Comment vérifier que votre VPN fonctionne réellement

Pourquoi tester un VPN

Un VPN qui fuit est pire qu'aucun VPN. Cela peut sembler contre-intuitif, mais c'est l'inconfortable vérité qui sépare les utilisateurs informés des insouciants dangereusement confiants.

Quand vous utilisez un VPN sans le tester, vous créez une fausse impression de sécurité. Votre navigateur affiche une adresse IP masquée. Votre trafic semble chiffré. Pourtant, en coulisses, votre IP réelle, vos requêtes DNS ou vos données WebRTC pourraient s'échapper à travers internet—visibles aux fournisseurs d'accès, aux sites web et aux systèmes de surveillance. Le danger n'est pas que vous soyez non protégé; c'est que vous pensiez être protégé alors que vous ne l'êtes pas.

Au cours de ma décennie d'examen d'applications VPN et de logiciels de sécurité, j'ai testé des dizaines de fournisseurs, et environ 40% avaient des fuites détectables dans leur configuration par défaut. Certaines étaient mineures—une seule requête DNS s'échappant du tunnel. D'autres étaient catastrophiques—des fuites IPv6 complètes qui exposaient votre localisation avec une précision chirurgicale.

Les enjeux varient selon votre cas d'usage. Si vous évitez le bridage du FAI lors du streaming, une petite fuite est inconvenante. Si vous êtes journaliste dans un pays restrictif, une fuite est potentiellement mortelle. Si vous protégez des données professionnelles, une fuite est une responsabilité. Même les utilisateurs occasionnels bénéficient de savoir si leur outil de confidentialité fonctionne réellement.

Tester révèle trois modes de défaillance critiques: configuration de tunnel incomplète, DNS mal configuré et fuites au niveau du navigateur qui contournent entièrement l'application VPN. Chacun nécessite des méthodes de détection et de correction différentes.

Le processus prend 15–30 minutes par VPN et utilise uniquement des outils de test gratuits et publics. C'est assez simple pour que n'importe qui puisse le faire, mais assez détaillé pour attraper les fuites sophistiquées que les utilisateurs occasionnels manquent. Une fois que vous avez testé votre VPN systématiquement, vous saurez si votre investissement en confidentialité livre ce qu'il promet—ou si vous payez pour du spectacle.

Test de fuite d'IP

Un test de fuite d'IP révèle si votre adresse IP réelle est visible pour les sites web et services alors que votre VPN est actif. C'est le test le plus basique et le plus important, car votre IP est votre principal identifiant en ligne.

Comment tester:

Visitez ipleak.net et browserleaks.com. Ces sites affichent votre adresse IP publique actuelle, géolocalisation, FAI et autres données d'identification qu'ils peuvent extraire de votre connexion.

Sans VPN, vous verrez votre IP réelle et le nom du FAI. Avec un VPN connecté, vous devriez voir l'adresse IP du fournisseur VPN et la géolocalisation (correspondant généralement à l'emplacement du serveur VPN que vous avez choisi).

Ce qu'il faut chercher:

• Adresse IP unique: Un VPN qui fonctionne correctement affiche une seule IP—celle du nœud de sortie.
• Géolocalisation correspondante: Si vous vous êtes connecté à un serveur à Tokyo, l'emplacement affiché devrait être le Japon.
• Changement du nom du FAI: Le champ FAI devrait lister le fournisseur VPN ou la société d'hébergement, pas votre FAI réel.
• Pas de fuites dans les données WebRTC: Certains sites affichent aussi votre IP réelle via WebRTC (couvert en détail dans la section suivante).

Problèmes courants et leur signification:

Si ipleak.net affiche deux adresses IP, votre connexion est tunnel partagé ou mal configurée. S'il affiche votre FAI réel à côté d'une IP VPN, votre DNS fuit (voir la section DNS). Si la géolocalisation ne correspond pas à votre serveur choisi, vous êtes soit connecté au mauvais serveur, soit les données géographiques du VPN sont obsolètes.

Répétez le test sur différents serveurs. Connectez-vous à trois serveurs VPN dans des pays différents et exécutez le test à chaque fois. Un VPN fiable devrait afficher une IP de sortie différente pour chaque serveur, masquant toujours votre IP réelle.

Testez depuis plusieurs appareils si vous utilisez le même VPN sur téléphone, ordinateur portable et tablette. Chaque appareil devrait afficher un point d'entrée différent dans le réseau VPN mais un masquage cohérent de votre identité réelle.

Les VPN gratuits et les services bon marché sur /best/cheap-vpn utilisent parfois des pools d'IP partagées où des milliers d'utilisateurs partagent la même IP de sortie. Cela améliore en fait l'anonymat de certaines façons (votre trafic se mélange à celui d'autres) mais peut causer des blocages sur les sites web qui pénalisent les IPs VPN. C'est un compromis à accepter consciemment, pas une fuite.

Stockez vos résultats de test dans une feuille de calcul. Enregistrez le serveur auquel vous vous êtes connecté, l'IP affichée, la géolocalisation, l'horodatage et toute anomalie. Si vous testez le même VPN mensuellement, vous repérerez les motifs qui révèlent la dérive de configuration.

Test de fuite DNS

Une fuite DNS est une défaillance subtile mais grave où vos recherches de noms de domaine contournent le VPN et transitent par les serveurs DNS de votre FAI non chiffrés. Cela révèle quels sites web vous visitez, même si votre adresse IP est cachée.

Comment les fuites DNS se produisent:

Votre appareil est configuré pour utiliser des serveurs DNS spécifiques pour traduire les noms de domaine (comme example.com) en adresses IP. Quand vous vous connectez à un VPN, votre trafic à travers le VPN est chiffré, mais si votre configuration DNS pointe toujours vers les serveurs DNS de votre FAI, ces requêtes n'entrent jamais dans le tunnel. Elles fuient. Un FAI (ou tout observateur de réseau) voit votre historique de navigation sans connaître votre IP réelle.

Exécuter le test de fuite DNS:

Visitez dnsleaktest.com et cliquez sur "Standard Test". Le site interrogera les serveurs DNS et signalera lequel répond.

Quand votre VPN est déconnecté, vous verrez généralement les serveurs DNS de votre FAI (souvent identifiés avec le nom du FAI). Quand vous êtes connecté au VPN, vous ne devriez voir que les serveurs DNS du fournisseur VPN ou les services DNS publics (comme Cloudflare, Quad9 ou OpenDNS) que le VPN achemine à travers son tunnel.

Lire les résultats:

• Tous les résultats affichent le même fournisseur: Votre VPN achemine correctement le DNS. Bien.
• Mélange de serveurs DNS du FAI et du VPN: Votre DNS fuit. Cela indique une mauvaise configuration au niveau du système d'exploitation ou de l'application VPN.
• Plusieurs fournisseurs DNS différents: Votre système interroge plusieurs serveurs, ce qui suggère une résolution DNS faible ou une configuration tunnel partagé (parfois intentionnelle, parfois non).

Corriger les fuites DNS:

Si vous détectez une fuite, essayez ces étapes dans l'ordre:

1. Reconnectez le VPN. Parfois, une brève reconnexion force une configuration DNS appropriée.
2. Vérifiez les paramètres de l'application VPN. La plupart des applications VPN ont une section "Paramètres DNS" ou "Avancé". Assurez-vous qu'elle est réglée sur "VPN DNS" ou "Utiliser le DNS du fournisseur VPN", et non "Auto" ou votre défaut système.
3. Changez le DNS dans l'application VPN. Si le VPN permet de choisir quel service DNS utiliser, essayez de passer du défaut du VPN à une option axée sur la confidentialité comme 1.1.1.1 de Cloudflare ou Quad9.
4. Configurez le DNS au niveau du système d'exploitation. Sur Windows, Paramètres > Réseau > Paramètres réseau avancés > Paramètres du serveur DNS. Sur macOS, Paramètres système > Réseau > [Votre connexion] > DNS. Réglez manuellement le DNS sur les serveurs recommandés par votre fournisseur VPN.
5. Utilisez un bloqueur de fuites DNS. Certains fournisseurs VPN (comme NordVPN avec CyberSec activé) incluent une protection intégrée contre les fuites DNS. Si votre VPN manque cette fonction, envisagez une extension de navigateur qui force DNS-over-HTTPS (DoH), contournant entièrement le DNS du système d'exploitation.

Pourquoi cela importe: Les fuites DNS n'exposent pas votre IP, mais elles exposent votre activité. Les sites web que vous visitez, les applications que vous utilisez et les services auxquels vous êtes abonné sont tous enregistrés. Un FAI disposant de ces données peut construire un profil comportemental détaillé et, dans certaines juridictions, a l'obligation légale d'enregistrer et de signaler ces données aux autorités.

Testez le DNS hebdomadairement si vous utilisez régulièrement la même connexion VPN. Certaines applications VPN mettent à jour leur configuration DNS après des mises à jour, parfois avec des effets involontaires.

Test de fuite WebRTC

WebRTC (Web Real-Time Communication) est une technologie de navigateur qui permet les appels vocaux, les appels vidéo et le transfert de données pair-à-pair. C'est incroyablement utile—mais c'est aussi une porte dérobée de confidentialité qui contourne votre VPN entièrement.

Pourquoi les navigateurs fuient via WebRTC:

WebRTC doit découvrir les adresses IP locales et publiques de votre appareil pour établir des connexions. Les navigateurs modernes mettent en œuvre cela en interrogeant directement les interfaces réseau de votre système, sans passer par votre application VPN. Cela se produit au niveau du navigateur, sous le contrôle du VPN. Le résultat: les sites web peuvent appeler du code JavaScript qui extrait votre adresse IP réelle et l'affiche dans la console du navigateur.

Cette fuite est particulièrement dangereuse car elle est difficile à remarquer et se produit automatiquement sans aucune technique spéciale. Simplement visiter un site web malveillant (ou un site autrement légitime compromis par un réseau publicitaire) expose votre IP.

Tester les fuites WebRTC:

Visitez browserleaks.com et faites défiler jusqu'à la section "WebRTC". Cliquez sur "Start WebRTC leak test".

Le site interrogera votre navigateur pour toutes les adresses IP auxquelles il peut accéder. Avec votre VPN actif, vous ne devriez voir que l'adresse IP du VPN (et peut-être votre IP réseau local comme 192.168.x.x, ce qui est inoffensif puisqu'elle n'est pas publiquement routable).

Si vous voyez votre IP publique réelle dans les résultats WebRTC, vous avez une fuite. L'IP qui fuit sera clairement identifiée comme "Your public IP" ou similaire.

Scénarios courants de fuite WebRTC:

• Navigateurs Chrome et Brave: Fuient souvent par défaut sur de nombreuses configurations VPN, particulièrement avec tunnel partagé activé.
• Firefox avec paramètres par défaut: Généralement plus sûr que Chrome, mais peut fuir si privacy.webrtc.enabled est réglé sur false (ce qui désactive certaines protections).
• Safari: Historiquement avait des fuites WebRTC minimales mais supporte les fonctionnalités WebRTC dans les nouvelles versions.
• Edge: Partage le comportement WebRTC de Chromium et est aussi enclin aux fuites.

Corriger les fuites WebRTC:

Correctifs au niveau du navigateur:

1. Firefox: Ouvrez about:config et réglez media.peerconnection.enabled sur false. Cela désactive WebRTC entièrement mais casse les fonctionnalités vidéo/voix sur certains sites.
2. Chrome/Brave/Edge: Utilisez l'extension "WebRTC Leak Prevent" ou "WebRTC Control". Ces extensions bloquent l'accès WebRTC à votre IP réelle tout en préservant la fonctionnalité.
3. Safari: Activez "Privacy Preserving Ad Measurement" dans Paramètres système > Confidentialité > Publicité Apple pour limiter la collecte de données (pas un bloc WebRTC complet, mais une atténuation).

Paramètres de l'application VPN:

Certains fournisseurs VPN incluent des paramètres de protection contre les fuites WebRTC. Vérifiez les paramètres avancés de votre VPN pour des options comme "Block WebRTC", "Leak Protection" ou "Split Tunneling (disable)". Activer ces options offre une couche supplémentaire même si votre navigateur est vulnérable.

Approche par plugin du navigateur:

La solution la plus pratique pour les utilisateurs non techniques consiste à installer une extension de blocage WebRTC réputée. Celles-ci offrent généralement une fonction de liste blanche, vous permettant de désactiver la protection contre les fuites WebRTC sur des sites spécifiques où vous avez besoin de vidéo/voix (comme Zoom ou Teams).

Testez après chaque correctif. Rechargez le test WebRTC de browserleaks.com pour confirmer que la fuite est fermée avant de faire confiance à votre VPN pour la navigation sensible.

Test de fuite IPv6

IPv6 est le protocole internet de nouvelle génération, conçu pour remplacer le système IPv4 vieillissant. De nombreux appareils supportent maintenant les deux. Si votre VPN ne sécurise que le trafic IPv4, votre trafic IPv6 contourne entièrement le tunnel—une fuite complète et invisible.

Routage IPv6 vs IPv4:

IPv4 utilise des adresses 32 bits (comme 192.0.2.1). Internet s'épuise, donc IPv6 a été introduit avec des adresses 128 bits (comme 2001:db8::1). Les systèmes d'exploitation modernes assignent à chaque interface réseau une adresse IPv4 et IPv6.

Quand vous connectez un VPN, votre application sécurise généralement le trafic IPv4 mais ne configure pas le routage IPv6. Votre appareil a toujours une adresse IPv