Glossaire — Termes VPN en langage clair

Un Kill switch surveille le tunnel VPN et bloque tout le trafic Internet si le tunnel est rompu — par exemple lorsque vous changez de Wi-Fi ou que le serveur perd la connexion. Sans lui, l'ordinateur continue d'envoyer des paquets via votre réseau habituel jusqu'à ce que le client se reconnecte, ce qui révèle votre véritable adresse IP. Pour qui utilise un VPN afin de masquer sa localisation, le Kill switch est en pratique indispensable.

Le Split tunneling divise le trafic en deux chemins. Vous pouvez par exemple faire passer le navigateur par le VPN tout en laissant l'appli bancaire ou les imprimantes locales en dehors, ce qui sinon finit souvent par un blocage du service ou une lenteur inutile. L'inverse du Split tunneling — le tunnel intégral — fait passer tout par le VPN quelle que soit l'appli.

En Multi-hop (parfois appelé double VPN), votre trafic transite par une chaîne de deux serveurs situés dans des pays différents. Le premier serveur voit votre véritable IP mais pas ce que vous consultez ; le second voit la destination mais pas l'origine du trafic. Cela protège contre un fournisseur qui relâcherait sa discipline de non-journalisation, mais coûte en vitesse et reste superflu pour la plupart des utilisateurs.

Chaque fois que vous ouvrez une page web, l'ordinateur résout le nom de domaine via un serveur DNS. Si le trafic DNS part par erreur directement chez votre FAI au lieu de passer par le tunnel VPN, celui-ci voit toujours la liste complète des sites que vous visitez, même si le chargement de la page lui-même est chiffré. La protection contre les fuites DNS force les résolutions à passer dans le tunnel.

Un protocole VPN définit comment le client et le serveur négocient un tunnel chiffré et comment les paquets sont encapsulés. WireGuard est le standard moderne, avec une base de code réduite, rapide et bien adapté aux réseaux mobiles. OpenVPN est plus ancien et plus lent mais extrêmement éprouvé et omniprésent. IKEv2/IPsec gère bien les changements de réseau et est souvent utilisé sur mobile. Évitez les protocoles plus anciens comme PPTP ou L2TP sans IPsec.

Tous les VPN sérieux chiffrent le trafic en AES-256 ou ChaCha20. Les deux sont aujourd'hui pratiquement incassables avec les méthodes connues. Des expressions comme « military-grade » ou « bank-grade encryption » relèvent du pur marketing — un tel standard n'existe pas. Ce qui compte davantage, c'est la façon dont les clés sont échangées et l'utilisation de la perfect forward secrecy, ce que font tous les protocoles modernes.

Le pays où la société a son siège détermine quels tribunaux et services de renseignement peuvent réclamer des données ou contraindre le fournisseur à se mettre à journaliser. Les pays au sein des coopérations Five / Nine / 14 Eyes partagent leurs renseignements de manière routinière ; les fournisseurs basés en dehors (par exemple au Panama ou en Suisse) disposent d'une marge un peu plus large. Cela ne protège toutefois pas contre une mauvaise politique no-logs — un pays sans obligation de conservation ne suffit que si le fournisseur ne conserve effectivement rien.

En savoir plus sur Five / Nine / 14 Eyes →

Le nombre de serveurs est un chiffre populaire à mettre en avant mais qui en lui-même dit peu de choses. Trois mille serveurs dans cinq pays valent moins que trois cents serveurs dans cinquante pays. Ce qui compte, c'est qu'il y ait des serveurs proches de chez vous (latence) et dans les pays auxquels vous avez besoin de vous connecter (géoblocage). Des chiffres élevés reflètent aussi la manière dont le fournisseur compte — instances virtuelles et répartiteurs de charge sont souvent inclus.

Le nombre de pays avec serveurs détermine les régions géographiques depuis lesquelles vous pouvez obtenir une adresse IP. Si vous cherchez à accéder à BBC iPlayer, il faut des serveurs au Royaume-Uni ; pour Netflix US, il en faut aux États-Unis. Pour la plupart des usages, 30 à 50 pays suffisent largement ; au-delà, c'est surtout pour des cas particuliers.

Les emplacements de serveurs vous indiquent où vous pouvez obtenir un point de sortie. Certains fournisseurs exploitent des serveurs physiques dans tous les pays listés ; d'autres utilisent des serveurs virtuels, où la machine se trouve ailleurs mais attribue une adresse IP du pays cible. Pour le géoblocage, les deux se valent ; pour la latence, l'emplacement physique est préférable.

Une offre gratuite est généralement un échantillon, pas une véritable alternative. Les limitations typiques sont 500 Mo à 10 Go de trafic par mois, peu de pays de serveurs et un débit réduit. Évitez les VPN gratuits provenant de fournisseurs inconnus — l'exploitation coûte cher, et si vous ne payez pas, vous êtes probablement le produit (mesure publicitaire ou revente du trafic).

La garantie est en pratique une période d'essai gratuite : vous payez l'abonnement annuel et demandez le remboursement avant l'expiration de la période si vous n'êtes pas satisfait. Lisez les conditions — certains fournisseurs refusent le remboursement si vous avez utilisé trop de trafic, acheté via l'App Store ou souscrit lors de campagnes particulières.

Presque tous les fournisseurs VPN se commercialisent avec un prix de première période fortement remisé puis reviennent à un tarif standard nettement plus élevé au renouvellement. La remise peut atteindre 60 à 80 % la première année. C'est le prix de renouvellement qui constitue le coût à long terme — c'est ce chiffre-là qu'il faut comparer.

La limite régit combien de vos appareils peuvent être connectés simultanément au VPN. Un routeur compte comme un seul appareil mais couvre tout ce qui se connecte derrière lui, ce qui en fait une bonne manière d'économiser des emplacements. Si vous partagez le compte avec la famille, il faut généralement la prise en charge de 5 à 10 appareils simultanés.

Avec un nombre illimité de connexions simultanées, vous pouvez vous connecter sur autant d'appareils que vous le souhaitez en même temps. Pratique pour les grands foyers, les équipements domotiques et si vous souhaitez partager le compte avec la famille proche. Un usage raisonnable est supposé — les fournisseurs réagissent généralement au partage commercial.

La plupart des bloqueurs de publicités VPN sont au fond une liste noire DNS : le serveur refuse de résoudre les domaines publicitaires connus. Cela fonctionne contre les bannières et les traqueurs tiers, mais rate les publicités hébergées sur le même domaine que le contenu (YouTube par exemple). Une extension dédiée comme uBlock Origin est plus rigoureuse. Deux avantages de la variante VPN : elle protège tous les appareils et fonctionne dans les applis, pas seulement dans le navigateur.

Une appli officielle pour le VPN simplifie l'installation et gère automatiquement des détails comme le Kill switch et la protection contre les fuites DNS. La prise en charge habituelle couvre Windows, macOS, Linux, iOS, Android. Si une plateforme manque (un routeur spécifique ou l'Apple TV par exemple), il est souvent possible de se connecter manuellement via des fichiers de configuration OpenVPN ou WireGuard, mais sans les fonctionnalités additionnelles.

Une extension VPN dans Chrome ou Firefox est dans la plupart des cas un proxy HTTPS, pas un véritable tunnel VPN. Seul le trafic du navigateur est protégé ; tout le reste du trafic réseau (autres applis, mises à jour système, client mail) passe par le chemin habituel. Utile pour changer ponctuellement de pays de sortie sans monter un tunnel système, mais ce n'est pas un substitut à un véritable client VPN.

Nous mettons Oui si le site du fournisseur mentionne le streaming comme fonctionnalité. De nombreux services de streaming tiennent à jour des listes d'adresses IP VPN et les bloquent. Un fournisseur qui fonctionne aujourd'hui peut cesser de fonctionner la semaine prochaine. Une courte garantie de remboursement est la meilleure assurance si le streaming est votre objectif principal.

Le nombre de services de streaming que le fournisseur lui-même répertorie comme pris en charge sur son site. Certains listent de manière exhaustive sur une page dédiée, d'autres seulement un sous-ensemble, d'autres ne listent rien du tout.