Un VPN chiffre le trafic entre votre machine et un serveur distant, puis substitue votre adresse IP par celle de ce serveur. Ce mécanisme protège la confidentialité de la connexion sur le segment réseau, rien de plus. Un VPN ne vous rend pas introuvable : il déplace le point de confiance de votre fournisseur d’accès vers le fournisseur VPN, et laisse intacts la plupart des vecteurs d’identification exploités en pratique.
Fuites DNS et WebRTC : les failles que le tunnel VPN ne couvre pas
Le tunnel chiffré ne protège que le trafic qu’il encapsule. Or plusieurs mécanismes échappent régulièrement au tunnel, même sur des clients VPN réputés.
A voir aussi : Quel est l’opposé de UX ?
Les fuites DNS sont le cas le plus fréquent. Si le système d’exploitation résout les noms de domaine via le serveur DNS du fournisseur d’accès au lieu du résolveur du VPN, chaque requête expose les sites visités en clair. Sous Windows, le « smart multi-homed name resolution » interroge tous les adaptateurs réseau en parallèle, tunnel ou non. Désactiver ce comportement exige une configuration manuelle ou un client VPN qui force le routage DNS dans le tunnel.
WebRTC pose un problème distinct. Ce protocole, actif par défaut dans la plupart des navigateurs, négocie des connexions pair-à-pair et peut révéler l’adresse IP locale et publique réelle, même derrière un VPN actif. La parade consiste à désactiver WebRTC dans le navigateur ou à utiliser une extension dédiée.
A voir aussi : Comment tromper les détecteurs d'IA ?
- Fuite DNS : vérifiable via des outils comme dnsleaktest.com, à tester après chaque connexion VPN
- Fuite WebRTC : concerne Chrome, Edge et Firefox par défaut, nécessite une désactivation explicite dans about:config ou via extension
- Fuite IPv6 : si le client VPN ne gère que le trafic IPv4, les requêtes IPv6 passent hors tunnel et exposent l’adresse réelle
- Kill switch absent ou mal configuré : en cas de coupure du tunnel, le trafic reprend son chemin normal sans protection

Empreinte navigateur et cookies : l’identification sans adresse IP
Masquer l’adresse IP ne neutralise qu’un seul identifiant parmi des dizaines. Les techniques de fingerprinting du navigateur combinent résolution d’écran, polices installées, fuseau horaire, langue, version du noyau graphique, et comportement du moteur JavaScript pour produire une empreinte souvent unique.
Nous observons que cette empreinte reste stable même en changeant de serveur VPN ou d’adresse IP. Un site qui corrèle le fingerprint à un compte utilisateur ou à un cookie persistant reconstitue le profil sans difficulté. Le VPN n’intervient pas sur cette couche applicative.
Les cookies first-party et les identifiants de session fonctionnent de la même manière. Se connecter à un compte Google, Facebook ou tout service lié à une identité réelle annule l’effet du VPN sur l’anonymat : le service sait exactement qui vous êtes, quelle que soit l’IP source.
Réduire la surface d’identification au-delà du VPN
Tor Browser intègre des contre-mesures spécifiques contre le fingerprinting (fenêtre de taille standardisée, blocage de certaines API). Un navigateur classique, même couplé à un VPN, ne propose rien d’équivalent. Combiner VPN et navigateur Tor réduit la corrélation, mais ajoute une latence notable et ne garantit toujours pas l’anonymat complet.
L’approche recommandée par le cybermalveillance.gouv.fr consiste à réaliser un audit de sa présence en ligne et à restreindre l’accès à ses contenus aux personnes de confiance. Même avec un tunnel chiffré, une identité surexposée sur les réseaux sociaux fournit assez de données pour reconstituer un profil exploitable.
Politique de logs du fournisseur VPN : le maillon juridique
Le fournisseur VPN voit tout ce que le FAI ne voit plus. Il connaît votre adresse IP réelle, les horodatages de connexion, et potentiellement les serveurs de destination si le résolveur DNS lui appartient. La promesse « no-log » dépend entièrement de l’infrastructure, de la juridiction et de la bonne foi de l’opérateur.
Un audit indépendant publié ne prouve la conformité qu’au moment de l’audit. Entre deux audits, rien n’empêche techniquement un fournisseur de modifier sa politique de rétention. Nous recommandons de vérifier si le fournisseur exploite des serveurs en RAM seule (pas de disque dur), car ce modèle rend la conservation de logs structurellement impossible entre deux redémarrages.
VPN et cadre légal français
L’usage d’un VPN reste explicitement autorisé en France. Un amendement récent visant à interdire les VPN sur les réseaux sociaux a été débattu puis rejeté, confirmant que le législateur ne considère pas le VPN comme un outil illicite. La frontière se situe dans l’usage : utiliser un VPN pour masquer une activité illégale ne supprime pas l’infraction.
Sur réquisition judiciaire, un fournisseur VPN soumis au droit européen ou ayant des serveurs en France peut être contraint de coopérer. Les fournisseurs basés dans des juridictions hors accords d’entraide judiciaire offrent une résistance plus longue, pas une immunité.

Corrélation de trafic et adversaires étatiques
Contre un adversaire disposant de points d’observation multiples sur le réseau (opérateur de backbone, agence de renseignement), le VPN offre une protection limitée. L’analyse de corrélation de trafic compare les volumes et les temporalités du flux entrant dans le tunnel avec ceux qui en sortent. Si l’attaquant voit les deux extrémités, il peut relier l’utilisateur à sa destination sans déchiffrer le contenu.
Ce type d’attaque dépasse le modèle de menace de la plupart des utilisateurs. Pour un journaliste, un lanceur d’alerte ou un dissident, le VPN seul est insuffisant. Le réseau Tor, conçu avec un routage en oignon à trois relais minimum, résiste mieux à la corrélation, sans l’éliminer totalement.
Un VPN protège efficacement contre la surveillance passive du FAI, le Wi-Fi public non sécurisé et le géoblocage. Il ne protège pas contre un service auquel vous êtes authentifié, contre le fingerprinting du navigateur, ni contre un adversaire capable d’observer le trafic aux deux extrémités du tunnel. Traiter le VPN comme une couche parmi d’autres, et non comme une solution d’anonymat complète, reste la seule approche réaliste.

