? Raté, et même plutôt deux fois qu’une. À quelques (très) rares exceptions près, Android ne fonctionne pas comme ça.
La combine paraît imparable. On active son VPN sur son smartphone, on lance le partage de connexion, puis on connecte son PC au hotspot mobile dans le train, à l’hôtel, dans une location ou partout où le Wi-Fi inspire moyennement confiance. Logiquement, le téléphone devrait servir de relais sécurisé, et l’appareil relié à son point d’accès profiter du même tunnel chiffré. Sauf qu’en réalité, Android ne fonctionne pas tout à fait ainsi. Le VPN prend bien en charge le trafic du smartphone, mais pas nécessairement celui de l’ordinateur, qui peut être relayé par le téléphone vers le réseau 4G ou 5G de l’opérateur, sans passer par le tunnel actif sur Android. Oups.
Un VPN ne transforme pas un smartphone en routeur VPN
Mais comment diable est-ce possible ? Pour comprendre ce qui se joue derrière cette fausse évidence, il faut revenir aux bases. Quand vous activez un VPN sur votre smartphone, l’application établit un tunnel sécurisé entre le téléphone et l’un des serveurs du fournisseur. Les requêtes envoyées par les applications installées sur le mobile passent alors par ce tunnel, selon les réglages du service, du système et, le cas échéant, du split tunneling.
C’est ce qui permet de chiffrer le trafic entre le mobile et le serveur VPN, de masquer l’adresse IP publique du smartphone derrière celle du serveur sélectionné et, selon les services, de profiter de protections additionnelles, comme le blocage de domaines malveillants, de traqueurs ou de publicités.
Or, avec le partage de connexion, le smartphone ne traite plus uniquement les requêtes de ses propres applications. Il reçoit aussi celles d’un appareil extérieur, qu’il se charge de relayer sur Internet par le biais de son accès mobile. La distinction peut sembler triviale, mais elle modifie la manière dont le trafic est pris en charge.
Sur Android, les applications VPN s’appuient sur un service dédié, qui leur permet de créer une interface réseau virtuelle dans le système. C’est par cette interface que le trafic généré par le téléphone peut être redirigé vers le serveur VPN.
A contrario, le trafic de l’appareil relié au hotspot arrive, lui, par l’interface Wi-Fi du point d’accès et, faute de redirection explicite vers l’interface VPN, est aiguillé directement vers le réseau 4G ou 5G de l’opérateur.
De fait, l’icône VPN affichée sur le smartphone confirme seulement que le trafic du mobile peut utiliser le tunnel. Elle ne dit rien, à elle seule, du chemin emprunté par le trafic de l’appareil relié au point d’accès mobile.
À noter que selon les versions d’Android, les surcouches constructeur et quelques réglages très spécifiques, il peut exister de rares exceptions à la règle, notamment des options de type « autoriser les clients du hotspot à utiliser le VPN actif ». Mais elles ne constituent pas la norme, et dans l’immense majorité des cas, il ne faudra pas compter dessus.
Peut-on forcer le partage de connexion à passer par le VPN ?
Oui, mais pas sans mettre les mains dans le cambouis. À ce stade, on a compris le problème. Le hotspot mobile fonctionne très bien pour partager un accès à Internet, mais il ne transforme pas, par défaut, le smartphone en passerelle VPN pour les appareils qui s’y connectent. Pour forcer le passage par le VPN, il faudrait donc intervenir sur le trajet emprunté par le trafic partagé. Et là, on ne parle plus de petite case à cocher dans les paramètres réseau.
La première piste consiste à utiliser un smartphone Android rooté. Avec des droits plus étendus sur le système, une application open source comme VPN Hotspot peut modifier les règles réseau et forcer le trafic du hotspot à emprunter le VPN. La méthode peut fonctionner, mais elle n’a rien d’une solution grand public. Elle suppose de savoir ce que l’on fait lors d’une installation hors Play Store, dépend de réglages bas niveau d’Android et peut se heurter aux choix du constructeur ou aux évolutions du système. Par ailleurs, le root complique les mises à jour, peut bloquer des applications sensibles, notamment bancaires, et contourne une partie du modèle de sécurité prévu par le fabricant. Bref, à ne pas mettre entre toutes les mains.
Autre possibilité, passer par une application ou une configuration fondée sur un proxy. Dans ce cas, le téléphone ne se contente plus de partager son accès mobile. Il sert aussi d’intermédiaire, et l’appareil relié au hotspot doit être configuré pour envoyer son trafic vers ce proxy, qui le redirige ensuite vers le VPN. C’est notamment l’approche explorée par des travaux académiques expérimentaux comme ShieldShare, qui cherchent à contourner les limites du hotspot Android sans avoir à rooter son appareil. Mais là encore, on ne parle pas d’un simple interrupteur à activer. Il faut récupérer le code, compiler le projet, installer l’application, puis configurer les appareils clients, vérifier quels types de trafic sont pris en charge et accepter une solution moins transparente qu’une application VPN classique.
Troisième option, beaucoup plus propre, le routeur de voyage compatible VPN. Le smartphone fournit alors l’accès Internet, tandis que le routeur crée le tunnel VPN pour les appareils qu’on y connecte. On revient ici dans un parcours plus balisé, mais pas totalement sans contraintes non plus. Il faut se procurer un boîtier supplémentaire, puis le configurer à l’aide des fichiers OpenVPN ou WireGuard fournis par le fournisseur VPN, ce qui requiert quand même un minimum d’aisance technique.
Pour la majorité des usages, la solution la plus fiable reste donc la plus simple. Si vous voulez protéger un PC, installez l’application VPN sur le PC. Ensuite seulement, connectez-vous au partage de connexion mobile.
Comment savoir si le partage de connexion passe vraiment par le VPN ?
Le test doit être lancé depuis l’appareil que vous voulez protéger, pas depuis le smartphone. Activez le VPN sur le mobile, lancez le partage de connexion, connectez le PC au hotspot, puis ouvrez depuis ce PC un service de vérification d’adresse IP. Si l’adresse affichée correspond au serveur VPN choisi, la connexion de l’ordinateur passe bien par le VPN. Si elle renvoie vers votre opérateur mobile, vers une IP différente de celle du serveur VPN ou vers une localisation cohérente avec votre connexion mobile, il y a de fortes chances que le trafic de l’ordinateur passe directement par le réseau de l’opérateur.
Vous pouvez compléter avec un test DNS, toujours depuis le PC. Si les serveurs affichés correspondent à ceux du fournisseur VPN ou à la configuration attendue, tout va bien. S’ils renvoient vers l’opérateur mobile ou vers un résolveur inattendu, le partage de connexion ne protège pas l’ordinateur comme vous l’imaginiez.
