Télécharger
Retour au blog
Confidentialité··9 min de lecture

Comment un VPN contourne la censure (et quand il ne peut pas)

Langue: EnglishالعربيةDeutschEspañolفارسیहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt简体中文繁體中文

La censure d’Internet est devenue bien plus precise ces dernieres annees, et la question de savoir si un VPN la contourne encore n’a pas de reponse en un mot. Tout depend de la maniere dont le blocage est fait, et de ce que le VPN fait pour se cacher.

Reponse courte : un VPN passe la plupart des censures en enveloppant votre trafic dans du chiffrement et en l’acheminant par un serveur situe hors du reseau censure, si bien que le filtre ne peut voir ni ce que vous lisez ni ou cela va. Cela fonctionne contre les blocages ordinaires. Face a l’inspection profonde de paquets moderne, le VPN lui-meme peut devenir ce qui se fait bloquer.

A retenir

  • Un VPN cache la destination et le contenu de votre trafic au reseau, ce qui dejoue les blocages par IP, l’alteration du DNS et le filtrage par mots-cles.
  • L’inspection profonde de paquets (DPI) ne lit pas votre contenu chiffre — elle prend une empreinte de la forme de votre trafic pour deviner que vous utilisez un VPN, tout simplement.
  • La ou la DPI est agressive, les protocoles VPN standards peuvent etre detectes et brides ou bloques, d’ou l’existence des modes d’obfuscation et « furtifs ».
  • Aucun VPN n’est un contournement garanti. Dans les reseaux les plus fortement filtres, c’est une cible mouvante, et disposer de plus d’un outil compte davantage que n’importe quelle application unique.

La reponse courte

Voyez votre trafic Internet brut comme une carte postale : quiconque la manipule peut en lire l’adresse et le message. Un reseau censeur se place au milieu et refuse de livrer les cartes postales adressees a certains endroits, ou contenant certains mots. Un VPN glisse la carte postale dans une enveloppe scellee et opaque et l’envoie a une seule adresse de confiance — le serveur VPN — qui la transmet ensuite en votre nom. Le reseau peut toujours voir que vous avez envoye une enveloppe, mais ni ou elle va finalement, ni ce qu’elle contient.

Ce seul changement dejoue d’un coup les formes de censure les plus courantes. La complication, et la raison pour laquelle cet article fait plus d’une phrase, c’est que l’enveloppe elle-meme a une forme reconnaissable — et c’est cela que la censure moderne a appris a reperer.

Comment fonctionne vraiment la censure d’Internet

La censure au niveau national et au niveau du reseau n’est pas une seule technique. C’est un empilement, generalement combine en couches :

  • Blocage d’adresses IP. La methode la plus simple : rejeter tout le trafic vers et depuis une liste d’adresses de serveurs. Bon marche, grossier et facile a contourner en atteignant le meme contenu par une autre adresse.
  • Alteration du DNS. Quand votre appareil demande « quelle est l’adresse de ce site ? », le reseau ment — il renvoie une mauvaise reponse ou rien du tout. Une grande partie du blocage quotidien se resume a cela, ce qui en fait aussi la couche la plus facile a contourner.
  • Filtrage SNI. Meme sur une connexion HTTPS chiffree, la toute premiere poignee de main nomme generalement en clair le site que vous visitez (le Server Name Indication). Les filtres lisent ce nom et coupent les connexions vers les domaines interdits tout en laissant le reste tranquille.
  • Filtrage par mots-cles et par contenu. Sur du trafic non chiffre, le reseau peut chercher des mots ou expressions interdits et bloquer ou journaliser en consequence.
  • Bridage. Plutot que de bloquer franchement, le reseau ralentit un service au point de le rendre inutilisable. C’est plausible — rien n’est « bloque » — et cela a ete employe contre des plateformes entieres.
  • Inspection profonde de paquets. La couche la plus sophistiquee, et celle a laquelle un VPN doit reellement se mesurer. Plus de details ci-dessous.

Le tunnel chiffre d’un VPN gere discretement les quatre premieres. Le reseau ne peut pas faire de filtrage SNI ni de filtrage par mots-cles sur un trafic qu’il ne peut pas lire, et il ne peut pas alterer une requete DNS qui se deroule a l’interieur du tunnel. Si vous voulez le fonctionnement de ce tunnel lui-meme, nous l’expliquons dans ce qu’est un tunnel VPN et comment il fonctionne.

Ce qu’est l’inspection profonde de paquets

L’inspection profonde de paquets est la technique qui rend possible, tout court, la censure d’un VPN. Le nom est un peu trompeur : face a du trafic chiffre, la DPI ne lit pas le contenu de vos paquets, parce qu’elle ne le peut pas. Ce qu’elle inspecte, c’est tout ce qui entoure le contenu — les metadonnees et le motif statistique de la connexion.

Chaque protocole a une sorte d’accent. Une poignee de main VPN standard presente des tailles de paquets, un rythme et des motifs d’octets caracteristiques qui different d’une navigation web ordinaire. Les systemes de DPI sont entraines a reconnaitre ces accents. Ils demandent, en somme : cette connexion ressemble-t-elle a un VPN, meme si je ne peux pas la lire ? Quand la reponse est oui, le systeme peut brider la connexion, la reinitialiser, ou ajouter le serveur de destination a une liste de blocage — le tout sans jamais rien dechiffrer.

Les systemes plus recents vont un cran plus loin avec le sondage actif. Apres avoir repere une connexion suspecte, ils envoient leur propre trafic de test au serveur de destination pour voir comment il repond. Si le serveur repond comme le ferait un VPN connu, il est bloque. C’est ainsi que certains pare-feu nationaux decouvrent et coupent des serveurs VPN en quelques minutes apres leur mise en ligne.

Comment un VPN passe outre

Alors, comment un VPN fonctionne-t-il encore dans les reseaux censures, malgre tout cela ? De deux manieres, qui se cumulent.

La premiere est celle, fondamentale, deja decrite : le chiffrement. Parce que le tunnel cache a la fois la destination et le contenu de votre trafic, toute la famille des blocages fondes sur l’adresse, le DNS et le contenu ne s’applique tout simplement plus. Pour la grande majorite des reseaux du monde — filtres d’entreprise, reseaux scolaires, Wi-Fi d’hotel, de nombreux blocages nationaux qui reposent sur le DNS et le SNI — c’est toute l’histoire. Le VPN fonctionne parce que le censeur n’a jamais rien construit de plus sophistique qu’une liste de blocage.

La seconde est l’obfuscation, qui ne compte que la ou la DPI entre en jeu. L’obfuscation est la pratique consistant a deguiser le trafic VPN pour qu’il n’ait pas cet accent reconnaissable. Certains outils brouillent le trafic pour qu’il ressemble a du bruit aleatoire ; d’autres l’enveloppent pour qu’il ressemble a du HTTPS ordinaire, le meme protocole qui transporte la navigation web normale, de sorte que le bloquer reviendrait a casser l’Internet de tous les jours. Les details au niveau du protocole varient et changent souvent, car c’est une course aux armements : les censeurs mettent a jour leurs empreintes, les outils de contournement mettent a jour leurs deguisements, et le cycle recommence. Le cadrage honnete, c’est que l’obfuscation achete du temps et de la portee, pas une victoire definitive.

Ou un VPN se fait bloquer

Il vaut la peine d’etre clair sur les limites, parce qu’une bonne partie du marketing ne l’est pas. Un VPN peut echouer a vous faire passer pour plusieurs raisons :

  • Le protocole est identifie par empreinte. Les poignees de main standards de WireGuard et d’OpenVPN sont bien etudiees. Un systeme de DPI regle pour les reperer peut brider ou rejeter la connexion meme s’il ne peut pas la lire. C’est de loin la maniere la plus courante dont les VPN sont bloques a l’echelle nationale.
  • Le serveur est sur une liste de blocage. Les serveurs VPN commerciaux utilisent des plages d’adresses connues. Les censeurs achetent les memes services, enumerent les adresses et les bloquent en masse. Un fournisseur doit faire tourner ses adresses en continu pour rester accessible.
  • Le sondage actif trouve le serveur. Comme decrit plus haut, le reseau teste les serveurs suspects et bloque ceux qui repondent comme un VPN.
  • Tout est bloque par defaut. Quelques reseaux inversent entierement le modele : rien ne se connecte a moins d’etre sur une liste d’autorisation. La, la question n’est pas de savoir si votre VPN est detecte, mais s’il peut imiter quelque chose d’autorise.

Rien de tout cela ne signifie qu’un VPN est inutile sous la censure — loin de la. Cela signifie que le protocole et l’ingenierie du fournisseur comptent, et que l’experience tient moins du « ca marche toujours » que du « ca marche, avec des efforts, et parfois vous changez de serveur ou de mode ». Des groupes de mesure independants comme OONI suivent quels outils et protocoles sont bloques ou, et le tableau evolue vraiment de mois en mois.

L’Iran, la Russie et la Chine en 2026

Les trois cas les plus discutes montrent la meme course aux armements a des stades differents.

Le systeme de la Chine est le plus ancien et le plus raffine. Il combine alteration du DNS, filtrage SNI, DPI a grande echelle et sondage actif, et il traite le contournement comme un probleme d’ingenierie permanent a gerer plutot qu’une affaire a remporter une bonne fois. Les protocoles VPN simples sont detectes en routine ; ce qui survit tend a reposer sur l’obfuscation.

La Russie a passe 2025 et 2026 a delaisser le blocage grossier au profit du modele chinois, deployant des equipements d’inspection a travers les reseaux et elargissant peu a peu les protocoles et services qu’elle peut brider. La couverture mediatique tout au long de 2026 a documente des vagues de blocage de VPN, des services faisant tourner leurs methodes en reaction, et les degats collateraux qui accompagnent un filtrage a cette echelle — y compris des perturbations de services bancaires et de messagerie ordinaires quand le blocage rate sa cible.

L’Iran conjugue un filtrage lourd avec des coupures periodiques, presque totales, et une tres large part de sa population atteint l’Internet ouvert au moyen d’outils de contournement, comme une routine. C’est l’exemple le plus net d’une demande qui depasse le censeur : le blocage est severe, et les gens s’adaptent en continu, changeant d’outil a mesure que chacun est vise.

Le fil conducteur, c’est que dans les trois cas, un VPN est necessaire mais non suffisant a lui seul. Ceux qui restent connectes ont tendance a garder plus d’un outil, s’attendent a changer, et considerent la fiabilite comme quelque chose qu’ils entretiennent plutot qu’ils achetent une fois.

Ce que cela signifie pour vous

Si vous choisissez un VPN ou vous y fiez dans un endroit qui filtre agressivement, quelques points honnetes et pratiques :

  • Le protocole compte plus que la marque. Qu’une connexion survive a la DPI tient au protocole et au fait que l’application propose ou non un mode d’obfuscation ou « furtif », pas a un logo.
  • Gardez une solution de secours. La strategie la plus fiable dans les reseaux censures, c’est la redondance — plus d’un outil, pour ne pas etre coupe quand l’un est vise.
  • Installez tout avant d’en avoir besoin. Telechargez et configurez les outils tant que vous avez encore un acces ouvert ; les outils de contournement sont souvent la premiere chose bloquee pendant une repression.
  • Tenez compte du cadre legal. Dans certains pays, l’usage d’un VPN est restreint ou comporte des risques. C’est une question distincte de celle de son fonctionnement technique, et nous l’abordons dans l’usage d’un VPN est-il legal.
  • Mefiez-vous des garanties. Tout fournisseur promettant que cela « marchera toujours » face a un pare-feu national survend. La version honnete est « souvent, avec le bon protocole, et nous continuons de nous adapter ».

Et un point de confidentialite facile a manquer : quand vous acheminez tout par un VPN pour contourner la censure, vous confiez a ce fournisseur le trafic meme que le censeur voulait voir. Ce que le fournisseur conserve a votre sujet prend soudain enormement d’importance. C’est tout l’argument en faveur du choix d’un fournisseur qui ne peut pas remettre ce qu’il n’a jamais collecte — voyez ce que « sans journaux » veut vraiment dire.

Questions frequentes

Comment utilise-t-on un VPN pour contourner la censure ? Installez-le et connectez-vous a un serveur hors du reseau censure ; votre trafic est chiffre et achemine par ce serveur, si bien que les blocages de domaines, de DNS et de contenu ne s’appliquent plus. Sur les reseaux dotes d’inspection profonde de paquets, activez le mode d’obfuscation ou furtif de l’application s’il en a un, et soyez pret a changer de serveur.

Le reseau peut-il savoir que j’utilise un VPN ? Parfois. Il ne peut pas lire votre trafic, mais l’inspection profonde de paquets peut souvent detecter qu’une connexion ressemble a un VPN d’apres son seul motif. L’obfuscation est specifiquement concue pour rendre cela plus difficile.

Est-il illegal d’utiliser un VPN pour contourner des restrictions ? Cela depend entierement du pays. Dans la majeure partie du monde, l’usage d’un VPN est legal ; une poignee d’Etats le restreignent ou l’interdisent. La legalite de l’outil et la legalite de ce que vous en faites sont des questions distinctes — nous traitons les deux dans notre guide sur la legalite des VPN.

Pourquoi mon VPN se connecte-t-il mais rien ne se charge sous la censure ? Generalement, la poignee de main est passee mais le reseau bride ou reinitialise le trafic VPN reconnu, ou l’adresse du serveur est sur liste de blocage. Passer a un autre serveur ou a un protocole obfusque est la solution habituelle.

En resume

Un VPN contourne la censure en cachant ou va votre trafic et ce qu’il contient, ce qui neutralise le blocage ordinaire sur lequel reposent la plupart des reseaux. Face a l’inspection profonde de paquets, la lutte se deplace vers la capacite du VPN a eviter de ressembler a un VPN — une vraie course aux armements continue ou le protocole, l’ingenierie du fournisseur et le fait d’avoir une solution de secours comptent plus que toute promesse d’invincibilite. Comprenez a quel type de blocage vous etes confronte, et vous aurez des attentes realistes plutot que celles du marketing.

Snap VPN fonctionne sur WireGuard, ne demande ni compte ni e-mail, et ne conserve aucun journal de trafic — ainsi, les donnees qu’un censeur voudrait exiger sont des donnees que nous ne detenons pas. Il est concu pour la confidentialite de tous les jours plutot que comme une reponse garantie aux pare-feu les plus agressifs du monde, et nous preferons le dire franchement. Il est disponible sur l’App Store.

Sofia Lindqvist
Privacy & policy writer