Comment fonctionne réellement un VPN : tunnelisation et chiffrement expliqués

Imaginez que vous envoyiez une lettre importante par la poste. Normalement, le facteur peut voir l'adresse du destinataire écrite sur l'enveloppe. Maintenant, imaginez que vous mettez cette lettre dans une boîte verrouillée, puis placez cette boîte dans une autre enveloppe adressée à un ami de confiance. Votre facteur voit seulement où la boîte est envoyée (chez votre ami), pas où votre message original se rend finalement. Votre ami ouvre la boîte, lit votre lettre, et la transmet à sa destination. C'est, en simplifié, comment fonctionne un VPN — Virtual Private Network. Mais comprendre vraiment comment cela marche demande de regarder ce qui se passe sous le capot, sans jargon inutile ni promesses trop belles pour être vraies. Que se passe-t-il quand vous activez un VPN Quand vous appuyez sur le bouton pour démarrer votre VPN, trois choses arrivent rapidement. D'abord, votre appareil (téléphone, ordinateur portable, ordinateur de bureau) se connecte à un serveur contrôlé par la société VPN. Deuxièmement, votre appareil et ce serveur négocient une connexion chiffrée — c'est-à-dire qu'ils conviennent d'une méthode pour transformer vos données en code que seuls eux deux peuvent lire. Troisièmement, une fois cette connexion établie, tout ce que vous faites sur internet passe par ce tunnel chiffré, plutôt que directement à votre fournisseur d'accès internet (FAI). Cette négociation initiale se fait via ce que l'on appelle une poignée de main — handshake en anglais. Votre appareil et le serveur VPN échangent des informations cryptographiques pour s'assurer qu'ils sont tous deux qui ils prétendent être, et pour convenir des clés qui chiffrent et déchiffrent le trafic. C'est un peu comme deux personnes qui conviennent d'un code secret avant d'avoir une conversation privée. L'encapsulation : envelopper votre trafic dans une enveloppe Une fois connecté, chaque donnée que vous envoyez — une requête web, un message, une image — subit une transformation appelée encapsulation. Voici comment : vos données originales restent intact, mais elles sont d'abord chiffrées, puis enrobées dans ce que les ingénieurs réseau appellent un paquet VPN. Ce paquet enrobé a maintenant une nouvelle adresse source (votre appareil semble venir de l'adresse IP du serveur VPN) et une nouvelle destination (le serveur VPN lui-même). Quand votre FAI regarde votre connexion internet, il voit seulement du trafic chiffré allant vers une adresse IP (celle du serveur VPN). Il ne peut pas voir où vous allez vraiment, quels sites vous visitez, ou quel contenu vous téléchargez — seulement que vous communiquez avec un serveur VPN. Le serveur VPN décapsule et transmet Votre trafic encapsulé arrive au serveur VPN. Ce serveur applique la même clé cryptographique pour déchiffrer vos données originales. Ensuite, il regarde votre requête réelle — par exemple, une demande pour accéder à un site web spécifique. Le serveur VPN envoie alors cette requête à sa destination réelle, en utilisant sa propre connexion internet. Du point de vue du site web, la requête semble venir de l'adresse IP du serveur VPN, pas de vous. Quand le site web répond, la réponse revient au serveur VPN. Le serveur chiffre cette réponse avec la même clé, l'enroule dans un paquet VPN, et la renvoie par le tunnel vers votre appareil. Votre appareil déchiffre la réponse et la remet en forme lisible pour votre navigateur. Tout ce processus se répète des milliers de fois par seconde. C'est pour cela que, même avec un VPN activé, la navigation se sent généralement normale — les ordinateurs modernes peuvent chiffrer et déchiffrer très vite. Les protocoles : différentes façons de construire le tunnel Différentes organisations ont créé différentes méthodes pour construire ce tunnel et effectuer ce chiffrement. WireGuard est relativement nouveau, conçu pour être simple et rapide. OpenVPN est plus ancien, largement utilisé, et considéré comme robuste par beaucoup de chercheurs en sécurité. IKEv2 provient d'un standard industriel et fonctionne bien sur les appareils mobiles qui passent d'une connexion wi-fi à une connexion cellulaire. Aucun protocole n'est universellement « le meilleur » — chacun implique des compromis entre vitesse, compatibilité, et prouvabilité de sécurité. Ce que le fournisseur VPN peut voir (et ce qu'il ne peut pas) Ici arrive la partie honnête : un VPN masque vos activités à votre FAI et à votre routeur domestique, mais il ne les masque pas au fournisseur VPN lui-même. Le serveur VPN voit l'adresse IP de destination de votre trafic — il sait que vous visitez un site web particulier, même s'il ne peut pas toujours savoir exactement quelle page vous regardez sur ce site (cela dépend du protocole de chiffrement utilisé par le site). Un fournisseur VPN pourrait, en théorie, enregistrer cet activité et la conserver. C'est pourquoi les chercheurs en sécurité insistent : un VPN n'est pas de l'anonymat. C'est un outil pour déplacer votre confiance de votre FAI vers un autre acteur. Un VPN protège votre trafic en transit — entre votre appareil et le serveur VPN, personne ne peut le lire. Mais une fois déchiffré par le serveur VPN, votre activité dépend de la politique de ce serveur et de ses garanties légales. La prochaine étape Maintenant que vous comprenez comment un VPN construit son tunnel et chiffre le trafic, vous êtes prêt à explorer des questions plus profondes : comment fonctionne réellement le chiffrement ? Qu'est-ce que cela signifie pour un protocole d'être « sûr » ? Et surtout : quand un VPN est-il vraiment utile, et quand ne l'est-il pas ? Ces réponses dépendent de qui vous êtes et de ce que vous essayez de protéger.