Comprendre ce qu'un tunnel VPN fait et ne fait pas
Un VPN crée un tunnel chiffré entre votre appareil et un serveur distant. Tout le trafic qui passe par ce tunnel sort avec l'adresse IP du serveur VPN, pas la vôtre. Les sites que vous visitez voient l'IP du serveur VPN — c'est le principe de base. Le problème survient quand une partie du trafic — délibérément ou par accident — ne passe pas par ce tunnel. Cette partie expose votre vraie adresse IP.
Ces fuites peuvent être causées par des fonctionnalités du navigateur, par la configuration du système d'exploitation, par un paramètre du client VPN mal configuré, ou par une déconnexion temporaire non gérée. Chaque cause a un mécanisme différent et une correction différente.
La fuite WebRTC — la plus répandue
WebRTC est un ensemble de protocoles intégré dans les navigateurs modernes pour permettre les communications audio et vidéo en temps réel sans plugin. Pour établir une connexion directe entre deux navigateurs, WebRTC doit découvrir les adresses IP des deux parties — y compris l'adresse IP locale du réseau et l'adresse IP publique réelle de l'appareil.
Cette découverte d'adresses se fait via un protocole appelé ICE (Interactive Connectivity Establishment), qui contacte des serveurs STUN pour obtenir l'adresse IP externe. Ces requêtes STUN se font en dehors du tunnel VPN — elles utilisent une connexion directe, pas le tunnel chiffré. Un site web peut exécuter du JavaScript qui déclenche ce processus et lire l'adresse IP réelle ainsi obtenue, même si votre VPN est actif.
La fuite WebRTC est particulièrement sournoise parce qu'elle ne nécessite aucune interaction de l'utilisateur, qu'elle est invisible dans les outils de développement habituels, et qu'elle affecte les navigateurs en mode normal comme en mode privé. La correction est dans le navigateur, pas dans le client VPN.
Firefox : about:config → media.peerconnection.enabled → false. Chrome : extension WebRTC Network Limiter (Google). Brave : désactivé par défaut dans les paramètres de confidentialité.
Le split tunneling — utile mais risqué
Le split tunneling est une fonctionnalité proposée par la plupart des clients VPN modernes. Elle permet de définir quelles applications ou quels sites passent par le tunnel VPN et lesquels utilisent la connexion directe. L'idée est pratique : vous pouvez regarder Netflix avec votre IP locale (pour accéder au catalogue de votre pays) tout en navigant avec le VPN actif pour le reste.
Le problème survient quand le split tunneling est mal configuré ou activé sans compréhension de ses effets. Si votre navigateur est exclu du tunnel — intentionnellement ou par une configuration par défaut mal comprise — toute votre navigation web expose votre vraie adresse IP. Certains clients VPN activent le split tunneling par défaut pour certaines applications système, ce qui peut causer des fuites sans que l'utilisateur en soit conscient.
Pour vérifier, désactivez complètement le split tunneling et relancez un test de fuite complet sur ipleak.net. Si la fuite disparaît, le split tunneling en était la source. Reconfigurez-le en vérifiant explicitement quelles applications sont exclues du tunnel.
L'absence de kill switch — la fuite lors des reconnexions
Les connexions VPN ne sont pas permanentes. Elles se déconnectent quand vous changez de réseau Wi-Fi, quand votre ordinateur sort de veille, quand votre connexion internet est instable, quand le serveur VPN redémarre. Entre la déconnexion et la reconnexion, votre trafic reprend sur votre connexion normale — avec votre vraie adresse IP.
Sans kill switch, cette fenêtre d'exposition peut durer de quelques secondes à plusieurs minutes selon la vitesse de reconnexion du client VPN. Pendant ce temps, toutes vos requêtes réseau — pages web, applications en arrière-plan, synchronisation cloud — exposent votre vraie identité. Sur une connexion mobile qui change fréquemment de point d'accès, ce phénomène peut se produire plusieurs fois par heure.
Le kill switch coupe l'accès internet dès que la connexion VPN est interrompue, et le rétablit uniquement quand le tunnel est réactivé. Il doit être activé manuellement dans les paramètres de la plupart des clients VPN — il n'est pas activé par défaut. Sur certains clients, il est appelé "Network Lock" ou "Internet Kill Switch".
Les fuites IPv6
La plupart des VPN masquent votre adresse IPv4 — le format d'adresse historique (quatre nombres séparés par des points). Mais le protocole IPv6 — le successeur d'IPv4, maintenant largement déployé — est souvent oublié. Si votre connexion supporte IPv6 et que votre VPN ne gère que l'IPv4, vos connexions IPv6 passent en dehors du tunnel et exposent votre adresse IPv6 réelle.
Pour tester, rendez-vous sur ipleak.net et vérifiez la section IPv6 du résultat. Si une adresse IPv6 est affichée et qu'elle correspond à votre fournisseur d'accès, votre VPN fuit en IPv6. La correction est dans les paramètres du client VPN (option "IPv6 leak protection") ou dans la configuration décrite dans notre guide sur les paramètres navigateur et DNS. Voir aussi (option "IPv6 leak protection" ou "disable IPv6") ou dans les paramètres réseau du système d'exploitation en désactivant IPv6 sur l'interface réseau principale.
| Type de fuite | Cause | Détection | Correction |
|---|---|---|---|
| WebRTC | Navigateur, requêtes STUN | ipleak.net section WebRTC | Paramètre navigateur |
| Split tunneling | Configuration VPN | Désactiver le split, retester | Reconfigurer les exclusions |
| Absence kill switch | Déconnexions VPN | Test lors d'une reconnexion | Activer dans les paramètres |
| IPv6 leak | VPN IPv4 uniquement | ipleak.net section IPv6 | Protection IPv6 dans le client |