Pour réaliser ce guide, nous avons retenu :

• les VPN édités par des entreprises européennes ;
• utilisant des protocoles sécurisés et prenant en charge les fonctionnalités de sécurité basiques ;
• compatibles avec les principales plateformes ;
• que nous avons testés, pour aller plus loin que la fiche technique de l’éditeur et vous donner notre avis informé sur chaque service.

Un virtual private network, ou « réseau privé virtuel » en français, est un mécanisme permettant d’établir un lien direct et privé entre deux ordinateurs distants, ce que l’on appelle communément un tunnel. Un VPN peut être utilisé pour accéder à distance au réseau d’une entreprise, notamment dans le cadre du télétravail, ou bien pour naviguer sur le web au travers d’un serveur distant, notamment pour cacher sa véritable adresse IP. Lorsque nous parlons de VPN dans ce guide, nous parlons en fait de services commerciaux qui proposent des applications permettant d’établir un tunnel sécurisé vers le serveur de son choix dans le pays de son choix. Les services de VPN permettent ainsi de contourner les mesures de restriction géographique et de camoufler son adresse IP domestique.

Le routage VPN implique une réduction de la bande passante, d’autant plus marquée que les opérations sont complexes et que le serveur est saturé. Nous avons utilisé Nperf pour comparer le débit moyen de notre connexion avec un serveur français et un serveur américain avec et sans VPN. Nous avons aussi mené des tests de téléchargement de fichiers depuis un réseau CDN international et navigué normalement sur le web en utilisant plusieurs serveurs dans plusieurs pays. Les services récoltent trois étoiles lorsque le ralentissement est inférieur à 10 %, deux étoiles lorsqu’il est compris entre 10 et 25 %, et une seule étoile lorsqu’il est supérieur à 25 %.

Le routage VPN implique une réduction de la bande passante, d’autant plus marquée que les opérations sont complexes et que le serveur est saturé. Nous avons utilisé Fast.com pour simuler la vitesse de connexion aux serveurs de Netflix à 20 h 00 depuis un serveur VPN en France et un autre aux États-Unis. Nous nous sommes aussi connecté sur plusieurs services depuis d’autres pays, notamment le Royaume-Uni et le Japon, pour vérifier la résistance des services de VPN aux mesures de restriction géographique. Les services récoltent trois étoiles lorsque le ralentissement est inférieur à 10 %, deux étoiles lorsqu’il est compris entre 10 et 25 %, et une seule étoile lorsqu’il est supérieur à 25 %.

Les promesses du marketing n’engagent que ceux qui les croient : un VPN n’est pas fondamentalement sécurisé, et sans pouvoir étudier le code des logiciels employés par les services, il est absolument impossible d’assurer qu’ils respectent vraiment votre confidentialité. Cela étant dit, on peut considérer que les services prenant en charge le protocole Wireguard et offrant une fonctionnalité de blocage des mesures de suivi publicitaire ainsi qu’un système de double VPN sont plus sécurisés que les autres. Chaque point manquant entraine la perte d’une étoile.

Les services de VPN proposent généralement des applications pour macOS, Windows, Linux, iOS, iPadOS et Android. Comme il n’est pas toujours possible d’installer des applications sur les postes professionnels, la plupart d’entre eux offrent aussi des extensions pour les navigateurs (dérivés de) Chrome et Firefox. À l’exception des modèles utilisant Android TV et Fire TV, les (boitiers de) téléviseurs connectés ne sont pas directement compatibles avec les services de VPN. Pour ces appareils comme pour les consoles de jeux, il faut configurer le VPN au niveau du routeur, selon une procédure et une liste de compatibilité propre à chaque service. Ce fonctionnement possède toutefois l’avantage de couvrir tous les appareils de la maison d’un coup.

Des protocoles de plus en plus performants et de plus en plus sécurisés sont apparus au fil des années. Vous ne devriez plus utiliser le protocole PPTP (Point-to-Point Tunneling Protocol), mis au point par Microsoft dans les années 1990, qui utilise une méthode de chiffrement aujourd’hui considérée comme obsolète. Utilisez plutôt des protocoles modernes comme OpenVPN, IKEv2 ou Wireguard. Quelques services proposent leur propre protocole, généralement dérivé de Wireguard et activé par défaut.

Alors que la plupart des protocoles VPN utilisent le mécanisme de sécurisation IPSec, OpenVPN préfère SSL/TLS. Comme ce mécanisme est aussi utilisé par le protocole HTTPS, il est plus difficile de bloquer les connexions OpenVPN, surtout lorsqu’elles utilisent le protocole de transfert TCP, moins rapide mais plus robuste que le protocole de transfert UDP. OpenVPN s’impose comme le meilleur choix pour résister aux tentatives de blocage des régimes autoritaires… ou des réseaux d’entreprise.

Même s’il existe quelques implémentations open source, IKEv2 reste un projet conjoint de Microsoft et Cisco, moins ouvert et moins transparent que d’autres. Ce protocole possède toutefois l’avantage d’une grande sécurité et d’une excellente robustesse aux micro-coupures, qui en font le meilleur choix sur les appareils mobiles. En contrepartie, il est assez facile d’identifier — et donc de bloquer — une connexion avec le protocole IKEv2.

Wireguard est un protocole open source utilisant les toutes dernières avancées en matière de chiffrement pour assurer une connexion rapide et sécurisée. Ce protocole a été audité avant d’être intégré au noyau Linux. La plupart des services utilisent Wireguard avec le protocole de transfert UDP pour privilégier la vitesse, mais quelques-uns permettent de l’utiliser avec le protocole TDP pour empêcher les tentatives de blocage. Pour ne rien gâcher, il résiste bien aux micro-coupures et peut même maintenir une connexion pendant le changement de serveur VPN ou de réseau Wi-Fi. Vous l’aurez compris, Wireguard est en train de s’imposer comme la nouvelle référence.

Quelques services de VPN prétendent avoir conçu leur propre protocole… sans toujours avouer qu’ils utilisent en fait Wireguard. Si ce protocole est activé par défaut, vous pouvez l’utiliser sans crainte, puisque Wireguard est maintenant le meilleur choix. Si le service que vous utilisez propose un choix « automatique » ou « intelligent », n’hésitez pas à l’activer pour changer automatiquement de protocole en cas de tentative de blocage ou de problème de saturation du réseau virtuel.

Les performances des services de VPN dépendent grandement de la saturation des serveurs. Un service utilisant peu de serveurs peinera à répondre à la demande de nombreux utilisateurs. La répartition des serveurs à travers le globe importe peu, sauf si vous voulez accéder au YouTube argentin, au Netflix japonais, au BBC iPlayer britannique, au Xbox Game Pass américain…

La plupart des services de VPN permettent d’utiliser le même compte pour se connecter simultanément sur plusieurs appareils, par exemple un ordinateur de bureau et un smartphone. Dans certains cas, vous devrez toutefois utiliser un protocole différent sur chaque appareil. Si vous voulez couvrir tous les appareils de votre foyer d’un coup, vérifiez que vous configurer le service de VPN de votre choix sur votre routeur.

La blocage des publicités et des traqueurs n’est pas une fonctionnalité des protocoles de VPN, mais une fonctionnalité supplémentaire offerte par certains services. Gardez à l’esprit que les mécanismes de blocage peuvent ralentir la connexion et poser des problèmes de compatibilité avec certains sites web.

Comme son nom l’indique, le double VPN consiste à utiliser… deux serveurs l’un à la suite de l’autre. Ce mode de fonctionnement ralentit sensiblement la vitesse des opérations, mais assure un double chiffrement des données et diminue considérablement le risque de blocage. Soyons francs, si vous n’êtes pas un activiste ou un journaliste travaillant dans un pays « sensible », vous n’avez aucune bonne raison d’utiliser un double VPN. Assurez-vous plutôt que le service qui vous intéresse prend en charge les fonctionnalités de sécurité basiques, comme le kill switch qui assure la confidentialité de votre adresse IP en cas de déconnexion brutale ou le split tunneling qui permet de faire passer certaines applications par la connexion VPN et pas d’autres. Cela tombe bien, c’est le cas de tous les services que nous avons sélectionné.