Shadowsocks occupe un recoin étrange de l'histoire d'Internet : un proxy écrit par un seul développeur en Chine en 2012, publié en open source, et discrètement adopté par des millions de personnes comme cheval de bataille du contournement des pare-feu. On le compare sans cesse aux VPN, le plus souvent avec la mauvaise question — « lequel est le meilleur ? » — alors que les deux ne cherchent pas vraiment à faire le même travail.

Réponse courte : Shadowsocks est un proxy chiffré conçu pour faire passer du trafic à travers les pare-feu nationaux sans se faire reconnaître. Un VPN est un tunnel chiffré pour tout votre appareil, conçu pour la confidentialité face au réseau sur lequel vous vous trouvez. Ils se recoupent, mais répondent à des menaces différentes — et le bon choix dépend de celle qui est réellement la vôtre.

Points clés

  • Shadowsocks est un proxy SOCKS5 chiffré conçu pour passer la censure ; il n'a jamais été pensé comme un produit de confidentialité.
  • Son astuce, c'est de ne ressembler à rien : aucune signature de poignée de main, aucune bannière de protocole, juste des octets chiffrés sans relief.
  • Un VPN couvre toutes les apps de l'appareil, avec un comportement standardisé face aux fuites et aux connexions coupées ; les configurations de proxy varient énormément.
  • Les pare-feu modernes ont appris à signaler le trafic qui « ne ressemble à rien », si bien que le Shadowsocks classique n'est plus un laissez-passer.
  • Choisissez selon votre modèle de menace : résistance à la censure, confidentialité sur tout l'appareil, ou — de plus en plus courant — les deux dans une seule application.

Ce qu'est réellement Shadowsocks

En 2012, un développeur écrivant sous le nom de clowwindy a publié un petit outil pour faire passer son trafic personnel à travers le pare-feu national de la Chine. En 2015, sous la pression des autorités, il a supprimé le code et s'est retiré. Le projet a survécu sous forme d'implémentations maintenues par la communauté et a été activement développé depuis — c'est aussi le socle d'outils comme Outline. Cette histoire d'origine explique entièrement la conception : Shadowsocks a été bâti par quelqu'un dont le problème était le pare-feu, pas l'annonceur.

Mécaniquement, Shadowsocks est une paire : un client sur votre appareil et un serveur quelque part hors du réseau filtré. Le client prend le trafic des applications via SOCKS5 — l'interface de proxy standard —, le chiffre avec des chiffrements authentifiés modernes et le relaie à travers le serveur, qui le transmet ensuite vers la véritable destination.

La partie astucieuse, c'est ce qui manque. Une connexion chiffrée normale s'annonce : TLS s'ouvre sur un hello reconnaissable, et un protocole VPN s'ouvre sur une poignée de main reconnaissable. Une connexion proxy Shadowsocks s'ouvre sur rien. Dès le premier octet, le flux est du texte chiffré à forte entropie, sans en-tête, sans bannière et sans tailles de paquets fixes. Il n'y a aucune signature à faire correspondre parce qu'il n'y a aucune structure à voir.

En quoi cela diffère d'un VPN

La différence commence à la couche sur laquelle chacun opère, et se propage à partir de là.

La couverture. Un VPN crée une interface réseau au niveau du système d'exploitation et achemine tout l'appareil à travers elle — chaque app, y compris celles qui n'ont aucun réglage de proxy. Shadowsocks est un proxy : classiquement, il transporte les applications qui pointent vers lui. Les clients mobiles brouillent cette frontière en acheminant tout le système à travers une interface de tunnel locale, mais c'est une caractéristique du client que vous installez, pas une garantie du protocole.

Le comportement en cas de défaillance. Les applications VPN matures ont des réponses standardisées aux questions désagréables : que devient le trafic à l'instant où le tunnel tombe, où vont les requêtes DNS, est-ce que quoi que ce soit se faufile sur les bords. Avec Shadowsocks, les réponses dépendent entièrement du client que vous avez choisi et de sa configuration — rien de tout cela n'est garanti par le protocole.

La confiance. Un fournisseur de VPN est une entreprise que vous pouvez évaluer à sa politique de journalisation et à ses antécédents — ce que nous examinons dans ce que signifie vraiment une politique sans journaux. Les serveurs Shadowsocks sont généralement auto-hébergés ou achetés à de petits revendeurs, souvent anonymes. Dans les deux cas, quelqu'un exploite l'extrémité distante et peut observer où va votre trafic. Le proxy ne supprime pas le besoin de faire confiance au point d'arrivée ; il change qui vous devez croire, et avec un revendeur vous ne savez généralement rien de lui.

Si vous voulez la version générale de cette comparaison — proxies contre VPN, au-delà de la censure —, c'est VPN vs proxy.

Pourquoi cela a fonctionné une décennie

L'inspection profonde de paquets, en son cœur, c'est de la correspondance de signatures : reconnaître le protocole, puis décider d'une politique. Shadowsocks ne lui donnait rien à reconnaître. Cela laissait aux censeurs deux options peu attrayantes — bloquer les adresses de destination une à une, un jeu de taupe contre des serveurs loués à bas prix, ou bloquer tout ce qu'ils ne pouvaient pas classer et accepter les dégâts collatéraux sur le trafic chiffré ordinaire.

Pendant des années, les dégâts collatéraux n'en valaient pas la peine, et Shadowsocks se faufilait dans la brèche. Cette brèche se referme.

Pourquoi « est-ce que ça marche encore ? » est désormais une vraie question

Deux contre-mesures ont changé le tableau. La première est le sondage actif : lorsque les systèmes de censure repèrent une connexion suspecte, ils se connectent eux-mêmes au même serveur et testent sa réponse, à la recherche d'un comportement de proxy. La seconde est plus brutale. Des chercheurs ont documenté à USENIX Security 2023 que, depuis fin 2021, le pare-feu de la Chine rejette parfois purement et simplement les connexions dont les premiers paquets ressemblent à des données sans relief, à forte entropie — précisément cette absence de structure qui rendait Shadowsocks invisible. Quand le censeur décide qu'un trafic qui ne ressemble à rien est lui-même le signal, ne ressembler à rien cesse d'être un déguisement.

La communauté a répondu dans deux directions. Un : envelopper Shadowsocks dans des transports réellement d'allure ordinaire — de vraies sessions TLS, des connexions WebSocket. Deux : imiter de vrais protocoles sans détour — des outils successeurs de la famille trojan et REALITY se présentent comme du HTTPS normal même quand on les sonde. Des spécifications Shadowsocks plus récentes ont aussi durci le protocole contre les astuces de sondage qui piégeaient les versions plus anciennes. Le jeu du chat et de la souris continue ; l'ère du petit outil unique qui fonctionnait discrètement partout est révolue.

Le tournant QUIC

Le chapitre le plus récent passe par QUIC, le transport UDP chiffré sous HTTP/3. Une large part du trafic web ordinaire est désormais en QUIC, ce qui en fait une excellente couverture : un tunnel qui se présente comme du HTTP/3 ressemble à de la navigation de tous les jours plutôt qu'à du bruit. C'est ce dont parlent réellement les recherches d'un « VPN QUIC » — des outils de contournement plus récents comme Hysteria2 et TUIC s'appuient sur QUIC pour la couverture et pour les performances sur les routes longues et avec pertes, et les travaux MASQUE de l'IETF standardisent le proxy par-dessus HTTP/3. Apple a bâti iCloud Private Relay à partir de la même famille d'idées — iCloud Private Relay vs un VPN explique comment cela se compare.

QUIC n'est pas non plus un aboutissement. Les censeurs peuvent brider ou bloquer l'UDP en bloc, et le font, pendant les périodes sensibles, ce qui repousse le trafic vers les déguisements en TCP et TLS. Aucun transport ne l'emporte partout — c'est pourquoi l'outillage de contournement ne cesse de se diversifier, et pourquoi la question durable n'est pas « quel protocole » mais de savoir si votre outil peut changer de vêtements.

De quoi avez-vous besoin ?

Triez selon le problème réellement devant vous :

  • Le réseau ne vous laisse pas sortir. Là où les protocoles VPN sont identifiés et rejetés, l'obfuscation est le facteur décisif, et un protocole VPN standard en réglages par défaut peut tout simplement échouer à se connecter. C'est le terrain de prédilection de Shadowsocks — et le même besoin a produit des forks de WireGuard obfusqués, que nous couvrons dans AmneziaWG vs WireGuard.
  • Vous voulez de la confidentialité face au réseau et à votre FAI. La couverture de tout l'appareil, une gestion prévisible du DNS et un comportement sain quand le tunnel tombe comptent davantage que des transports exotiques. C'est la colonne du VPN, et c'est l'essentiel de l'usage quotidien : le Wi-Fi d'hôtel, le profilage par le FAI, les réseaux non fiables. Comment un VPN contourne la censure trace la frontière entre ces deux mondes plus en détail.
  • Les deux. Les personnes sur des réseaux fortement filtrés ont généralement besoin des deux à la fois : la couverture d'un VPN, avec un trafic qui ne s'annonce pas. Historiquement, cela voulait dire assembler soi-même une configuration à partir de pièces détachées. De plus en plus, cela veut dire un VPN dont la connexion est obfusquée d'emblée.

Snap VPN aborde cela par le côté VPN : WireGuard en dessous, avec nos propres techniques d'obfuscation appliquées à la connexion pour qu'elle ne tende pas aux systèmes d'inspection une signature VPN de manuel. Nous ne publions pas les détails au niveau du câble — les déguisements vieillissent vite une fois documentés —, mais l'objectif est celui que toute cette comparaison désigne : une confidentialité sur tout l'appareil qui se connecte malgré tout sur les réseaux où le trafic VPN est traqué.

Questions fréquentes

Shadowsocks est-il un VPN ? Non. C'est un proxy chiffré. Les clients mobiles peuvent acheminer tout un appareil à travers lui, ce qui le fait ressembler à un VPN, mais les garanties qu'une application VPN standardise — routage à l'échelle de l'appareil, gestion des fuites, comportement en cas de tunnel coupé — ne font pas partie du protocole Shadowsocks lui-même.

Shadowsocks fonctionne-t-il encore ? Dans beaucoup d'endroits, une grande partie du temps, oui — mais le Shadowsocks classique n'est plus un laissez-passer. Les systèmes de censure modernes signalent le trafic entièrement chiffré et « sans structure » et sondent activement les serveurs soupçonnés, si bien que les configurations actuelles s'appuient sur des spécifications durcies, l'enveloppement TLS ou des protocoles successeurs.

Qu'est-ce qui est mieux que Shadowsocks ? Cela dépend de ce que « mieux » doit vouloir dire. Pour éviter la détection aujourd'hui, les successeurs qui imitent du vrai HTTPS ou s'appuient sur QUIC ont l'avantage. Pour la confidentialité de tous les jours sur des réseaux ordinaires, un VPN sans journaux est l'outil plus simple et plus complet.

Shadowsocks est-il sûr ? Le chiffrement est solide — des chiffrements authentifiés modernes, spécifiés ouvertement. Les risques pratiques se situent ailleurs : celui qui exploite votre serveur peut voir où va votre trafic, et les clients téléchargés depuis des sources au hasard peuvent être altérés. L'auto-hébergement règle le premier point ; n'installer que des builds officiels règle le second.

En résumé

  • Shadowsocks est un proxy d'évasion de la censure qui fonctionne en n'ayant aucune forme reconnaissable. Un VPN est un tunnel de confidentialité pour tout l'appareil.
  • Ils répondent à des menaces différentes, et « mieux » n'a de sens que par rapport à la vôtre.
  • Les censeurs ont rattrapé le « ne ressemble à rien », si bien que le domaine s'est tourné vers le fait de ressembler à quelque chose de réel — TLS, WebSocket, QUIC.
  • Pour la plupart des gens, la plupart du temps, la réponse pratique est un VPN — idéalement un qui ne s'annonce pas au matériel d'inspection.

Si vous êtes sur iPhone et voulez un VPN qui fait tourner WireGuard, obfusque sa propre connexion et ne demande pas qui vous êtes — aucun e-mail, aucun compte, aucun journal de trafic —, Snap VPN est sur l'App Store.