Bien choisir et configurer son VPN pour une vraie protection
Guide pratique pour choisir un VPN, comprendre les protocoles et tout configurer correctement. Pas de noms de marques, juste ce qui compte vraiment.
Retour au blog
La plupart des gens installent un VPN et se croient invisibles. Comme une cape d’invisibilité numérique. Tu cliques sur “connecter”, tu vois le petit cadenas, et hop - totalement anonyme, pas vrai ?
Pas du tout. Un VPN est un outil, et comme tout outil, il ne sert à rien si tu ne le configures pas correctement et si tu ne comprends pas ce qu’il fait vraiment. Un VPN mal configuré ne t’apporte qu’un faux sentiment de sécurité. Et c’est pire que de ne pas en avoir du tout, parce qu’au moins sans VPN, tu sais que tu es exposé.
Ce guide t’explique ce que fait réellement un VPN, comment en choisir un qui ne soit pas une arnaque, quel protocole utiliser, et comment colmater les fuites de confidentialité auxquelles personne ne pense.
Ce que fait vraiment un VPN (et ce qu’il ne fait pas)
Besoin d’un rappel ? Voici notre explication simple de ce qu’est un VPN. En résumé : un VPN crée un tunnel chiffré entre ton appareil et un serveur situé ailleurs. Ton fournisseur d’accès ne peut pas voir ce que tu fais, et les sites web voient l’adresse IP du serveur VPN au lieu de la tienne.
Maintenant, ce qu’il ne fait pas :
Il ne te rend pas anonyme. Connecte-toi à Google via un VPN et Google sait toujours qui tu es. Un VPN masque ton adresse IP, pas ton identité.
Il ne te protège pas contre le phishing ni les logiciels malveillants. Clique sur un faux lien bancaire et le VPN chiffrera joyeusement ce trafic jusqu’à l’attaquant. Il protège le tuyau, pas ce qui passe dedans.
Il ne te cache pas de ton fournisseur VPN. Tu déplaces simplement ta confiance de ton fournisseur d’accès vers ton fournisseur VPN. Au lieu que ton FAI voie tout, c’est ton fournisseur VPN qui pourrait le faire. C’est pour ça que le choix du bon fournisseur est essentiel.
Alors à quoi ça sert concrètement ? Empêcher ton FAI de surveiller ta navigation. Te protéger sur les WiFi publics. Contourner les restrictions géographiques. C’est vraiment utile - mais n’attends pas de miracles.
Comment choisir un fournisseur VPN (sans se faire avoir)
Le marché du VPN est un vrai bazar. Faux avis, marketing agressif, et des sites “top 10 VPN” qui appartiennent secrètement à des entreprises de VPN. Voici ce qui compte vraiment.
Politique sans journaux - mais vérifie-la. Tous les fournisseurs prétendent ne pas garder de journaux. C’est marqué sur toutes les pages d’accueil. La vraie question, c’est s’ils peuvent le prouver. Cherche ceux qui appuient leurs dires par des audits de sécurité indépendants réalisés par des cabinets reconnus. Un audit signifie qu’un tiers a réellement examiné leur infrastructure et confirmé qu’ils ne stockent pas les données des utilisateurs. Encore mieux : certains fournisseurs font tourner leurs serveurs entièrement en RAM, donc tout est effacé au redémarrage. Pas de disques durs, pas de données à saisir.
Applications open source. Si l’application est open source, n’importe qui peut examiner le code et vérifier qu’il fait bien ce que l’entreprise prétend. Pas de pistage caché, pas de journalisation secrète. Les applications à code fermé sont une boîte noire. Pas forcément mauvais, mais l’open source est un vrai gage de confiance.
Fuis les VPN gratuits. Si tu ne paies pas, c’est toi le produit. Des VPN gratuits ont été pris en flagrant délit d’injection de publicités dans la navigation, d’installation de traqueurs, et même de revente de la bande passante de ton appareil à des tiers. Ce contre quoi tu essaies de te protéger, c’est littéralement leur modèle économique.
Paiement anonyme. Les meilleurs fournisseurs acceptent les cryptomonnaies, les espèces ou les cartes cadeaux. Si la confidentialité est ton objectif, payer par carte bancaire à ton nom, ça revient un peu à se tirer une balle dans le pied. Ce n’est pas indispensable pour tout le monde - si tu veux juste te protéger sur le WiFi du café, un paiement classique suffit.
Propriété des serveurs. Est-ce que le fournisseur possède réellement ses serveurs ou les loue-t-il à des centres de données ? Posséder le matériel physique signifie un contrôle total. La location ajoute un intermédiaire dans la chaîne qui pourrait potentiellement accéder à l’infrastructure ou répondre à des requêtes judiciaires.
Juridiction : choisir le bon pays
Le pays où ton fournisseur VPN est enregistré détermine quelles lois s’appliquent à tes données.
L’alliance Five Eyes (États-Unis, Royaume-Uni, Canada, Australie, Nouvelle-Zélande) est un partenariat de surveillance qui partage librement les données de renseignement. Si ton fournisseur VPN est basé dans l’un de ces pays, une décision de justice dans n’importe lequel d’entre eux pourrait potentiellement forcer la divulgation de tes données. Ensuite, il y a les Nine Eyes (avec en plus le Danemark, la France, les Pays-Bas et la Norvège) et les Fourteen Eyes (avec en plus l’Allemagne, la Belgique, l’Italie, l’Espagne et la Suède). Plus on élargit le cercle, plus la coopération est lâche, mais elle existe.
Est-ce que ça veut dire qu’il ne faut jamais utiliser un VPN basé dans ces pays ? Pas forcément. Un fournisseur qui ne conserve véritablement aucun journal n’a rien à transmettre, quelle que soit sa juridiction. Mais à qualité égale, privilégie les fournisseurs installés dans des pays respectueux de la vie privée comme la Suisse, l’Islande, le Panama ou la Roumanie - des pays avec des lois solides sur la protection des données et aucune appartenance aux alliances Eyes.
Une distinction importante que les gens confondent souvent : le pays où le fournisseur est enregistré (juridiction légale) et le pays où se trouve le serveur auquel tu te connectes. La juridiction du fournisseur détermine à quelles requêtes légales il doit se conformer. L’emplacement du serveur détermine d’où ton trafic semble provenir. Si tu dois choisir, la juridiction du fournisseur compte davantage - c’est là que la pression juridique s’exerce.
Protocoles VPN : lequel utiliser
Le protocole détermine ton chiffrement, ta vitesse et ton niveau réel de sécurité.
| Protocole | Vitesse | Sécurité | Verdict |
|---|---|---|---|
| WireGuard | Rapide | Solide | Recommandé |
| OpenVPN | Moyenne | Solide | Bonne alternative |
| IKEv2/IPsec | Rapide | Bonne | Adapté au mobile |
| L2TP/IPsec | Lente | Correcte | Dépassé |
| PPTP | Rapide | Faible | À éviter |
WireGuard est le grand gagnant. Environ 4 000 lignes de code contre plus de 100 000 pour OpenVPN. Moins de lignes, c’est moins de bugs, un audit plus facile et une cryptographie moderne (ChaCha20, Curve25519). C’est plus rapide, la reconnexion est instantanée sur mobile et la consommation de batterie est réduite. Si ton fournisseur le propose, utilise-le.
OpenVPN est l’alternative fiable - éprouvé au combat, largement supporté, solide avec AES-256. Juste plus lent et plus lourd.
IKEv2 gère bien les changements de réseau, ce qui en fait un bon choix pour le mobile. Intégré nativement dans iOS, macOS et Windows.
Tout le reste ? Oublie. PPTP a des vulnérabilités connues depuis le début des années 2000. Si ton fournisseur le propose encore, c’est mauvais signe.
Le coup de maître : ton propre serveur WireGuard
Le problème avec les fournisseurs VPN commerciaux, c’est que tu fais toujours confiance à quelqu’un d’autre pour ton trafic. Même les meilleurs. Tu lis leur politique de confidentialité, tu vérifies leurs rapports d’audit, et tu croises les doigts.
Tu veux éliminer complètement ce problème de confiance ? Monte ton propre serveur VPN.
Loue un petit VPS dans un pays respectueux de la vie privée, installe WireGuard, connecte tes appareils. Ton trafic passe par un tunnel chiffré vers un serveur que toi seul contrôles. Pas d’intermédiaire, pas de politique de journalisation à espérer. Grâce au design minimaliste de WireGuard, la configuration tient en quelques lignes, pas en pages entières d’options.
Le compromis : avec un VPN commercial, ton trafic se mélange à celui de milliers d’utilisateurs sur la même adresse IP. Avec ton propre serveur, tu es le seul utilisateur. Pour te protéger de ton FAI et sur le WiFi public, c’est largement suffisant. Pour l’anonymat dans la masse, un fournisseur commercial ou Tor sera plus efficace.
Kill Switch : ton filet de sécurité
Les connexions VPN coupent parfois. Ton WiFi a un hoquet, le serveur redémarre, ton téléphone change de réseau. Et dès que le VPN lâche, le trafic passe directement par ta connexion normale avec ta vraie adresse IP exposée. Même quelques secondes suffisent pour que des requêtes DNS et du trafic en arrière-plan s’échappent.
Un Kill Switch bloque tout le trafic internet dès que le VPN se déconnecte. Rien ne rentre ni ne sort tant que la connexion n’est pas rétablie. Vois ça comme un bouton d’arrêt d’urgence pour ta vie privée.
Cherche ce réglage dans ton application VPN et active-le. Certains l’appellent “verrouillage réseau” ou “VPN permanent”. Tu peux aussi le mettre en place au niveau du système avec des règles de pare-feu - c’est plus fiable puisque ça fonctionne même si l’application VPN plante.
Teste-le. Connecte-toi à ton VPN, puis déconnecte-le volontairement. Si tu peux encore naviguer, ton Kill Switch ne fonctionne pas.
Tunnelisation sélective : ne fais passer que ce qui compte
Tout faire transiter par un VPN ralentit ta connexion et peut casser des services locaux ou déclencher des blocages sur les plateformes de streaming. La tunnelisation sélective te permet de choisir ce qui passe par le VPN et ce qui va directement sur internet.
Quelques exemples concrets : fais passer ta navigation et ta messagerie par le VPN mais laisse le streaming vidéo en direct. Fais transiter tes applications professionnelles par le VPN mais laisse ta navigation personnelle en direct. La plupart des applications VPN proposent un routage par application (tu choisis quelles applis utilisent le VPN - plus simple) ou un routage par adresse (tu précises quelles destinations passent par le VPN - plus fin).
Le compromis en termes de sécurité est évident : tout ce que tu exclus du VPN n’est pas protégé par celui-ci. Réfléchis à ce qui a réellement besoin d’être protégé. Dans le doute, fais tout passer par le VPN et n’exclus que ce qui pose problème.
DNS : la fuite de confidentialité dont personne ne parle
Tu pourrais avoir le meilleur VPN du monde et quand même laisser fuiter tout ton historique de navigation via le DNS. Le DNS traduit les noms de sites en adresses IP, et par défaut ces requêtes vont souvent aux serveurs de ton FAI - en clair, entièrement journalisées.
Beaucoup d’applications VPN gèrent ça automatiquement en faisant passer le DNS par le tunnel. Mais pas toutes, et les erreurs de configuration sont fréquentes. Si tes requêtes DNS fuient en dehors du tunnel, ton FAI peut voir chaque site que tu visites même si le reste de ton trafic est chiffré.
Corrige ça avec un DNS chiffré. Deux options principales : DNS over HTTPS (DoH) envoie les requêtes via des connexions HTTPS classiques, ce qui les rend difficiles à bloquer parce qu’elles ressemblent à du trafic web normal. DNS over TLS (DoT) utilise une connexion chiffrée dédiée - un peu plus rapide mais plus facile à identifier et à bloquer. Les deux sont infiniment mieux que du DNS en clair.
N’utilise pas le DNS de ton FAI. Choisis un fournisseur DNS axé sur la confidentialité qui ne conserve pas de journaux et qui supporte le DNS chiffré. Consulte nos recommandations DNS pour des suggestions précises.
Teste les fuites. Après t’être connecté à ton VPN, cherche “DNS leak test” et lance un test. Ces outils te montrent quels serveurs DNS traitent tes requêtes. Si tu vois les serveurs de ton FAI alors que tu es connecté, tu as une fuite. Corrige ta configuration DNS avant de faire quoi que ce soit d’autre.
Conseils supplémentaires
Vérifie les fuites d’adresse IP. Après connexion, cherche “quelle est mon adresse IP” dans un moteur de recherche. Si tu vois ta vraie IP, il y a un problème. Teste aussi les fuites WebRTC - certains navigateurs laissent échapper ta vraie adresse IP via WebRTC même avec un VPN actif.
Gère l’IPv6. Beaucoup de VPN ne font transiter que le trafic IPv4. Si ton appareil utilise aussi l’IPv6 (c’est le cas de la plupart des appareils modernes), ce trafic pourrait contourner complètement le VPN. Assure-toi que ton VPN gère le tunnel IPv6, ou désactive l’IPv6 sur ton appareil quand tu es connecté.
N’oublie pas ton téléphone. Ton téléphone laisse fuiter autant de données que ton ordinateur - voire plus, avec toutes ces applications qui communiquent en permanence avec leurs serveurs. Si tu as un iPhone, consulte notre guide de renforcement de la sécurité.
Sois cohérent avec ton identité. Si ton objectif est l’anonymat, ne te connecte pas à des comptes qui t’identifient quand tu es sur le VPN. Dès que tu te connectes à Gmail, Google sait qui tu es, peu importe ton adresse IP.
Pour un vrai anonymat, pense à Tor. Un VPN te protège de ton FAI et de ton réseau local. Si tu as besoin d’un véritable anonymat - comme en ont besoin les journalistes ou les militants - Tor est un outil différent pour un niveau de menace différent.
L’authentification forte reste indispensable. Un VPN protège ta connexion, pas tes comptes. Utilise une méthode de connexion sécurisée partout.
Pour résumer
Ton plan d’action :
- Choisis un fournisseur avec une politique sans journaux vérifiée, une juridiction respectueuse de la vie privée, des applications open source et des audits indépendants
- Utilise WireGuard - plus rapide, plus simple et plus sûr que les alternatives
- Active le Kill Switch pour que le trafic ne fuie jamais quand le VPN se déconnecte
- Configure un DNS chiffré et teste les fuites
- Mets en place la tunnelisation sélective pour trouver le bon équilibre entre confidentialité et performance
- Teste tout - fuites d’adresse IP, fuites DNS, IPv6, Kill Switch
Ou va encore plus loin : oublie les fournisseurs commerciaux et héberge ton propre serveur WireGuard. Contrôle total, aucune confiance à accorder.
Un VPN ne te rendra pas invisible. Mais un VPN bien configuré fera de toi une cible beaucoup plus difficile. Et dans un monde où tout le monde veut tes données, c’est ça qui compte.
Pour des recommandations de fournisseurs, consulte notre page de ressources.