Télécharger
Retour au blog
Guides··9 min de lecture

C'est quoi un VPN ? Le guide complet

Langue: EnglishالعربيةDeutschEspañolفارسیहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt简体中文繁體中文

Un réseau privé virtuel — VPN — est un service qui achemine le trafic internet d'un appareil à travers un tunnel chiffré vers un serveur exploité par le fournisseur. Ce guide explique comment un VPN fonctionne sur le plan technique, ce qu'il peut et ne peut pas faire pour la confidentialité et la sécurité, et comment évaluer les options disponibles.

Ce qu'un VPN fait réellement

Une app VPN crée un tunnel réseau entre l'appareil de l'utilisateur et un serveur distant. Tout le trafic à destination d'internet émis par l'appareil est encapsulé, chiffré et envoyé à travers ce tunnel vers le serveur, qui transmet ensuite le trafic vers sa destination sur l'internet public. Le trafic de retour suit le chemin inverse.

Deux changements concrets découlent de ce dispositif. D'abord, les réseaux situés entre l'appareil et le serveur VPN — y compris le Wi-Fi local, le fournisseur d'accès (FAI) et tout réseau de transit — n'observent qu'un trafic chiffré entre l'appareil et le serveur VPN. Ensuite, l'internet public voit des requêtes provenant de l'adresse IP du serveur VPN plutôt que de l'adresse réelle de l'appareil.

Un VPN modifie donc qui peut observer le trafic et quelle adresse est visible par les services distants. Il ne rend pas, à lui seul, une connexion anonyme et n'élimine pas toutes les formes de pistage.

Comment fonctionne un VPN

Le mécanisme central est l'encapsulation combinée au chiffrement. Lorsque le client VPN est actif, le système d'exploitation achemine les paquets sortants à travers une interface réseau virtuelle créée par l'app VPN. Chaque paquet est enveloppé dans un nouveau paquet — encapsulé — et chiffré à l'aide d'une clé de session négociée lors de l'établissement de la connexion.

Le tunneling

L'encapsulation signifie que le paquet d'origine — y compris son adresse de destination et sa charge utile — devient la charge utile d'un paquet externe adressé au serveur VPN. Le paquet externe traverse l'internet public jusqu'au serveur, qui déchiffre la charge utile et transmet le paquet d'origine plus loin.

Le chiffrement

Les protocoles VPN modernes utilisent des algorithmes de chiffrement authentifié tels que ChaCha20-Poly1305 ou AES-GCM. Les clés de session sont négociées au moment de la connexion à l'aide de protocoles d'échange de clés reposant sur la cryptographie à clé publique. Cela garantit qu'un observateur situé au milieu de la connexion ne peut pas lire le trafic encapsulé ni le modifier sans être détecté.

Routage et DNS

Au-delà du chiffrement, l'app VPN reconfigure également la table de routage du système d'exploitation afin que tout le trafic — ou, dans certaines configurations, seulement certaines destinations — soit envoyé à travers le tunnel. Les requêtes DNS sont elles aussi généralement acheminées via le VPN pour éviter les fuites vers le réseau local.

Cas d'usage courants

Les VPN répondent à plusieurs besoins distincts, et la configuration de fournisseur appropriée dépend de celui qui constitue la motivation principale.

  • Confidentialité vis-à-vis des réseaux locaux.Les connexions au Wi-Fi public — cafés, hôtels, aéroports — peuvent exposer un trafic non chiffré aux autres utilisateurs du même réseau. Un VPN supprime cette exposition, car le trafic est chiffré avant de quitter l'appareil.
  • Confidentialité vis-à-vis des fournisseurs d'accès. Les FAI peuvent observer les destinations des résolutions DNS non chiffrées et les métadonnées des connexions TLS. Un VPN déplace cette visibilité du FAI vers le fournisseur du VPN.
  • Choix de la localisation géographique.Certains services restreignent l'accès en fonction de l'adresse IP de l'utilisateur. Un VPN permet à l'utilisateur de paraître se connecter depuis le pays où se trouve le serveur VPN.
  • Accès réseau pour les organisations.Les VPN d'entreprise servent à permettre aux travailleurs distants d'atteindre des services internes privés qui ne sont pas exposés à l'internet public.

Les protocoles des VPN modernes

Le protocole détermine la manière dont le tunnel est établi, quels algorithmes cryptographiques sont employés et comment la connexion se comporte en cas de perte de paquets ou de changement de réseau. Les protocoles les plus fréquemment rencontrés dans les services VPN grand public sont WireGuard, OpenVPN et IKEv2/IPsec.

WireGuard est le plus récent des trois. Il utilise un petit ensemble de primitives cryptographiques modernes, tient en environ quatre mille lignes de code et est intégré au noyau Linux ainsi qu'à la plupart des systèmes d'exploitation grand public. Sa conception privilégie la simplicité, la performance et une faible surface d'audit.

OpenVPN est plus ancien et nettement plus flexible : il prend en charge de nombreuses suites de chiffrement, transports et options de configuration. Cette flexibilité a pour contrepartie la complexité. OpenVPN reste largement déployé, en particulier dans les environnements d'entreprise.

IKEv2/IPsec est intégré à iOS, macOS et Windows. Il offre de bonnes performances sur les appareils mobiles et gère les changements de réseau — par exemple, le passage entre le Wi-Fi et le réseau cellulaire — avec fluidité.

Une comparaison détaillée des deux protocoles grand public les plus courants est disponible dans notre comparatif WireGuard contre OpenVPN.

VPN face au proxy et à Tor

On confond parfois les VPN avec les proxys et avec le réseau Tor. Les mécanismes et les modèles de menace diffèrent.

Un serveur proxy transmet le trafic d'une application précise — le plus souvent HTTP — vers une destination au nom de l'utilisateur. Les proxys ne chiffrent généralement pas le trafic par eux-mêmes, et ils opèrent au niveau applicatif plutôt qu'au niveau réseau.

Tor est un réseau d'anonymat qui achemine le trafic à travers trois relais choisis dans un ensemble géré par des bénévoles, en chiffrant chaque saut séparément. Tor offre l'anonymat face au réseau — aucun relais isolé ne peut observer à la fois l'origine et la destination — mais il est plus lent qu'un VPN et ne convient pas aux tâches à haut débit.

Un VPN assure le chiffrement face au réseau local et change l'adresse IP visible, mais il déplace la confiance vers le fournisseur du VPN, qui voit l'adresse réelle de l'utilisateur et les destinations qu'il atteint.

Les limites à comprendre

Un VPN n'est qu'un élément d'une posture de confidentialité plus large et ne doit pas être considéré comme une solution complète. Plusieurs limites importantes s'appliquent.

Le fournisseur du VPN est un nouveau point de confiance.Là où le FAI avait auparavant une visibilité sur les connexions, le fournisseur du VPN dispose désormais d'une visibilité équivalente. La crédibilité de la politique sans journaux du fournisseur et de la conception de son infrastructure devient donc importante. Notre guide sur les politiques VPN sans journaux explique ce que de telles affirmations signifient réellement.

La sécurité du terminal reste inchangée.Un VPN ne protège pas contre les logiciels malveillants exécutés sur l'appareil, les attaques par hameçonnage, les extensions de navigateur compromises ou le pistage par des applications déjà autorisées à accéder aux données de l'utilisateur.

Le pistage au niveau des sites web se poursuit.Un VPN change l'adresse IP visible par les services distants, mais n'affecte ni les cookies, ni les empreintes de navigateur, ni les comptes auxquels l'utilisateur est connecté.

Choisir un fournisseur

Au moment d'évaluer les services VPN, plusieurs facteurs méritent examen.

  • Prise en charge des protocoles. Les fournisseurs modernes devraient prendre en charge WireGuard ou IKEv2/IPsec. OpenVPN reste un choix raisonnable pour la compatibilité.
  • Politique de confidentialité et historique d'audit.Une politique de confidentialité courte et précise, accompagnée de résultats d'audit indépendants, est plus crédible qu'un discours marketing vantant un « chiffrement de niveau militaire » sans plus de détails.
  • Exigences de compte.Les services qui fonctionnent sans compte utilisateur conservent moins de données et réduisent le volume d'informations susceptibles d'être exposées en cas de fuite.
  • Implémentation du kill switch.Un kill switch fonctionnel empêche l'exposition du trafic si le tunnel se déconnecte. Notre présentation des kill switchs VPN explique comment vérifier qu'il fonctionne correctement.
  • Juridiction. Le pays dans lequel le fournisseur est enregistré influe sur le régime juridique sous lequel il opère.

Snap VPN est bâti autour de plusieurs de ces principes : un protocole unique, aucun compte utilisateur, un kill switch activé par défaut et un réseau de serveurs sélectionnésdans trois régions plutôt que des dizaines d'emplacements sous-utilisés. Les étapes de configuration détaillées sont documentées dans le guide d'installation pour iPhone.

The Snap VPN Team
Editorial