VPN : 95% du marketing est faux

Un journaliste me dit qu’il est “protégé” parce qu’il utilise NordVPN. Je lui demande contre quoi. Silence. Le VPN est là parce que la pub YouTube lui a dit d’en avoir un.

Le piège habituel

Le marketing VPN a réussi un tour de force remarquable : convaincre des millions de gens qu’un VPN est un bouclier universel contre tous les dangers d’internet. “Protégez votre vie privée. Restez anonyme. Sécurisez vos données.” Ces formules s’étalent sur des bannières, des sponsorisations YouTube, des podcasts technos.

La réalité est plus prosaïque. Un VPN est un tunnel. Il déplace votre point de confiance : au lieu que votre FAI voie votre trafic, c’est votre fournisseur VPN qui le voit. C’est parfois utile. Souvent, ce n’est pas la réponse à votre problème.

Le danger n’est pas d’utiliser un VPN. C’est de croire qu’il résout des problèmes qu’il ne touche pas.

Ce qu’un VPN fait vraiment

Soyons précis sur la mécanique. Quand vous activez un VPN :

Le trafic entre votre appareil et le serveur VPN est chiffré. Quelqu’un qui écoute sur le Wi-Fi de votre café ou sur le réseau de votre hôtel voit un flux opaque vers une IP VPN. Il ne voit pas les domaines que vous visitez, pas le contenu. C’est la protection la plus concrète qu’un VPN offre.

Votre IP réelle est masquée aux sites que vous visitez. Le site voit l’IP du serveur VPN, pas la vôtre. C’est de la pseudonymisation, pas de l’anonymat — nuance cruciale que j’aborde dans la section suivante.

Le contournement de censure et de géo-restrictions. En Chine, en Russie, en Iran : le GFW (Great Firewall) bloque des domaines et des plages d’IP. Un VPN avec un serveur à l’étranger permet de contourner ces blocages, selon le protocole utilisé et la sophistication du blocage local.

L’unification du trafic sortant pour les entreprises. C’est d’ailleurs le cas d’usage originel du VPN : forcer tout le trafic des collaborateurs à distance vers l’infrastructure de l’entreprise, pour appliquer des politiques de sécurité et d’accès centralisées.

Ce qu’un VPN ne fait PAS

C’est là que le marketing ment par omission.

Un VPN ne vous rend pas anonyme. Votre fournisseur VPN connaît votre IP réelle, votre heure de connexion, votre volume de trafic. Si vous payez par carte bancaire, il connaît votre identité. Si son infrastructure est compromise ou saisie, ces données peuvent exister même si sa politique dit “no logs”. L’anonymat réel requiert Tor, pas un VPN.

Un VPN ne protège pas vos cookies, votre fingerprint navigateur, vos comptes connectés. Vous activez NordVPN et vous vous connectez à Facebook. Facebook sait parfaitement qui vous êtes. Votre fingerprint navigateur (taille d’écran, polices installées, plugins, comportement de frappe) suffit souvent à vous identifier indépendamment de l’IP.

Un VPN ne chiffre pas le contenu de vos communications. HTTPS s’en charge déjà. Toute communication sur un site en HTTPS est chiffrée de bout en bout entre votre navigateur et le serveur du site — le VPN n’ajoute rien ici sur le contenu lui-même.

Un VPN ne protège pas contre les malwares. Un fichier malveillant téléchargé via un tunnel VPN est toujours malveillant. Un VPN n’est pas un antivirus, pas un sandbox, pas un EDR.

Un VPN ne cache pas votre identité aux services auxquels vous êtes connectés. Si vous êtes loggé sur Google, Google vous identifie. Peu importe l’IP de sortie.

Quand un VPN est réellement utile

Wi-Fi public non maîtrisé. Café, hôtel, aéroport, conférence : vous ne contrôlez pas le réseau. Un VPN chiffre le transit entre vous et le serveur VPN. Aucun attaquant sur ce réseau ne peut lire votre trafic ni faire du DNS spoofing. C’est le cas d’usage le plus solide.

Pays avec surveillance réseau active. En Chine, votre FAI local (qui est en réalité l’État) voit tout votre trafic DNS et HTTP. Un VPN vers un serveur étranger contourne ça — à condition que le protocole ne soit pas détecté et bloqué. WireGuard sur un port non standard, ou des protocoles d’obfuscation (Shadowsocks, V2Ray), sont préférables dans ces contextes.

Masquer son IP pour des recherches OSINT sensibles. Vous faites des recherches sur une entité qui pourrait détecter votre IP (site d’entreprise, infrastructure d’un adversaire). Un VPN déplace l’IP visible. Pas parfait, mais utile.

Accès distant sécurisé au SI d’entreprise. Le cas d’usage classique : les collaborateurs en télétravail se connectent via VPN pour accéder aux ressources internes. WireGuard self-hosted sur un VPS ou un serveur d’entreprise est l’option la plus propre.

Quand un VPN n’est PAS la solution

Contre le traçage publicitaire. Les régies pub utilisent des fingerprints, des cookies persistants, des identifiants publicitaires mobiles, des pixels de tracking — pas votre IP. Changer d’IP ne change rien à votre profil publicitaire. Pour ça : uBlock Origin, Privacy Badger, Firefox avec arkenfox.js ou Brave.

Contre les fuites de données. Quand LinkedIn ou un service que vous utilisez est hacké, c’est votre email et votre mot de passe qui sont leakés — pas votre IP. Un VPN ne protège pas de ça.

Contre les malwares et le phishing. Ouvrir une pièce jointe malveillante dans un tunnel VPN ne change rien à ce qui se passe ensuite sur votre machine.

Analyse des providers

Mullvad : référence du secteur pour la vie privée. Politique no-logs auditée de façon indépendante et répétée. Paiement en cash accepté, ainsi qu’en crypto. WireGuard et OpenVPN. Pas de compte email requis — juste un numéro de compte généré aléatoirement. Open source. Juridiction suédoise (pas idéale politiquement, mais la politique de transparence compense). Si votre usage est centré sur la vie privée, commencez ici.

ProtonVPN : Suisse, open source, audité, intégration avec l’écosystème Proton (mail, calendrier). Niveau de confiance élevé. Plus lent que Mullvad sur certains serveurs. Bonne option pour qui est déjà dans l’écosystème Proton.

IVPN : similaire à Mullvad dans l’approche, moins connu, tout aussi sérieux. Accepte les paiements cash et Monero. À considérer.

AirVPN : communauté technique, politique de logs solide, bonne documentation. Moins de points de présence. Pour les profils techniques qui veulent du contrôle fin.

NordVPN, ExpressVPN, Surfshark : marketing massif, rachats par des groupes d’investissement (Kape Technologies pour ExpressVPN et CyberGhost, Nord Security pour NordVPN). Audits limités en portée. Pas recommandés pour les usages sensibles. Corrects pour débloquer du contenu géo-restreint si c’est tout ce que vous cherchez.

VPNs gratuits : quasi-unanimement problématiques. Le modèle économique d’un VPN gratuit est soit la revente de vos données de navigation, soit l’injection de publicité dans votre trafic, soit pire. Hola VPN revendait la bande passante de ses utilisateurs. Éviter catégoriquement.

Self-hosted WireGuard sur VPS : vous contrôlez l’infrastructure. Excellent pour l’accès au SI d’entreprise. Problème pour la vie privée : vous êtes le seul client de ce VPS — votre trafic sortant est trivialement identifiable. Bon pour chiffrer le transit, pas pour l’anonymisation.

WireGuard vs OpenVPN

WireGuard est le protocole moderne. Environ 4 000 lignes de code (OpenVPN en fait ~100 000) — surface d’attaque drastiquement réduite, plus facile à auditer. Performances nettement supérieures, latence réduite, reconnexion instantanée. C’est le défaut recommandé aujourd’hui.

OpenVPN reste pertinent dans des cas spécifiques : meilleure compatibilité avec certains pare-feux d’entreprise, plus de flexibilité de configuration, historique d’audit plus long. Si vous gérez un VPN d’entreprise avec des contraintes de réseau particulières, OpenVPN peut toujours être le bon choix.

Erreurs fréquentes

Croire qu’activer le VPN rend anonyme. Voir plus haut. Tant que vous êtes connecté à vos comptes, vous êtes identifiable.

Utiliser un VPN gratuit pour les usages sensibles. Le VPN gratuit est la pire option pour quelqu’un qui a réellement besoin de protection.

Ne pas vérifier que le DNS est dans le tunnel. Certaines configurations VPN laissent les requêtes DNS passer en dehors du tunnel (DNS leak). Le site dnsleaktest.com permet de vérifier. Si votre DNS fuite, votre FAI voit quand même les domaines que vous visitez.

Split tunnel pour les usages sensibles. Le split tunneling (seul une partie du trafic passe par le VPN) est pratique mais risqué : le trafic hors tunnel est exposé. Pour les sessions vraiment sensibles, tout le trafic doit passer par le tunnel.

Configurer le VPN après avoir navigué. Si vous vous connectez à un site avant d’activer le VPN, le site a déjà votre IP réelle. Activer le VPN en premier.

• N1 Identifier si votre usage justifie un VPN (Wi-Fi public non maîtrisé ? Pays à censure ? Accès SI entreprise ?)
• N1 Choisir Mullvad, ProtonVPN ou IVPN plutôt qu'un provider grand public
• N2 Vérifier l'absence de DNS leak avec dnsleaktest.com après activation
• N2 Désactiver le split tunnel pour toutes les sessions sensibles
• N2 Pour les missions en pays à censure : installer et tester le VPN AVANT le départ
• N2 Utiliser WireGuard comme protocole par défaut (plus rapide, surface d'attaque réduite)
• N3 Pour l'accès SI entreprise : self-hosted WireGuard sur VPS ou serveur dédié
• N3 Pour les usages haute sensibilité : Tor plutôt qu'un VPN commercial (anonymat réel)