Un VPN promet de protéger vos données et votre identité en ligne. Mais si le tunnel chiffré lâche soudainement, que se passe-t-il ? Sans protection adaptée, votre trafic peut redevenir visible.
Même les meilleurs VPN peuvent subir une interruption momentanée. Un serveur qui décroche, une connexion instable, un changement de réseau, et le tunnel sécurisé saute. Mais le vrai risque vient de ce qui suit. Car si le trafic reprend sans passer par l’interface VPN, il redevient lisible, et votre adresse IP réelle peut être exposée. Le kill switch, ou coupe-circuit réseau, sert justement à empêcher ces situations. À condition de bien comprendre comment il fonctionne, et ce qu’il protège vraiment.
Une protection VPN qui n’est pas toujours continue
Un VPN fonctionne en créant un tunnel chiffré entre votre appareil et un serveur distant. Ce tunnel masque votre adresse IP réelle et redirige l’ensemble du trafic réseau à travers un serveur distant. Le chiffrement est appliqué localement avant l’envoi, puis les données sont transmises via ce canal sécurisé jusqu’à leur destination. Ce mécanisme garantit un haut niveau de confidentialité, tant que le tunnel reste intact.
Mais ce lien est plus fragile qu’on ne le croit. Une microcoupure de connexion, un changement d’interface réseau (par exemple lors d’un basculement entre Wi-Fi et 4G), une mise en veille, ou un problème sur le serveur VPN peuvent suffire à interrompre la session. Et dans ce cas, le système peut rétablir automatiquement la route par défaut via l’interface réseau physique, sauf si une protection comme le kill switch a été mise en place. Vous continuez de naviguer sans alerte, mais avec votre véritable adresse IP et un trafic non protégé.
Le kill switch est donc censé empêcher ce scénario. Lorsqu’il est activé, il surveille l’état de la connexion VPN en temps réel. Si elle tombe, il bloque immédiatement la possibilité de communiquer avec Internet en dehors du tunnel.
Comment agit un kill switch en pratique
Pour bien saisir la manière dont fonctionne le kill switch, il faut revenir sur la manière dont le VPN agit sur le système.
Techniquement parlant, le fonctionnement d’un réseau privé virtuel repose sur la création d’une interface réseau virtuelle, comme tun0 (pour les VPN IP) ou tap0 (pour les VPN Ethernet simulés). C’est elle qui prend le relais de la carte réseau physique, et qui redirige l’ensemble du trafic vers un serveur distant, en le chiffrant. Tant que le tunnel est actif, tout le trafic doit transiter par ce canal sécurisé, sans exception.
Mais en cas de coupure – qu’elle soit due à une instabilité de la connexion, un changement de serveur ou une interruption logicielle – l’interface VPN cesse de fonctionner. Selon la configuration du système, le trafic peut alors reprendre par défaut via la carte réseau physique, ou être temporairement bloqué, le temps que la session se rétablisse. Dans tous les cas, si aucun mécanisme de protection n’est activé, la reprise peut se s'effectuer sans alerte, sans chiffrement, avec votre adresse IP réelle.
C’est précisément ce basculement silencieux que le kill switch cherche à bloquer. Selon les implémentation, lorsqu’il est activé, il surveille les interfaces, les routes réseau ou la session VPN, et bloque immédiatement toute tentative de communication qui contournerait cette interface, qu'il s'agisse de redirections implicites ou explicites. Il ne s’agit pas simplement de "couper Internet", mais d’empêcher toute redirection automatique hors tunnel, que ce soit vers le réseau local ou vers Internet.
Pare-feu, règles de routage, et blocage intelligent
Selon les VPN, les méthodes de mise en œuvre du kill switch varient. Les plus simples s’appuient sur des règles de pare-feu, qui bloquent tout trafic sortant si l’interface VPN n’est plus disponible. D’autres utilisent des mécanismes de contrôle de flux plus poussés, capables d’analyser les paquets sortants pour appliquer des politiques réseau plus fines, en fonction de leur destination, du protocole utilisé ou de l’application émettrice. Certains services configurent des règles explicites pour que seule l’interface VPN soit autorisée à acheminer le trafic, et interdisent toute autre route dans la table de routage.
Les solutions les plus avancées utilisent parfois le Policy-Based Routing (PBR) ou une table de routage dédiée pour forcer certains flux à passer par le tunnel. Cela dit, tous les VPN n’en font pas autant. Sur mobile notamment, beaucoup se contentent de méthodes plus basiques, voire simulées, qui ne garantissent pas toujours un blocage aussi strict en cas de coupure.
Dans certains cas, on peut aussi configurer un kill switch sélectif, souvent combiné à une fonction de split tunneling inverse, qui ne bloque que certaines applications, ou qui autorise le trafic local tout en neutralisant les flux externes. Mais à la base, le principe reste le même : empêcher que des données ne circulent involontairement en dehors du tunnel.
Ce que protège (et ne protège pas) le kill switch
Le kill switch agit en dernier recours, quand le VPN ne peut plus assurer la continuité du chiffrement. Il protège donc des fuites accidentelles de données, mais seulement dans certaines limites.
Il ne protège pas si le VPN est déconnecté volontairement. Il n’intervient pas sur les données déjà exposées, ni sur celles en transit au moment de la coupure. Il n’empêche pas non plus une application mal configurée d’ignorer le tunnel. Il ne protège pas contre les fuites DNS si le système utilise un résolveur en dehors du tunnel, sauf si le kill switch bloque explicitement tout trafic DNS non chiffré. Et selon les systèmes d’exploitation, son efficacité peut varier, surtout en l’absence de droits suffisants pour bloquer le trafic système.
Sur mobile, son efficacité dépend aussi fortement du système. Sous Android, le kill switch natif est disponible à partir de la version 8 (Oreo), mais son comportement dépend des permissions accordées. Sous iOS, les VPN doivent parfois recourir à des profils spécifiques pour simuler un kill switch fiable.
Il faut donc le voir comme une ceinture de sécurité, pas comme une garantie absolue. Utile, indispensable même dans certains contextes, mais qui fonctionne mieux quand le reste du système suit.
Le kill switch, une fonction désormais incontournable
La majorité des VPN sérieux intègrent désormais le kill switch comme élément standard de sécurité. ExpressVPN l’a baptisé "Network Lock", NordVPN propose une activation globale ou application par application selon la plateforme, CyberGhost, Surfshark et Proton VPN adoptent aussi des stratégies proches, et NymVPN empêche carrément sa désactivation.
Il est recommandé de vérifier que cette option est bien activée sur chaque appareil, car certains services appliquent les réglages localement. Une activation sur ordinateur ne garantit pas qu’elle soit en place sur mobile. Il est aussi conseillé de tester régulièrement le comportement du kill switch, par exemple en simulant une coupure réseau, pour s’assurer de son bon fonctionnement.
Les meilleurs VPN avec un kill switch
- storage11000 serveurs
- language100 pays couverts
- lan7 connexions simultanées
- moodEssai gratuit 45 jours
- thumb_upAvantage : le moins cher
CyberGhost regroupe toutes les qualités que l'on attend d'un VPN grand public, tant en matière de performances que de sécurité et de fonctionnalités. Son interface graphique moderne et intuitive en fait l'un des services VPN les plus agréables à utiliser au quotidien. Le déploiement de serveurs NoSpy renforce ses options de sécurité déjà convaincantes. On apprécie sa très bonne prise en charge des plateformes de streaming et sa capacité à contourner les géorestrictions les plus coriaces comme celles de Netflix et Amazon Prime Video.
- Interface graphique fluide
- Performances et rapport qualité-prix
- Serveurs optimisés pour le streaming et le P2P
- Couverture multiplateforme
- Tarif du forfait mensuel élevé
- Application iOS un peu pauvre en fonctionnalités
- storage13626 serveurs
- language122 pays couverts
- lan10 connexions simultanées
- moodEssai gratuit 30 jours
- thumb_upAvantage : le plus sécurisé
Proton VPN constitue l'un des fournisseurs VPN qui a le plus évolué au cours des derniers mois. Affichant de l'une des plus belles interfaces du marché, Proton VPN intègre désormais un accélérateur de VPN qui augmente jusqu'à 400 % les vitesses de connexion. Réputé pour son haut niveau de sécurité et de confidentialité, ce service, qui s'adressait essentiellement aux journalistes et aux dissidents par le passé, possède aujourd'hui tous les atouts pour séduire le grand public.
- Le plus haut niveau de sécurité
- Interface moderne et intuitive
- Serveurs dédiés au streaming/P2P
- Protocole Stealth (fonctionne en Russie)
- Vitesse de connexion optimisée
- Pas de possibilité d'ajouter rapidement des serveurs en favoris
- storage3000 serveurs
- language105 pays couverts
- lan8 connexions simultanées
- moodEssai gratuit 30 jours
- thumb_upAvantage : Gest. mots de passe
ExpressVPN propose un niveau de service de premier ordre. Difficile de le prendre en défaut, tant concernant sa politique de confidentialité qu'au sujet des performances et de la sécurité de ses serveurs, la qualité de ses applications ou encore sa couverture multiplateforme. Sa capacité à débloquer les sites de streaming à l'étranger, dont Netflix et Amazon Prime Video, en font un compagnon de voyage idéal, d'autant qu'il affiche des vitesses de connexion impressionnantes et des latences minimes, quel que soit le serveur sélectionné. Seule ombre au tableau : des prix élevés qui pourraient pousser les internautes à se tourner vers des offres plus économiques et de qualité équivalente, comme CyberGhost ou NordVPN.
- Vitesses de connexion très élevées et linéaires
- Vaste couverture géographique
- Débloque les catalogues étrangers de streaming dont Netflix US et Amazon Prime Video
- Interface soignée et accessible à tous
- Prix plus élevés que d'autres solutions VPN équivalentes
- storage8000 serveurs
- language126 pays couverts
- lan10 connexions simultanées
- moodEssai gratuit 30 jours
- thumb_upAvantage : le réseau Mesh
NordVPN améliore sa couverture mondiale et ses options, mais perd en qualité de performances. NordLynx offre toujours des débits satisfaisants pour répondre aux usages web classiques, mais il perd légèrement en efficacité cette année. En contrepartie, le fournisseur développe régulièrement de nouvelles fonctionnalités destinées à enrichir la navigation. Aujourd’hui, il outrepasse son statut de VPN et s'impose comme un écosystème dédié à la confidentialité, ce qui lui permet de maintenir un bon rapport qualité-prix. L'abonnement NordVPN Avancé inclut VPN + NordPass (gestionnaire de mots de passe) tandis que la formule NordVPN Premium inclut VPN + NordPass + NordLocker (Stockage cloud sécurisé).
- Bonnes performances avec NordLynx
- Streaming (dont Netflix US) et accès TV très efficaces
- Très grand nombre de serveurs
- Serveurs RAM colocalisés infogérés
- Réactivité du support client
- Configuration routeur complexe
- Pas d'infos sur l'état de charge des serveurs
- Performances OpenVPN décevantes
- storage3200 serveurs
- language100 pays couverts
- lanConnexions simultanées illimitées
- moodEssai gratuit 30 jours
- thumb_upAvantage : Alternative ID
Surfshark constitue un service de premier plan, presque au niveau des VPN les plus intéressants du marché. Il se démarque en offrant un nombre de connexions simultanées illimité ainsi que des outils de sécurité avancés. C'est l'un des meilleurs choix possibles pour le grand public.
- Vitesses au-dessus de la moyenne
- Nombre illimité d'appareils
- Réseau Nexus
- IP dédiées
- Solution antivirus
- Couverture multiplateforme à améliorer
- Extensions web instables
Pour tout savoir sur les VPN, consultez nos autres articles :
- Onion over VPN : comment et pourquoi utiliser Tor en plus d'un VPN
- Qu'est-ce que le split tunneling et à quoi ça sert ?
- Vie Privée : quelles différences entre la navigation privée, TOR et un VPN ?
- Comment trouver mon adresse IP ?
- Sécurité vs protection de la vie privée : les différences-clés
- NordLynx et WireGuard : qu’est ce que le nouveau protocole de NordVPN ?
- WireGuard : à quoi sert ce protocole VPN, et comment fonctionne-t-il ?
