VPN

01 — DéfinitionQu'est-ce qu'un VPN ?

Un VPN (Virtual Private Network, réseau privé virtuel) est une technologie qui crée un tunnel chiffré entre un appareil et un serveur distant. Tout le trafic réseau de l'appareil passe à travers ce tunnel, ce qui le protège des observateurs intermédiaires et permet de masquer l'adresse IP réelle.

Les trois effets d'un VPN

• Confidentialité : personne entre l'appareil et le serveur VPN (fournisseur d'accès, opérateur Wi-Fi public, pirate en position MITM sur le même réseau) ne peut lire le contenu des communications.
• Masquage d'IP : les sites web visités voient l'adresse IP du serveur VPN, pas celle réelle de l'utilisateur. Utile pour la vie privée vis-à-vis des sites visités.
• Traversée géographique : le trafic sort sur Internet depuis le pays où se trouve le serveur VPN, permettant d'accéder à des contenus géo-restreints (catalogue Netflix d'un autre pays, presse restreinte, etc.).

Deux grandes catégories de VPN

VPN grand public (consumer VPN)

Services commerciaux pour particuliers, orientés confidentialité personnelle : NordVPN, ExpressVPN, Surfshark, CyberGhost, ProtonVPN, Mullvad, IVPN. Caractéristiques : abonnement mensuel ou annuel, nombreux serveurs dans le monde entier, application grand public simple, promesse no-log. Usages types : Wi-Fi publics, contournement géographique, téléchargement P2P, protection contre le fingerprinting publicitaire.

VPN d'entreprise (corporate VPN)

Infrastructure déployée par une entreprise pour permettre à ses employés distants d'accéder aux ressources internes : serveurs de fichiers, applications métier, intranets. Acteurs : Cisco AnyConnect, Fortinet FortiClient, Palo Alto GlobalProtect, Check Point Harmony Connect, Pulse Secure (Ivanti Connect Secure), OpenVPN Access Server, WireGuard auto-hébergé, Stormshield. Usage : télétravail, connexion inter-sites, accès fournisseurs.

Positionnement vis-à-vis d'autres technologies

• Proxy HTTP : relaie uniquement le trafic web d'une application, pas tout le trafic de l'appareil. Moins complet qu'un VPN.
• Tor : réseau d'anonymisation distribué qui fait transiter le trafic par plusieurs nœuds. Plus anonymisant qu'un VPN mais plus lent, usage spécifique.
• ZTNA : architecture moderne qui remplace le VPN d'entreprise en appliquant Zero Trust — accès granulaire par application plutôt qu'accès global au réseau.
• Proxy cloud / SASE : évolution moderne qui intègre VPN, pare-feu, filtrage web et ZTNA dans une plateforme cloud unifiée.

Histoire brève

• 1996 : Microsoft développe PPTP, premier protocole VPN grand public.
• 1998-2005 : émergence d'IPsec, standard enterprise.
• 2001 : OpenVPN, open source, devient la référence flexible.
• 2010+ : explosion des VPN grand public avec la médiatisation de la surveillance (affaire Snowden 2013).
• 2015-2018 : développement de WireGuard par Jason Donenfeld — code minimaliste, performances excellentes.
• 2020 : WireGuard intégré au noyau Linux 5.6.
• 2019+ : émergence du ZTNA comme alternative moderne au VPN d'entreprise.
• 2023-2024 : vagues de compromissions d'équipements VPN (Ivanti, Fortinet, Cisco) accélèrent la transition vers ZTNA.

Le VPN reste utile pour se protéger sur un Wi-Fi public d'aéroport ou contourner une géo-restriction, mais il est loin de la baguette magique d'anonymat que le marketing laisse parfois entendre. Pour l'entreprise, son règne touche à sa fin au profit du ZTNA.

02 — FonctionnementLe tunnel chiffré en pratique

Principe du tunnel

Quand on active un VPN :

1. L'appareil établit une connexion chiffrée avec le serveur VPN (handshake cryptographique, échange de clés).
2. Tout le trafic sortant de l'appareil est encapsulé dans des paquets chiffrés à destination du serveur VPN.
3. Le serveur VPN déchiffre les paquets, extrait la requête originale et la transmet à sa destination réelle sur Internet.
4. Les réponses suivent le chemin inverse : serveur VPN → tunnel chiffré → appareil.

Ce qui se passe côté réseau

Depuis l'extérieur, on voit :

• FAI et réseau local : voient uniquement que l'appareil communique avec l'IP du serveur VPN, sur un port donné (souvent 443 ou UDP 51820 pour WireGuard). Le contenu est chiffré, illisible.
• Sites web visités : voient l'IP du serveur VPN comme source de la requête, pas l'IP réelle de l'utilisateur.
• Serveur VPN : voit le trafic en clair (après déchiffrement) et sait quels sites l'utilisateur visite. D'où l'importance de la confiance dans le fournisseur.

Composants cryptographiques

• Échange de clés : Diffie-Hellman ou variantes (ECDHE pour les courbes elliptiques) pour établir une clé de session sans la transmettre.
• Authentification : certificats X.509, mots de passe, MFA, pre-shared keys selon les protocoles.
• Chiffrement symétrique : AES-256, ChaCha20 pour chiffrer les paquets du tunnel. ChaCha20 est plus performant sur mobiles sans accélération AES.
• Intégrité : HMAC-SHA-256 ou Poly1305 pour détecter toute modification des paquets.

Modes de déploiement

VPN client-to-site (remote access)

Un utilisateur sur son appareil se connecte à un serveur VPN de son entreprise ou d'un fournisseur pour accéder aux ressources protégées. Mode le plus courant pour le télétravail et les VPN grand public.

VPN site-to-site

Deux réseaux (bureaux distants, datacenter + cloud) sont reliés de façon permanente via un tunnel VPN entre leurs pare-feu/routeurs. L'utilisateur final ne voit pas le VPN — il utilise simplement le réseau. Mode entreprise pour interconnecter plusieurs sites.

Full tunnel vs split tunnel

• Full tunnel : tout le trafic de l'appareil passe par le VPN. Plus sûr, mais augmente la charge du serveur VPN et ralentit parfois l'accès à Internet général.
• Split tunnel : seul le trafic vers certaines destinations (ressources internes de l'entreprise, par exemple) passe par le VPN. Le reste va directement sur Internet. Plus performant, mais réduit la confidentialité.

Kill switch

Fonction de sécurité : si le tunnel VPN tombe, le kill switch bloque tout le trafic de l'appareil pour éviter que les paquets sortent en clair via la connexion réelle. Essentiel pour un usage confidentialité — sans kill switch, une brève déconnexion peut exposer l'IP réelle.

DNS et fuites

Piège classique : le trafic passe bien par le VPN mais les requêtes DNS continuent d'aller chez le FAI, qui peut voir tous les sites visités malgré le VPN. Contre-mesure : les VPN modernes forcent les requêtes DNS à passer par leurs propres serveurs DNS à travers le tunnel. À vérifier avec des tests comme ipleak.net ou dnsleaktest.com.

03 — ProtocolesLes technologies VPN

WireGuard (moderne, recommandé)

Protocole développé par Jason Donenfeld à partir de 2015, intégré au noyau Linux depuis 2020. Design minimaliste : ~4 000 lignes de code (contre ~500 000 pour OpenVPN + OpenSSL). Cryptographie moderne et fixe (ChaCha20-Poly1305, Curve25519, BLAKE2s).

• Avantages : extrêmement performant, très simple à configurer, code auditable, reconnexion instantanée en mobilité, faible consommation batterie.
• Limites : plus jeune, certaines fonctions enterprise (gestion centralisée, MFA) nécessitent des surcouches (Tailscale, Netbird, Headscale, Nebula).
• Usage : quasi tous les VPN grand public l'offrent (souvent comme protocole par défaut), en croissance rapide en entreprise via Tailscale et Netbird.

OpenVPN (mature, flexible)

Protocole open source créé en 2001, longtemps la référence. Très flexible — peut tourner sur UDP ou TCP, sur n'importe quel port (souvent 443 pour passer les pare-feu restrictifs).

• Avantages : extrêmement mature, compatible partout, flexible, supporte le SSL/TLS classique.
• Limites : performances moindres que WireGuard, code plus complexe donc plus de surface d'attaque, base OpenSSL historique pleine de CVE.
• Usage : toujours très présent, standard de fait sur l'open source.

IPsec / IKEv2 (standard enterprise)

Suite de protocoles standardisée IETF, omniprésente en entreprise. Opère au niveau IP (couche 3). IKEv2 est le protocole d'échange de clés moderne associé.

• Avantages : standard, supporté par tous les pare-feu enterprise, natif iOS/macOS/Windows.
• Limites : configuration complexe, moins performant que WireGuard.
• Usage : connexions site-to-site entre entreprises, clients mobiles corporate.

PPTP (obsolète, à éviter)

Protocole Microsoft de 1996. Cryptographie cassée depuis longtemps, considéré comme non sécurisé. À ne plus utiliser. Encore parfois proposé par certains services anciens pour compatibilité — ignorer.

L2TP/IPsec

Combinaison L2TP (tunneling) + IPsec (chiffrement). Historiquement populaire mais techniquement dépassé face à IKEv2 et WireGuard. Utilisation en déclin.

SSTP (Microsoft)

Protocole Microsoft propriétaire sur TCP 443. Passe les pare-feu restrictifs mais enfermement dans l'écosystème Microsoft, peu utilisé en dehors.

SSL VPN / clientless VPN

VPN accessibles via navigateur web (portail HTTPS), sans client à installer. Confortables pour les utilisateurs occasionnels mais souvent pointés comme source de risque (CVE massives sur Pulse Secure, Ivanti Connect Secure, Citrix NetScaler Gateway ces dernières années).

Tableau de synthèse

• Particulier moderne : WireGuard (rapide, simple) ou OpenVPN si besoin de compatibilité maximale.
• Entreprise moderne : WireGuard via Tailscale/Netbird, ou ZTNA direct.
• Entreprise legacy : IKEv2/IPsec, OpenVPN, SSL VPN.
• À éviter : PPTP, L2TP/IPsec (pour nouveau déploiement).

04 — UsagesCas concrets d'utilisation

Protection sur Wi-Fi publics

Usage emblématique des VPN grand public. Sur un Wi-Fi d'aéroport, café, hôtel, train, un attaquant peut potentiellement intercepter le trafic non chiffré ou monter un faux point d'accès. Avec HTTPS généralisé, le risque s'est réduit mais reste réel pour : applications non-web, métadonnées visibles (sites visités), certificats non vérifiés par négligence.

Contournement de géo-restrictions

• Accès aux catalogues Netflix/Disney+ d'autres pays.
• Accès à des médias étrangers restreints en France.
• Contournement de blocages d'États (pays avec censure Internet).
• Contournement de restrictions d'entreprise bloquant certains sites.

Note : enfreindre les conditions d'utilisation d'un service par contournement géographique est généralement un manquement contractuel (pas pénal en soi).

Télétravail — accès aux ressources internes

Usage entreprise historique. Un salarié à distance se connecte au VPN de son entreprise pour accéder aux serveurs de fichiers internes, applications métier, intranet, bases de données. Le VPN devient un prolongement du réseau d'entreprise.

Interconnexion de sites et cloud

VPN site-to-site pour relier :

• Bureaux distants d'une même entreprise.
• Datacenter on-premises et cloud (AWS, Azure, GCP).
• Partenaires ou fournisseurs avec accès contrôlé.

Protection de la vie privée quotidienne

• Éviter que le FAI profile la navigation.
• Limiter le tracking publicitaire basé IP.
• Masquer l'IP vis-à-vis de sites P2P, forums.
• Journalistes, militants, lanceurs d'alertes dans des contextes sensibles.

Usage moins recommandé

• Activités illégales : un VPN ne protège pas contre une enquête judiciaire sérieuse. Les fournisseurs coopèrent sous mandat, les techniques modernes d'identification passent outre l'IP.
• Confiance absolue sur le fournisseur : le fournisseur VPN peut voir tout le trafic. Certains ont été pris à logger contrairement à leurs affirmations.

Tor vs VPN

Deux technologies différentes avec des propriétés distinctes :

• VPN : une seule entité (le fournisseur) voit tout le trafic. Rapide.
• Tor : trafic relayé par 3+ nœuds opérés par des bénévoles, aucun ne voit à la fois l'origine et la destination. Bien plus anonymisant mais très lent, nombreux sites bloquent les IP Tor.

Pour un vrai besoin d'anonymat : Tor, dans un environnement maîtrisé (Tails OS, séparation stricte des identités). Pour de la confidentialité au quotidien : VPN.

05 — LimitesCe qu'un VPN ne fait pas

Les promesses marketing trompeuses

Les publicités de VPN grand public promettent souvent davantage que ce que la technologie peut réellement offrir.

« 100% anonyme » — faux

Un VPN change qui peut vous surveiller, pas si vous êtes surveillable. Les sites sur lesquels vous êtes connecté (Google, Facebook, compte bancaire) vous identifient indépendamment du VPN. Le fingerprinting navigateur (canvas, fonts, résolution, polices, extensions) permet de reconnaître un utilisateur dans ~95% des cas selon les études EFF/Panopticlick. Cookies tiers et sessions actives trahissent aussi.

« Protection contre les hackers » — très partiel

Un VPN protège les communications en transit sur le réseau. Il ne protège pas contre : les malwares sur l'appareil, le phishing, le vol de credentials, l'exploitation de CVE applicatives, les attaques ciblées. Le discours « un VPN vous protège contre les hackers » est trompeur.

Le paradoxe de confiance

Sans VPN, vous faites confiance à votre FAI + Wi-Fi local + sites visités. Avec VPN, vous faites confiance au fournisseur VPN + sites visités. On déplace la confiance, on ne l'élimine pas. Un mauvais VPN (gratuit, douteux) peut être pire qu'un FAI français réglementé.

Risques des VPN gratuits

• Revente des données : si le service est gratuit, le produit c'est vous. Plusieurs VPN gratuits revendent les données de navigation à des annonceurs.
• Injection de publicités : insertion de pubs dans les pages web visitées.
• Malware : certaines apps VPN gratuites sur Android ont été trouvées avec du malware (étude CSIRO 2017 : 38% des apps VPN Android gratuites contenaient du malware).
• Pas de garanties techniques : chiffrement faible, fuites DNS, logs non contrôlés.
• Exceptions : le tier gratuit de ProtonVPN est un vrai service complet sans ces travers (modèle freemium).

Vulnérabilités des VPN d'entreprise

Les équipements VPN enterprise sont devenus une cible privilégiée des attaquants. Ils sont exposés à Internet, détenant les credentials d'accès réseau, souvent insuffisamment patchés :

• Pulse Secure / Ivanti Connect Secure : vague massive de compromissions 2020-2024 (CVE-2019-11510, CVE-2021-22893, CVE-2023-46805, CVE-2024-21887).
• Fortinet FortiGate SSL-VPN : plusieurs CVE critiques (CVE-2022-42475, CVE-2023-27997, CVE-2024-21762).
• Citrix NetScaler Gateway : CVE-2023-3519 massivement exploitée.
• Cisco AnyConnect : plusieurs CVE, bruteforces courants.
• Colonial Pipeline 2021 : VPN sans MFA, credential volé, ransomware massif — 4,4 M USD de rançon payée.

Ces incidents accélèrent la transition vers ZTNA.

VPN et Zero Trust

Le VPN d'entreprise classique est l'anti-Zero Trust par excellence : une fois authentifié, l'utilisateur a accès à tout le réseau (ou une grande partie), comme s'il était sur place. Un attaquant avec des credentials VPN valides peut faire du mouvement latéral sans autre contrôle. Le modèle Zero Trust impose au contraire de vérifier chaque accès à chaque ressource individuellement, d'où la transition vers ZTNA.

06 — ActeursLe marché VPN

VPN grand public — leaders privacy

• Mullvad VPN : suédois, 5 €/mois prix fixe, paiement possible en cash ou cryptomonnaie, pas de compte à créer (juste un numéro anonyme), no-log audité. Favori des communautés vie privée exigeantes.
• ProtonVPN : suisse, lié à ProtonMail, tier gratuit utilisable sans limite de temps (débits réduits), no-log audité par des cabinets indépendants. Excellent choix éthique.
• IVPN : gibraltar, très transparent sur son infrastructure, no-log audité, paiements cash acceptés.

VPN grand public — leaders grand public

• NordVPN : panaméen, serveurs très nombreux, bons débits, fonctionnalités étendues (protection malware, double-VPN). Leader en parts de marché.
• ExpressVPN : basé aux BVI, apps soignées, rapidité. Racheté par Kape Technologies en 2021 — controverse sur cette consolidation dans le secteur VPN.
• Surfshark : néerlandais (ex-britannique), bon rapport qualité/prix, illimité en nombre d'appareils. Fusionné avec Nord Security en 2022.
• CyberGhost : roumain, appartient aussi à Kape Technologies.

VPN à éviter selon le contexte

• Kaspersky Secure Connection : contexte géopolitique russe, déconseillé dans plusieurs pays européens.
• VPN gratuits anonymes : Hola VPN (revente de bande passante), anciens Betternet, Hotspot Shield (historique controversé), apps Android obscures.
• VPN avec siège dans les Five/Nine/Fourteen Eyes : pour les usages très sensibles. Moins pertinent pour un usage quotidien.

VPN d'entreprise — appliances et software

• Cisco AnyConnect / Secure Client : dominant enterprise grand compte.
• Fortinet FortiClient / FortiGate SSL-VPN : très présent PME/ETI France.
• Palo Alto GlobalProtect : associé aux pare-feu PA-Series.
• Check Point Harmony Connect.
• Ivanti Connect Secure (ex-Pulse Secure) : historique mais sévèrement impacté par les CVE 2023-2024.
• Citrix Gateway (ex-NetScaler Gateway) : historique mais CVE récentes.
• Stormshield SNS VPN : français, qualifié ANSSI.
• OpenVPN Access Server : open source avec support commercial, auto-hébergé.

WireGuard mesh et solutions modernes

Génération récente qui combine WireGuard + gestion centralisée + authentification moderne. Entre le VPN et le ZTNA :

• Tailscale : le plus populaire, SaaS, très simple à déployer, plan gratuit généreux pour les petites équipes, basé sur Headscale open source.
• Netbird : open source, concurrent direct de Tailscale.
• ZeroTier : mesh VPN avec approche propre.
• Nebula : créé par Slack (maintenant open source Defined Networking), très performant.

ZTNA — successeurs modernes

Pour l'accès distant d'entreprise moderne, privilégier le ZTNA :

• Cloudflare Access : très intégré à l'écosystème Cloudflare.
• Zscaler Private Access (ZPA) : leader historique SASE.
• Netskope Private Access.
• Cisco Duo Network Gateway.
• Microsoft Entra Private Access.
• Citrix Secure Private Access.
• Perimeter 81 (racheté par Check Point).

Tarification indicative 2026

• VPN grand public : 3-12 €/mois (engagement annuel), 10-15 €/mois (mensuel). Attention aux promos première année qui explosent au renouvellement.
• VPN entreprise appliance : intégré au coût du pare-feu NGFW, licences VPN 5-30 € par utilisateur/mois selon gamme.
• WireGuard mesh (Tailscale, Netbird) : 5-20 € par utilisateur/mois.
• ZTNA : 5-15 € par utilisateur/mois en moyenne.

07 — Bonnes pratiquesBien utiliser un VPN

08 — FAQQuestions fréquentes

Un VPN est-il légal en France ?

Oui, entièrement légal. Utiliser un VPN est légal en France, dans l'Union Européenne, aux États-Unis et dans la plupart des pays. Ce qui est illégal, c'est ce qu'on fait derrière le VPN — un VPN ne légalise pas une activité qui serait illégale sans VPN (téléchargement illégal, fraude, etc.). Certains pays interdisent ou restreignent l'usage des VPN : Chine, Russie, Iran, Turquie, Émirats Arabes Unis, Corée du Nord. Dans ces pays, seuls les VPN approuvés par l'État sont autorisés, avec souvent des sanctions pour l'usage de VPN non autorisés.

Un VPN ralentit-il la connexion ?

Oui, inévitablement — mais souvent peu. Le chiffrement ajoute de la latence et la route passe par un serveur intermédiaire. Ordres de grandeur typiques : 10-30% de perte sur un serveur proche géographiquement, 30-70% sur un serveur distant. Avec WireGuard, l'impact est minimal sur une connexion normale (quelques pourcents). Sur OpenVPN, l'impact est plus marqué. Pour minimiser : choisir un serveur proche, utiliser WireGuard, vérifier que le fournisseur a une bande passante suffisante, tester plusieurs serveurs. Un VPN qui ralentit drastiquement (> 70% de perte) indique un problème (serveur saturé, protocole inadapté, routing sub-optimal).

Peut-on se faire identifier malgré un VPN ?

Oui, de nombreuses façons. Les techniques d'identification modernes vont bien au-delà de l'adresse IP : fingerprinting navigateur (canvas, fonts, extensions — identifie dans ~95% des cas), cookies et sessions actives, comptes connectés (Google, Facebook), style d'écriture, timing des actions, patterns comportementaux. Dans un contexte d'enquête judiciaire sérieuse, le fournisseur VPN peut être contraint de coopérer selon sa juridiction. Les fournisseurs no-log sérieux ne peuvent pas livrer ce qu'ils n'ont pas, mais peu de fournisseurs ont prouvé en pratique leur politique no-log face à une demande officielle. Le VPN protège contre la surveillance passive générale, pas contre une enquête ciblée.

Peut-on utiliser un VPN pour regarder Netflix d'un autre pays ?

Techniquement oui, mais de plus en plus difficile. Netflix, Disney+, Amazon Prime Video et autres services de streaming bloquent activement les IP VPN connues. La course entre services et VPN est permanente. Les VPN grand public haut de gamme (ExpressVPN, NordVPN, Surfshark) investissent pour maintenir des serveurs qui « passent », mais les blocages sont fréquents. Côté légalité : contourner les géo-restrictions enfreint les conditions d'utilisation du service (manquement contractuel) mais n'est pas pénalement réprimé en France.

VPN sur mobile, est-ce utile ?

Oui, au moins autant que sur PC. Les mobiles se connectent à de nombreux réseaux Wi-Fi au quotidien, dont beaucoup sont peu sûrs. Les apps mobiles peuvent envoyer des données sans chiffrement correct. Le fingerprinting mobile est aussi présent. Toutes les grandes marques (NordVPN, ProtonVPN, Mullvad) proposent des apps iOS et Android de qualité. Attention à la consommation de batterie — WireGuard est nettement plus économe que OpenVPN. Sur iOS, Apple Private Relay (inclus avec iCloud+) fait une partie du travail d'un VPN basique pour Safari.

Mon VPN d'entreprise surveille-t-il mon trafic personnel ?

Potentiellement oui, selon la configuration. Un VPN entreprise en full tunnel voit tout le trafic de l'appareil, y compris les sites personnels visités. En split tunnel, seul le trafic vers les ressources de l'entreprise passe par le VPN. En France, l'employeur peut surveiller le trafic professionnel avec une finalité légitime (sécurité, abus), sous réserve d'informer les salariés et de respecter le RGPD et le code du travail. Il ne peut pas exploiter les communications clairement personnelles sans base légale. En pratique, distinguer vie pro et vie perso sur un appareil professionnel est incertain — pour les usages personnels sensibles, utiliser son propre appareil.