Le split tunneling VPN est une fonctionnalité qui route une partie de votre trafic internet via le tunnel VPN chiffré tout en laissant le reste se connecter directement à internet. Au lieu de tout protéger ou de ne rien protéger, vous choisissez quelles applications ou quels sites passent par le VPN et lesquels le contournent complètement.
C’est la réponse en une phrase. Voici tout le reste.
Comment fonctionne le split tunneling VPN
Votre application VPN maintient une table de routage qui détermine où va chaque paquet de trafic. Quand le split tunneling est actif, cette table a deux chemins.
Le trafic correspondant à vos règles passe par le VPN : chiffré, avec votre IP remplacée par celle du serveur VPN, routé via un serveur dans l’emplacement que vous avez choisi. Tout le reste prend un chemin direct vers internet en utilisant votre vraie adresse IP, sans chiffrement de la part du VPN.
La plupart des fournisseurs proposent deux modes :
Split tunneling inclusif : la connexion directe est le comportement par défaut. Seules les applications que vous ajoutez à la liste passent par le VPN. À utiliser si vous avez uniquement besoin de protéger des choses spécifiques.
Split tunneling exclusif : le VPN est le comportement par défaut. Seules les applications que vous ajoutez à la liste le contournent. À utiliser si vous voulez que la plupart du trafic soit protégé mais que quelques applications utilisent votre vraie IP.
Certains fournisseurs proposent aussi un split tunneling basé sur les URL ou les plages d’IP, où vous routez des sites web ou des adresses réseau spécifiques via le VPN plutôt que de contrôler ça au niveau des applications.
Quand le split tunneling est vraiment utile
Applications bancaires : certaines banques signalent les connexions depuis des IP VPN et répondent par une vérification supplémentaire ou un blocage temporaire du compte. Exclure votre application bancaire du VPN résout ce problème sans couper la connexion VPN pour tout le reste.
Accès au réseau local : quand vous êtes connecté à un VPN, vos appareils réseau locaux (disques NAS, imprimantes, hubs domotique) deviennent souvent inaccessibles car le trafic est rerouté. Exclure le trafic réseau local (la plage 192.168.x.x) garde ces appareils accessibles.
Streaming géo-bloqué avec services locaux : routez une application de streaming via un serveur étranger pour accéder à du contenu géo-bloqué, tout en gardant d’autres applications sur votre vraie IP pour les services locaux qui bloquent le trafic VPN.
Applications sensibles à la vitesse : le jeu en ligne et les appels vidéo en temps réel sont sensibles à la latence supplémentaire qu’un VPN ajoute. Les exclure tout en routant tout le reste via le VPN est un compromis raisonnable.
Travail et trafic personnel : sur un appareil domestique, vous pouvez router les outils de travail via un VPN d’entreprise tout en faisant passer les applications personnelles par un VPN personnel ou directement. Le split tunneling sépare ces flux sur le même appareil.
Quand le split tunneling crée des risques
Le problème de l’exclusion oubliée : si vous excluez une application du VPN et l’oubliez, vous pouvez ensuite supposer que votre trafic est protégé alors qu’il ne l’est pas. Documentez ce que vous excluez et pourquoi.
Fuites DNS : certaines implémentations de split tunneling routent les requêtes DNS via le VPN pour tout le trafic, y compris le chemin direct. D’autres non. Si les applications exclues utilisent le serveur DNS de votre FAI, votre FAI peut voir quels sites ces applications consultent même si la connexion elle-même contourne le VPN. Faites un test de fuite après la configuration.
Corrélation d’IP : si quelqu’un peut voir à la fois votre IP VPN (depuis le trafic routé via VPN) et votre vraie IP (depuis le trafic direct) simultanément, il peut les corréler pour vous identifier. Pour la plupart des utilisateurs, c’est théorique. Pour les journalistes, militants, ou quiconque avec un vrai modèle de menace, le VPN full-tunnel est plus sûr.
La règle qui le garde gérable : splitez par application en utilisant la fonctionnalité officielle du fournisseur, vérifiez la liste d’exclusions quelques fois par an, et n’excluez jamais une application dont la confidentialité compte vraiment pour vous.
Quels VPN supportent le split tunneling
Tous les fournisseurs ne le supportent pas, et la prise en charge varie significativement selon la plateforme.
| VPN | Windows | macOS | Android | iOS | Par app | Par URL |
|---|---|---|---|---|---|---|
| NordVPN | Oui | Oui | Oui | Limité | Oui | Oui |
| Surfshark | Oui | Oui | Oui | Limité | Oui | Non |
| ExpressVPN | Oui | Oui | Oui | Non | Oui | Non |
| ProtonVPN | Oui | Non | Oui | Non | Oui | Non |
| Mullvad | Oui | Oui | Oui | Non | Oui | Non |
| CyberGhost | Oui | Non | Oui | Non | Oui | Non |
| Private Internet Access | Oui | Oui | Oui | Non | Oui | Oui |
| IPVanish | Oui | Oui | Oui | Non | Oui | Non |
iOS est l’exception. Les restrictions de l’API VPN d’Apple empêchent un vrai split tunneling par application. Quand les fournisseurs revendiquent le support iOS, ils désignent généralement des approximations basées sur les routes, pas le contrôle par application que vous obtenez sur Android ou Windows. Si le split tunneling sur iPhone est une priorité, vos options sont limitées.
Meilleur globalement pour le split tunneling : NordVPN couvre Windows, macOS et Android avec un contrôle par application et par URL. L’implémentation macOS est solide, ce qui le place devant des fournisseurs comme ProtonVPN et CyberGhost qui ont abandonné le support macOS.
Meilleur pour la flexibilité : Private Internet Access correspond à NordVPN en termes de fonctionnalités et est moins cher sur un abonnement 2 ans à environ 1,87 €/mois, bien que son historique d’audit no-logs soit moins fourni.
Meilleur pour les utilisateurs axés sur la confidentialité : le split tunneling de ProtonVPN sur Windows et Android est bien implémenté, et la politique no-logs de l’entreprise a été auditée indépendamment par KPMG. L’absence de support macOS est une vraie lacune.
Comment configurer le split tunneling sur NordVPN (Windows)
- Ouvrez l’application NordVPN et allez dans Paramètres
- Sélectionnez VPN, puis Split Tunneling
- Activez le Split Tunneling
- Choisissez le mode : “Applications” (par app) ou “Sites web/IPs” (par URL)
- Ajoutez les applications ou adresses à exclure (ou inclure, selon le mode)
Une configuration de départ pratique : ajoutez votre application bancaire et votre plage réseau local (192.168.1.0/24) aux exclusions. Faites un test de fuite DNS sur dnsleaktest.com pour confirmer que la configuration se comporte comme prévu.
Envie de comparer tous les VPN côte à côte ? Consultez notre tableau comparatif complet avec les scores sur 18 critères.
Support par plateforme en pratique
Android et Windows bénéficient de l’implémentation la plus complète chez tous les fournisseurs. macOS a un split par application dans certains clients avec des particularités imposées par la plateforme. iOS, comme mentionné, est principalement des approximations basées sur les routes.
Les configurations VPN au niveau du routeur splitent par appareil plutôt que par application. Pour les smart TV et consoles où vous ne pouvez pas installer d’application VPN, router l’appareil lui-même en dehors du tunnel (pendant que tout le reste passe par lui) est souvent plus pratique que n’importe quelle configuration par application sur un téléphone.
Vérifiez la page de support de votre plateforme spécifique avant de construire un workflow autour de cette fonctionnalité. Parmi les options ci-dessus, NordVPN et Private Internet Access couvrent la plus grande variété de plateformes.
Quatre configurations qui valent le temps de les configurer
L’exemption bancaire : routez l’application de votre banque en dehors du tunnel. Certaines banques contestent les IP VPN ou bloquent les comptes ; exclure l’application évite ça tout en gardant tout le reste protégé.
Le split streaming : les applications TV dans le tunnel pour accéder aux catalogues géo-bloqués, la télévision de rattrapage locale en dehors car ces services bloquent souvent les VPN et fonctionnent mieux en connexion directe.
Le split travail : les outils d’entreprise en dehors de votre VPN personnel (le propre client VPN de votre entreprise s’en charge), la navigation personnelle à l’intérieur.
Le split jeu : le trafic de jeu en dehors pour la latence la plus basse, les téléchargements du lanceur et les applications en arrière-plan à l’intérieur où la limitation de bande passante de votre FAI est la plus susceptible de frapper.
Chacun prend deux minutes dans la liste de split tunneling de l’application. Chacun supprime une raison récurrente de désactiver complètement le VPN, ce qui est la vraie valeur de cette fonctionnalité : moins d’exceptions, plus de temps réellement protégé.
Le split tunneling est utile dans des situations spécifiques : applications bancaires qui signalent les IP VPN, accès au réseau local, et trafic sensible à la vitesse. Ce n'est pas quelque chose que la plupart des utilisateurs ont besoin de configurer dès le premier jour. Si vous l'utilisez, documentez vos exclusions, faites un test de fuite DNS, et n'excluez jamais une application dont la confidentialité compte vraiment. NordVPN offre l'implémentation multiplateforme la plus complète. Le VPN full-tunnel reste le défaut le plus sûr pour un usage axé sur la confidentialité.
Poursuivez la lecture : C’est quoi un kill switch VPN et pourquoi en avez-vous besoin et WireGuard vs OpenVPN : quel protocole utiliser en 2026 ?.