Un VPN qui laisse fuiter votre vraie adresse IP est pire qu’aucun VPN. Vous croyez être protégé, votre activité continue sous cette hypothèse, et votre vraie identité est exposée en permanence.

Les fuites IP sont plus courantes que la plupart des utilisateurs ne le réalisent. Voici comment les détecter et les corriger.

Types de fuites VPN

Fuites DNS : quand votre appareil envoie des requêtes DNS (résolution de noms de domaine) en dehors du tunnel VPN, vers le serveur DNS de votre FAI plutôt que celui du VPN. Votre FAI peut voir quels sites vous consultez même quand vous pensez être protégé.

Fuites WebRTC : WebRTC est une technologie de navigateur utilisée pour les appels vidéo et la communication en temps réel. Elle peut exposer votre vraie adresse IP directement via votre navigateur, en contournant complètement le VPN. Cela affecte Chrome, Firefox et Edge par défaut.

Fuites IPv6 : la plupart des VPN tunnellisent le trafic IPv4 mais peuvent ne pas gérer l’IPv6. Si vous avez une connexion IPv6 et que le VPN ne la bloque pas ou ne la tunnellise pas, votre vraie adresse IPv6 fuit en parallèle de l’adresse IPv4 du VPN.

Défaillances du kill switch : si votre VPN se déconnecte et que le kill switch ne s’active pas, le trafic revient sur votre connexion réelle.

Comment tester les fuites

Étape 1 : déconnectez votre VPN. Allez sur ipleak.net ou dnsleaktest.com. Notez votre vraie adresse IP et le nom de votre FAI.

Étape 2 : connectez votre VPN. Refaites le test sur le même site.

Étape 3 : vérifiez les résultats :

  • L’adresse IP affichée doit être celle du serveur VPN, pas la vôtre
  • Les serveurs DNS affichés doivent être ceux du fournisseur VPN, pas ceux de votre FAI
  • Aucune adresse IPv6 ne doit apparaître, sauf si vous êtes connecté à un serveur VPN compatible IPv6

Si votre vraie IP, les serveurs DNS de votre FAI ou votre vraie adresse IPv6 apparaissent quelque part dans les résultats, vous avez une fuite.

Comment corriger les fuites DNS

Dans votre application VPN : la plupart des VPN sérieux ont un paramètre de protection contre les fuites DNS. Activez-le s’il n’est pas activé par défaut. NordVPN, Surfshark et ProtonVPN l’ont tous.

Correction manuelle : modifiez vos paramètres DNS pour utiliser les serveurs DNS du VPN ou un service DNS axé sur la vie privée (Cloudflare 1.1.1.1, Quad9 9.9.9.9) plutôt que le serveur par défaut de votre FAI. Cela s’applique au niveau du système d’exploitation : paramètres réseau sur Windows, macOS, iOS ou Android.

Comment corriger les fuites WebRTC

Les fuites WebRTC se produisent dans le navigateur, pas dans le VPN. Options de correction :

Extension de navigateur : installez uBlock Origin (Firefox, Chrome). Dans ses paramètres, désactivez WebRTC. Ou installez une extension dédiée au blocage des fuites WebRTC.

Firefox : allez dans about:config dans la barre d’adresse, cherchez media.peerconnection.enabled, et mettez-le sur false. Cela désactive WebRTC complètement.

Chrome : WebRTC ne peut pas être entièrement désactivé dans Chrome sans extension. Utilisez Firefox ou Brave à la place si les fuites WebRTC vous préoccupent.

Brave : allez dans Paramètres > Confidentialité et sécurité > Politique de gestion des IP WebRTC > Désactiver UDP non proxifié.

Comment corriger les fuites IPv6

Dans votre application VPN : activez la protection contre les fuites IPv6 ou le blocage IPv6. NordVPN bloque IPv6 par défaut. La plupart des fournisseurs sérieux proposent cette option.

Au niveau du système (Windows) : Panneau de configuration > Réseau et Internet > Connexions réseau > clic droit sur votre adaptateur > Propriétés > décochez Protocole Internet version 6.

Au niveau du système (macOS) : Réglages système > Réseau > votre connexion > Détails > TCP/IP > Configurer IPv6 > Désactivé.

Les VPN qui passent systématiquement les tests de fuites

Dans nos tests, NordVPN, ProtonVPN et Mullvad ne montrent systématiquement aucune fuite sur les tests DNS, WebRTC et IPv6 avec leurs paramètres par défaut. Surfshark réussit avec la protection contre les fuites activée (par défaut).

Certains VPN moins chers et gratuits échouent spécifiquement sur les fuites DNS, souvent parce qu’ils ne routent pas les requêtes DNS via leurs propres serveurs.

Envie de comparer tous les VPN côte à côte ? Consultez notre tableau comparatif complet avec les scores sur 18 critères.

Ce qu'il faut retenir

Faites un test de fuite sur ipleak.net maintenant. Ça prend deux minutes et vous dit si votre VPN fonctionne vraiment. Les fuites DNS sont le problème le plus courant : corrigez-les en activant la protection contre les fuites dans votre application VPN. Les fuites WebRTC sont spécifiques au navigateur : corrigez-les dans les paramètres du navigateur ou avec uBlock Origin. Un VPN qui laisse fuiter l'un de ces éléments vous donne un faux sentiment de sécurité.

Lire les résultats : à quoi ressemble un échec

Les tests renvoient des colonnes d’adresses, et la règle de lecture est simple : chaque adresse visible doit appartenir au serveur de votre fournisseur VPN, aucune à votre FAI. Un IPv4 du VPN plus un IPv6 de votre FAI est une fuite (le cas IPv6). Des résolveurs DNS portant le nom de votre FAI, ou indiquant votre pays alors que vous êtes tunnellisé ailleurs, sont une fuite même si la colonne IP paraît propre. WebRTC affichant une adresse locale ou résidentielle à côté de celle du VPN est la fuite du navigateur. Faites une capture d’écran de l’état propre une fois ; les comparaisons futures prennent cinq secondes contre la référence.

Les faux positifs existent aussi : des résolveurs DNS dans des villes inhabituelles mais appartenant au partenaire DNS du fournisseur sont normaux (la géographie anycast est étrange), et qu’IPv6 soit simplement absent est acceptable, car le bloquer est une protection valide. Ce qui compte, c’est la propriété de votre FAI sur quoi que ce soit.

Corriger chaque type de fuite

Fuites DNS : activez le DNS propre du fournisseur dans les paramètres de l’application (généralement ainsi étiqueté), désactivez tout DNS personnalisé que le système d’exploitation transporte, reconnectez-vous, retestez. Les utilisateurs Windows avec des fuites persistantes doivent chercher le bouton “empêcher les fuites DNS” ou d’intégration du pare-feu de l’application, qui existe précisément pour l’enthousiasme du système d’exploitation pour les chemins de résolution parallèles.

Fuites IPv6 : préférez les fournisseurs qui tunnellisent l’IPv6 nativement ou le bloquent proprement (les grands noms font l’un ou l’autre) ; sinon, désactivez IPv6 dans l’adaptateur réseau du système d’exploitation comme correction directe. WebRTC : activez la protection WebRTC de l’extension de navigateur du VPN, ou configurez le flag du navigateur directement ; tester après prend un rechargement. Et la méta-correction pour les échecs répétés sur n’importe quel axe : un fournisseur dont les applications gèrent les trois par défaut, ce qui fait partie de ce que la colonne protection contre les fuites dans notre comparatif note. L’étanchéité par archéologie de configuration est un passe-temps de 2018 ; les applications de premier rang actuelles réussissent simplement ces tests par défaut.

À quelle fréquence retester

Trois déclencheurs, pas un calendrier : après toute mise à jour de l’application VPN ou changement de protocole, après les mises à jour du système d’exploitation (Windows et macOS ont tous deux livré des changements réseau qui ont ressuscité d’anciens chemins de fuite), et sur tout nouveau type de réseau que vous utiliserez régulièrement (le nouveau bureau, le dortoir du semestre). Plus l’habitude trimestrielle pour quiconque dont l’usage du VPN est motivé par la vie privée plutôt que le streaming. Le test prend quatre-vingt-dix secondes ; la défaillance silencieuse qu’il détecte peut durer des mois autrement.

Une dernière habitude distingue les rigoureux des théâtraux : testez sous des conditions d’échec réalistes, pas seulement en état stable. Basculez le Wi-Fi en plein test, réveillez l’ordinateur portable depuis la veille, changez de réseau pendant la connexion ; les fuites vivent dans les transitions, et une configuration qui reste propre à travers elles (le kill switch faisant son travail) est vérifiée dans le seul sens qui compte. Les coches vertes en état stable sont l’endroit où la vérification commence, pas où elle se termine.

(Liste à mettre en marque-page : ipleak.net, browserleaks.com et dnsleaktest.com couvrent ensemble la surface de test complète ; n’importe lequel suffit pour l’habitude trimestrielle, et tous trois sont d’accord quand une configuration est vraiment propre.)

Si un nouveau test échoue après des mois de résultats propres, changez l’ordre de suspicion : mise à jour de l’application en premier, mise à jour du système d’exploitation en second, nouveau réseau en troisième, infrastructure du fournisseur en dernier. Travailler dans cet ordre résout la régression en quelques minutes, et la remarquer signifie que l’habitude trimestrielle vient de rentabiliser chaque réexécution ennuyeuse qui l’a précédée.

À lire aussi : Qu’est-ce qu’un kill switch VPN et pourquoi en avez-vous besoin et Comment vérifier la politique no-log d’un VPN : ce qui compte vraiment comme preuve.