« Connectez-vous au VPN avant d’ouvrir les systèmes internes » ── ce bouton que vous cliquez chaque matin de télétravail, exactement comme on vous l’a demandé. Sauriez-vous expliquer ce qu’il fait réellement ? Si l’une de ces situations vous parle, lisez la suite.
- Vous cliquez sur « Connecter le VPN » chaque matin, sans la moindre idée de ce qu’il fait
- On vous a dit d’« utiliser le VPN » sur le Wi-Fi du café, mais personne ne vous a expliqué pourquoi
- Vous ne savez pas si les « applis VPN » des publicités YouTube et le VPN de votre entreprise sont seulement la même chose
- Dès que vous vous connectez au VPN, tout internet semble ralentir
Un VPN (Virtual Private Network) est, en une phrase, une ligne privée que votre entreprise ne pourrait jamais tirer physiquement jusqu’à chez vous ── construite virtuellement, en logiciel. Mais cette phrase n’explique ni pourquoi le chiffrement fait toujours partie de l’histoire, ni pourquoi il existe plusieurs sortes de VPN, ni ce qu’un VPN peut et ne peut pas faire.
Cet article ne touche pas un seul écran de configuration et parcourt :
- Les deux problèmes qu’un VPN résout (§1)
- Tunneling et encapsulation ── une enveloppe dans une enveloppe (§2)
- Chiffrement et authentification ── ce que sont vraiment ces quelques secondes après le bouton de connexion (§3)
- Les sortes de VPN ── trois choses différentes sous un même nom (§4)
- Tunnel intégral vs tunnel divisé (§5)
- Ce qu’un VPN ne peut pas faire (§6)
── en prenant le chemin le plus court à travers la logique de son fonctionnement, et rien d’autre.
| Votre question | Section |
|---|---|
| Que fait-il réellement ? | §1 / §2 |
| Que sont ces quelques secondes après le clic ? | §3 |
| Le VPN de mon entreprise et une appli VPN, c’est pareil ? | §4 |
| Pourquoi tout ralentit-il sur le VPN ? | §5 |
| Un VPN me rend-il sûr et anonyme ? | §6 |
Cet article est le premier épisode d’approfondissement de notre série « comment votre PC fonctionne vraiment » (adresses IP, DNS, pare-feu et pourquoi le réseau du bureau est lent). Il se suffit à lui-même, mais lire d’abord les épisodes des adresses (IP) et de la défense (pare-feu) fait s’aligner la chaîne de cause à effet de bout en bout.
1. Les deux problèmes qu’un VPN résout
Avant d’entrer dans la mécanique, commençons par le problème que cet outil est né pour régler. Un VPN résout deux problèmes de natures très différentes.
1-1. Problème A : votre trafic peut être épié en chemin
Quand vous vous connectez à un système de l’entreprise depuis chez vous ou un café, vos données traversent votre FAI, le Wi-Fi public, des équipements d’opérateurs ── un long tronçon d’infrastructure que ni vous ni votre entreprise ne contrôlez. Si quelqu’un sur ce tronçon a de mauvaises intentions, votre trafic est exposé à l’espionnage et à la falsification. Le Wi-Fi public, en particulier, est ── comme on l’a vu dans l’article sur le pare-feu ── un endroit où de parfaits inconnus partagent un réseau avec vous.
1-2. Problème B : les serveurs internes sont tout simplement inaccessibles de l’extérieur
L’autre problème se pose avant même de parler de sécurité. Les serveurs de fichiers et systèmes métier internes n’ont le plus souvent que des adresses IP privées (l’« adresse de l’intérieur de la maison » de l’article sur les adresses IP). Ces adresses internes vivent derrière le NAT, le guichet de traduction, et ne peuvent pas être désignées comme destination depuis le côté internet ── alors oubliez l’espionnage : de l’extérieur, vos paquets ne peuvent physiquement pas y parvenir. Et devant tout cela se dresse un pare-feu, qui refoule le trafic entrant par principe.
Problème A ── épié en chemin
PC maison ──→ Wi-Fi public ──→ opérateur ──→ ... ──→ bureau
└──── tronçon que ni vous ni votre entreprise ne contrôlez ────┘
un acteur malveillant n'importe où = espionnage, falsification
Problème B ── les serveurs internes sont inaccessibles de l'extérieur
PC maison ──→ internet ──→ ✕ pare-feu (« trafic entrant : non, par défaut »)
✕ NAT (« les adresses internes ne peuvent pas être visées de dehors »)
└─ et derrière tout cela : le serveur interne (192.168.x.x)
1-3. Un outil, les deux problèmes
Un VPN résout les deux à la fois : il chiffre tout votre trafic pour régler le problème A, et « câble virtuellement » votre machine dans le réseau de l’entreprise pour régler le problème B. Les sections suivantes prennent les deux mécanismes un par un.
« On a HTTPS ── pourquoi un VPN ? » est une question légitime. HTTPS protège exactement une conversation : votre navigateur et ce site-là. Un VPN protège tout ce qui sort de votre PC, en enveloppant jusqu’à l’information de destination qui dit où vous essayez de vous connecter. Sa couverture est d’un cran plus large.
2. Tunneling et encapsulation ── une enveloppe dans une enveloppe
2-1. Le trafic ordinaire voyage en cartes postales
Les données qui circulent sur un réseau (les paquets) sont, par analogie, des cartes postales. Destinataire et expéditeur y sont écrits là où chaque équipement de la route peut les lire. Chaque équipement lit l’adresse et relaie la carte au suivant. C’est internet fonctionnant exactement comme prévu ── mais retournez la chose, et cela signifie que n’importe qui sur la route peut lire l’adresse.
2-2. L’encapsulation ── la carte postale entre dans une enveloppe
C’est ici que le VPN change la donne. Au lieu d’envoyer la carte telle quelle, il glisse la carte entière dans une enveloppe et écrit une autre adresse dessus. C’est ce qu’on appelle l’encapsulation (emballer un paquet dans un autre).
Encapsulation ── une enveloppe dans une enveloppe
La carte postale d'origine : [À : serveur interne | Contenu : données de travail]
↓ chiffrée, dans l'enveloppe
L'enveloppe : [À : passerelle VPN de l'entreprise | Contenu : ●●●●●●●● (illisible)]
Ce que la route voit :
« une enveloppe adressée à la passerelle VPN de l'entreprise » ── rien d'autre
Deux choses comptent ici.
- Le contenu (la carte d’origine) est chiffré ── sans la clé, impossible à lire
- L’extérieur de l’enveloppe porte exactement une adresse : la passerelle VPN de l’entreprise. À quel serveur interne la carte est destinée ── et de quelles données il s’agit ── reste invisible depuis la route
Ce passage dédié où défilent les enveloppes, on l’appelle, par métaphore visuelle, un tunnel. Le mot pousse à imaginer une ligne physique privée ── mais les enveloppes voyagent en réalité sur l’internet public ordinaire. Rouler sur la voie publique sans que personne ne voie l’intérieur : voilà ce qui lui permet de se comporter comme une ligne privée. C’est exactement le sens de « Virtual Private ».
2-3. Ouverte au bureau ── ce qu’est vraiment « faire comme si on était au bureau »
Quand l’enveloppe atteint la passerelle VPN de l’entreprise, celle-ci la déverrouille, en sort la carte postale et la lâche directement dans le réseau interne. Pour un serveur interne, cette carte ressemble à n’importe quel paquet ordinaire né dans les murs du bureau. Votre PC est peut-être dans votre salon, mais votre trafic part d’une adresse interne ── c’est là tout le tour de passe-passe derrière « faire comme si vous aviez branché un câble Ethernet au bureau ». Les réponses font le même trajet en sens inverse, scellées dans des enveloppes et rapportées jusque chez vous.
Tunnel ≠ ligne privée ≠ ligne plus rapide. Le tunnel, c’est « rouler sur la voie publique dans des enveloppes scellées » ── cela ne rend jamais la route elle-même plus rapide. Au contraire, les enveloppes alourdissent chaque chargement (§5).
3. Chiffrement et authentification ── la serrure de l’enveloppe et le portier de l’entrée
3-1. Le chiffrement ── une enveloppe qui ne s’ouvre pas sans la clé
Ce qui protège le contenu de l’enveloppe, c’est le chiffrement. Les données sont transformées avec des clés que seuls votre machine et la passerelle VPN de l’entreprise connaissent ; pour tout tiers sans la clé, ce n’est que du bruit sans signification. Même si quelqu’un dérobe une enveloppe sur la route, le contenu reste scellé. On classe souvent les VPN selon leur schéma de chiffrement (IPsec, à base de TLS, WireGuard, etc.), mais la structure ── « transporté dans une enveloppe verrouillée » ── est la même partout.
3-2. L’authentification ── le portier à l’entrée du tunnel
L’autre pilier est l’authentification. L’entrée du tunnel est une entrée du réseau de l’entreprise ── tant que la passerelle n’a pas d’abord confirmé que celui qui envoie les enveloppes est bien un employé, aucun chiffrement, si solide soit-il, ne signifie quoi que ce soit. Le standard actuel combine identifiant et mot de passe avec un certificat sur l’appareil et une authentification multifacteur sur le téléphone.
Ces quelques secondes d’attente après le clic sur « Connecter le VPN » ? C’est là que se déroulent la vérification d’identité et l’échange des clés de chiffrement. Ces secondes, ce sont le portier et le serrurier qui font leur travail à l’entrée du tunnel.
Si les identifiants du VPN sont compromis, l’attaquant obtient l’équivalent d’« être branché à une prise Ethernet à l’intérieur de votre bureau ». C’est pourquoi la réutilisation de mot de passe sur un compte VPN est jugée particulièrement dangereuse. Pour construire des mots de passe solides, notre générateur de mots de passe peut aider.
4. Les sortes de VPN ── trois choses différentes sous un même nom
Ce qu’on appelle « VPN » se divise en trois outils distincts, selon où se trouvent les deux extrémités du tunnel. L’essentiel de la confusion se dissout dès qu’on fait cette distinction.
4-1. VPN d’accès distant ── relier une personne à une entreprise
C’est tout ce que nous avons décrit jusqu’ici : un tunnel entre un PC individuel et le réseau de l’entreprise. Le bouton « Connecter le VPN » du télétravail est de cette sorte. Une extrémité du tunnel est votre PC ; l’autre, la passerelle VPN de l’entreprise.
4-2. VPN site à site ── relier un bureau à un autre bureau
Cette sorte maintient un tunnel permanent entre deux sites. Les routeurs, disons, du bureau de Paris et de celui de Lyon sont reliés par un tunnel, et les deux sites se comportent comme un seul réseau interne. Les employés ne cliquent sur rien ── le tunnel est toujours dressé en bordure de chaque site, et que les utilisateurs ne remarquent pas son existence est l’état normal de cette sorte de VPN.
4-3. Services VPN grand public ── relier une personne à un fournisseur de VPN
Les « applis VPN » des publicités sont de cette sorte. Une extrémité du tunnel est votre PC ── mais l’autre extrémité est le serveur d’un fournisseur de VPN, pas une entreprise à vous. Cela ne vous fait entrer dans aucun réseau interne. Ses buts sont au nombre de deux : ① chiffrer le tronçon le plus proche de vous (Wi-Fi public et compagnie), et ② remplacer votre adresse apparente par l’emplacement du serveur du fournisseur.
| VPN d’accès distant | VPN site à site | Service VPN grand public | |
|---|---|---|---|
| Extrémités du tunnel | Votre PC ↔ entreprise | Site ↔ site | Votre PC ↔ fournisseur VPN |
| But principal | Atteindre les systèmes internes de dehors | Fusionner les sites en un réseau | Chiffrer la route, changer la sortie |
| Ce que vous faites | Cliquer sur connecter | Rien (permanent) | Activer l’appli |
| Entre dans une entreprise ? | Oui | (invisible pour les employés) | Non |
Service VPN grand public = outil d’anonymat. Faux. Le fournisseur de VPN se tient à la sortie du tunnel et voit la destination de tout ce que vous faites. La partie capable de vous épier est passée d’« une foule indéterminée le long de la route » à « une société de VPN » ── vous n’êtes pas devenu anonyme, vous avez déménagé votre confiance. Choisir le fournisseur, c’est choisir sa sécurité.
5. Tunnel intégral vs tunnel divisé ── qu’est-ce qui entre dans le tunnel
5-1. Tout emballer, ou seulement ce qui part au bureau ?
Les VPN d’accès distant font face à une grande bifurcation de conception : de tout le trafic qui quitte votre PC, quelle part entre dans le tunnel ?
Tunnel intégral ── chaque paquet entre dans une enveloppe
PC maison ━━━ tunnel ━━━→ bureau ──→ systèmes internes
└──→ internet (web, vidéo ── tout sort par le bureau)
Tunnel divisé ── seuls les paquets pour le bureau ont droit à l'enveloppe
PC maison ━━━ tunnel ━━━→ bureau ──→ systèmes internes
└─────────────────→ internet (le web part directement de la maison)
- Tunnel intégral : destination bureau ou destination internet, tout est mis sous enveloppe et acheminé via l’entreprise. L’entreprise peut inspecter et journaliser tout le trafic à sa propre sortie ── la gestion est centralisée. Le prix : même la navigation ordinaire fait le détour par le bureau
- Tunnel divisé : seul le trafic destiné aux systèmes internes entre dans le tunnel ; le reste part directement de la maison. Le détour disparaît et tout devient réactif ── en échange naît un trafic que l’entreprise ne peut pas voir
5-2. Aucun des deux n’est « le bon »
Il n’y a pas de réponse unique ici, car ce choix est une affaire de politique d’entreprise : que faut-il protéger, et que faut-il pouvoir auditer. Les secteurs aux contrôles d’information stricts penchent vers le tunnel intégral ; les organisations qui privilégient la réactivité et le coût des lignes, vers le divisé. Le choix de votre entreprise décide en grande partie de la vitesse ressentie du télétravail ── si « me connecter au VPN ralentit tout internet » ressemble à votre quotidien, c’est presque à coup sûr le détour du tunnel intégral. La chaîne de cause à effet de cette lenteur est schématisée dans le §4 de « Pourquoi le réseau du bureau est-il si lent ? ».
La mise sous enveloppe (encapsulation) et le chiffrement prélèvent des frais fixes. L’enveloppe occupe de la place que la charge utile aurait pu utiliser, et sceller puis desceller consomme la puissance de calcul de la passerelle VPN. « Un VPN est légèrement plus lent que la ligne nue » n’est pas une panne ── c’est structurel.
6. Ce qu’un VPN ne peut pas faire ── quatre points contre l’excès de confiance
Le VPN est un outil puissant, mais « je suis sur le VPN, donc je suis en sécurité » est un niveau de confiance dangereux. Voici ce qu’il ne peut pas faire, dit sans détour.
6-1. Il n’arrête pas les malwares
Un VPN transporte le contenu de l’enveloppe ── il ne s’intéresse pas du tout à la dangerosité de ce contenu. Un téléchargement malveillant est emballé dans la même enveloppe chiffrée et livré avec la même courtoisie. L’antivirus est un métier à part, confié à des outils à part.
6-2. Il ne cache pas ce que vous faites à destination
Un VPN cache « la route » ── rien de plus. Le site ou service auquel vous vous connectez voit tout ce que vous faites après connexion, exactement comme d’habitude. Passée la sortie du tunnel, c’est simplement l’internet ordinaire.
6-3. Sur un VPN d’entreprise, votre activité devient plus visible, pas moins
Sur un VPN d’accès distant (surtout en tunnel intégral), tout votre trafic passe par la sortie de l’entreprise. Du côté des administrateurs, votre trafic n’est pas caché du tout ── il est visible et journalisé comme si vous étiez à votre poste au bureau. Il ne s’agit pas de surveillance ; c’est que la machinerie qui protège les actifs et les données de l’entreprise est conçue pour fonctionner ainsi.
6-4. La passerelle VPN elle-même devient une cible
L’entrée du VPN est l’une des rares portes qu’une entreprise laisse ouvertes vers l’extérieur. La logique de l’article sur le pare-feu ── toute porte ouverte est une surface d’attaque ── s’applique ici pleinement, et l’exploitation de vulnérabilités d’équipements VPN est devenue une voie classique pour s’introduire dans les entreprises. Le VPN est un équipement de défense qui, laissé sans correctifs, se transforme en la plus grande faiblesse.
Résumé ── l’essentiel en 4 lignes
- Un VPN résout deux problèmes à la fois ── « épié en chemin » et « inaccessible de l’extérieur » ── par le chiffrement plus le câblage virtuel
- Le mécanisme central est l’encapsulation : la carte postale entre dans une enveloppe chiffrée adressée à l’entreprise et voyage sur la voie publique (internet). Parce que l’entreprise l’ouvre, votre PC peut « faire comme s’il était au bureau »
- « VPN » nomme trois choses différentes, selon les extrémités du tunnel (personne↔entreprise / site↔site / personne↔fournisseur). Un service VPN grand public n’est pas un outil d’anonymat ── c’est un déménagement de la confiance
- Tunnel intégral vs divisé est un arbitrage vitesse-contrôle. Et un VPN n’arrête aucun malware pendant que sa propre passerelle attire les attaques ── ce n’est pas un bouclier universel
Les adresses et le NAT vivent dans Qu’est-ce qu’une adresse IP ?, la défense contre le trafic entrant dans Que se passe-t-il sans pare-feu ?, et la vérité derrière la lenteur façon VPN dans Pourquoi le réseau du bureau est-il si lent ?. Avec cet article, le tableau complet de « se connecter au bureau depuis l’extérieur » se rejoint en une seule carte.
FAQ
Q1. Utiliser un VPN me rend-il anonyme ?
R. Non. Sur un VPN d’entreprise, les administrateurs voient votre trafic comme au bureau (§6-3). Sur un service VPN grand public, le fournisseur à la sortie du tunnel voit chaque destination ── et tout site où vous vous connectez sait évidemment qui vous êtes. La seule chose qu’un VPN change, c’est si les tiers le long de la route peuvent vous voir. Ce n’est pas un outil d’anonymat (voir le piège du §4).
Q2. Si je ne visite que des sites HTTPS, ai-je encore besoin d’un VPN ?
R. Ils protègent des périmètres différents. HTTPS protège le contenu d’une conversation entre votre navigateur et un site ── il ne cache pas à quel site vous vous connectez et ne fait rien pour les applications qui ne l’utilisent pas. Un VPN enveloppe tout le trafic qui quitte votre PC, destinations comprises (l’Astuce du §1). Et le problème B ── entrer dans le réseau de l’entreprise (§1-2) ── est une chose que HTTPS ne peut pas résoudre du tout.
Q3. Pendant que je suis sur le VPN de l’entreprise, l’entreprise voit-elle mon trafic personnel ?
R. En tunnel intégral, structurellement oui ── tout passe par la sortie de l’entreprise, donc c’est visible si quelqu’un choisit de regarder (§5, §6-3). En tunnel divisé, le trafic non professionnel ne touche jamais l’entreprise. Quelle conception vous avez, et ce qui est réellement journalisé, relève de la politique de l’entreprise ── consultez le règlement si cela compte pour vous. L’hypothèse sûre : le trafic d’un PC professionnel est visible, point.
Q4. Les applis VPN gratuites sont-elles sûres ?
R. Prudence. Comme l’a montré le §4, un service VPN grand public est un déménagement de confiance ── le fournisseur voit la destination de tout votre trafic. Si le service est gratuit, il faut se demander ce qui couvre les coûts d’exploitation : publicité, analyse ou vente des données de trafic, ou autre chose. Vous pourriez finir par remettre volontairement à une société précisément l’information que vous vouliez protéger.
Q5. Pourquoi internet ralentit-il pendant que je suis sur le VPN ?
R. Deux causes principales. ① En tunnel intégral, même la navigation ordinaire prend le détour physique « maison → bureau → site → bureau → maison » (§5). ② Au coût fixe de l’encapsulation et du chiffrement s’ajoute le fait que, quand les télétravailleurs s’entassent sur une passerelle VPN, la puissance de calcul de l’appareil lui-même s’engorge. Pour la « carte de la lenteur » complète d’un réseau d’entreprise, cet article vous permet de remonter depuis les symptômes.
Laisser un commentaire