Qu'est-ce qu'un VPN : fonctionnement et usages
Un VPN (Virtual Private Network) cree un tunnel chiffre entre votre appareil et un serveur distant. Tout le trafic passe par ce tunnel : votre adresse IP reelle est masquee, vos donnees deviennent illisibles pour un tiers qui les intercepterait. Trois protocoles dominent : OpenVPN, WireGuard et IPsec.
L’usage du VPN a quitte le cercle des specialistes. L’ANSSI en recommande l’emploi dans plusieurs guides, les entreprises l’utilisent pour le teletravail, et de nombreux particuliers l’activent sur les reseaux Wi-Fi publics. Comprendre ce qu’un VPN protege vraiment, et surtout ce qu’il ne protege pas, evite les fausses certitudes.
Comment fonctionne un VPN
Le client VPN installe sur votre appareil cree une interface reseau virtuelle. Cette interface intercepte votre trafic avant qu’il ne parte sur Internet, l’encapsule dans une enveloppe supplementaire, le chiffre, puis l’achemine vers le serveur VPN. Le serveur dechiffre les paquets et les transmet vers leur destination finale.
Pour le site web ou le service que vous visitez, la requete semble provenir du serveur VPN, pas de votre machine. Votre adresse IP publique reste invisible. Votre fournisseur d’acces, lui, voit qu’un tunnel est ouvert mais ne peut pas lire ce qui transite a l’interieur.
Le chiffrement repose le plus souvent sur AES-256. Cet algorithme produit 2 puissance 256 combinaisons possibles, un nombre si colossal qu’il est mathematiquement impossible a tester une par une avec les moyens de calcul actuels. C’est le meme niveau de chiffrement employe pour proteger des donnees gouvernementales et bancaires.
Trois etapes resument le trajet d’un paquet de donnees :
- Encapsulation : le paquet d’origine est place dans une enveloppe definie par le protocole
- Chiffrement : le contenu devient illisible sans la cle de dechiffrement
- Routage : l’enveloppe traverse le tunnel jusqu’au serveur VPN qui la dechiffre
Les protocoles VPN expliques
Un protocole VPN definit comment les donnees sont chiffrees, authentifiees et transmises entre le client et le serveur. Le choix du protocole conditionne la vitesse, la securite et la compatibilite de la connexion.
OpenVPN
OpenVPN est un protocole open source cree en 2001. Sa maturite et ses audits independants repetes en ont fait une reference. Il s’appuie sur TLS, le meme protocole qui securise les connexions HTTPS, pour etablir le tunnel. Le chiffrement repose sur AES-256-GCM avec Perfect Forward Secrecy, une propriete qui rend inutilisable une cle volee pour dechiffrer des sessions passees.
Son point faible : il fonctionne en espace utilisateur, ce qui le rend plus lent que les alternatives recentes. Sa flexibilite et sa compatibilite quasi universelle compensent largement ce defaut pour la plupart des usages.
WireGuard
WireGuard adopte une approche plus moderne et compacte. Il utilise ChaCha20 pour le chiffrement et Poly1305 pour l’authentification des messages. Sa base de code tient en quelques milliers de lignes, contre des dizaines de milliers pour OpenVPN, ce qui reduit la surface d’attaque et facilite les audits.
Integre directement au noyau Linux depuis 2020 (version 5.6), il fonctionne en espace kernel. Cette integration explique ses performances superieures : connexions plus rapides, latence reduite, reprise instantanee apres un changement de reseau. C’est souvent le protocole le plus rapide en pratique.
IPsec et IKEv2
IPsec (Internet Protocol Security) est une suite de protocoles definie par l’IETF qui opere au niveau de la couche reseau, la couche 3 du modele OSI. Contrairement a OpenVPN et WireGuard qui travaillent en espace utilisateur, IPsec est integre directement dans la pile TCP/IP du systeme d’exploitation.
IPsec garantit trois proprietes : la confidentialite par chiffrement AES-256-GCM, l’integrite via HMAC-SHA2, et l’authentification des extremites. Associe a IKEv2 pour la negociation des cles, il excelle sur mobile grace a sa capacite a survivre aux changements de reseau entre Wi-Fi et 4G.
| Protocole | Vitesse | Securite | Atout principal |
|---|---|---|---|
| OpenVPN | Moyenne | Tres elevee | Maturite, compatibilite universelle |
| WireGuard | Tres elevee | Tres elevee | Performances, code leger |
| IPsec/IKEv2 | Elevee | Tres elevee | Stabilite sur mobile |
A quoi sert concretement un VPN
Les usages legitimes d’un VPN couvrent autant le particulier que l’entreprise. Chacun repond a un besoin precis de securite ou d’acces.
Securiser un Wi-Fi public. Sur un reseau ouvert (cafe, gare, hotel), un attaquant sur le meme reseau peut intercepter le trafic non chiffre. Le tunnel VPN rend ce trafic illisible. C’est le cas d’usage ou le VPN apporte le gain de securite le plus direct.
Acceder aux ressources internes. En teletravail ou en deplacement, le VPN d’entreprise ouvre un acces distant securise au reseau interne : serveurs de fichiers, applications metier, intranet. L’employe travaille comme s’il etait physiquement connecte au reseau local. Cet acces privilegie doit etre protege par une authentification multifacteur, car un identifiant VPN vole donne sinon une porte d’entree directe sur le systeme d’information.
Proteger sa vie privee. En masquant l’adresse IP, le VPN limite le profilage par adresse IP et complique le suivi geographique. Le fournisseur d’acces ne voit plus le detail des sites visites, seulement qu’un tunnel est actif.
Contourner une restriction geographique. Un serveur VPN situe dans un autre pays fait apparaitre le trafic comme provenant de ce pays. Cet usage reste soumis aux conditions d’utilisation des services concernes.
Les vecteurs d’attaque exploitant un acces distant mal protege figurent parmi les premiers cibles des cybermenaces visant les entreprises. Un VPN exposé sur Internet sans durcissement devient lui-meme une faille.
Ce qu’un VPN ne protege pas
Le VPN ameliore la confidentialite. Il ne garantit pas l’anonymat total, contrairement a une idee repandue. Chiffrer des donnees ne cache pas leur origine ni les traces laissees ailleurs.
Plusieurs limites techniques subsistent meme avec un VPN actif :
- Cookies et empreinte navigateur : le suivi publicitaire continue, le VPN n’y change rien
- Comptes connectes : une session ouverte sur un compte vous identifie, VPN ou pas
- Fuites DNS : si les requetes DNS passent encore par le fournisseur d’acces, l’activite reste tracable
- Fuites WebRTC : certaines fonctions du navigateur peuvent exposer l’adresse IP reelle
Le VPN ne remplace pas un antivirus ni un pare-feu. Il ne bloque pas les logiciels malveillants, ne filtre pas le phishing, ne protege pas contre un site frauduleux. Il securise le transport des donnees, pas le contenu ni le comportement de l’utilisateur. Une politique de mots de passe solide et des mises a jour regulieres restent indispensables, comme detaille dans le guide sur la protection contre les cybermenaces.
Un dernier piege guette : si le tunnel tombe sans que vous le remarquiez, le trafic repart en clair par la connexion normale. C’est le role du kill switch, une fonction qui coupe l’acces reseau des que la connexion VPN chute. Sans elle, une coupure de quelques secondes suffit a exposer l’adresse IP reelle. Cette fonction est presente sur les services serieux, absente de la plupart des offres gratuites.
La promesse no-log de nombreux fournisseurs a aussi ses limites legales et techniques. Un VPN a besoin de certaines informations pour fonctionner, et la juridiction de son siege social peut l’obliger a conserver des donnees.
VPN gratuit ou payant : le vrai cout
Un VPN gratuit se paie autrement. L’infrastructure, les serveurs et la bande passante ont un cout que le fournisseur doit bien recuperer quelque part. Trop souvent, cette compensation passe par vos donnees.
Une etude du CSIRO publiee en 2020 a analyse les applications VPN sur Android : 38 % d’entre elles contenaient des malwares ou des trackers, et 84 % laissaient fuiter le trafic des utilisateurs. Certains services gratuits conservent des logs detailles et les revendent a des courtiers en donnees ou des annonceurs. Le calcul est simple : un service qui ne facture rien finance ses serveurs avec la ressource qu’il detient, votre activite de navigation.
Les VPN payants serieux investissent dans une infrastructure robuste : chiffrement AES-256, large reseau de serveurs, kill switch qui coupe la connexion en cas de chute du tunnel, et protection active contre les fuites DNS. Quelques exceptions gratuites appliquent une vraie politique no-log, mais elles restent minoritaires.
Pour choisir un VPN fiable, vrifiez quatre criteres :
- Politique no-log auditee par un tiers independant, pas seulement annoncee
- Chiffrement AES-256 minimum avec un protocole moderne (WireGuard ou OpenVPN)
- Applications open source, dont le code peut etre inspecte
- Juridiction favorable : siege social hors des zones imposant la conservation de donnees
Un VPN bien choisi s’integre dans une hygiene de securite plus large. Pour les infrastructures qui hebergent leurs propres serveurs d’acces distant, le choix de l’hebergement conditionne la robustesse de la passerelle VPN exposee.
Les VPN sont-ils legaux
Utiliser un VPN est parfaitement legal en France et dans l’Union europeenne. La Cour de justice de l’Union europeenne l’a reaffirme en janvier 2026, tant que l’outil ne sert pas a promouvoir activement des activites illegales. L’ANSSI recommande son usage dans plusieurs de ses guides de securite.
La nuance porte sur l’usage, pas sur l’outil. Contourner les mesures anti-piratage, acceder a des contenus proteges sans autorisation ou commercer des produits illegaux reste interdit, meme si le VPN masque l’activite. Le VPN ne legalise rien : il chiffre une connexion, il ne change pas le droit applicable a ce que vous en faites.
Prochaine etape : tester votre configuration actuelle pour detecter d’eventuelles fuites DNS ou WebRTC, puis choisir un protocole adapte a votre usage principal, WireGuard pour la vitesse, IPsec pour la stabilite mobile, OpenVPN pour la compatibilite maximale.