La plupart des guides VPN sont écrits pour des gens qui veulent regarder Netflix depuis un autre pays ou empêcher leur FAI de vendre leurs données de navigation. Cet article n’est pas ça. Il s’adresse aux personnes dont la sécurité numérique a des conséquences réelles : journalistes travaillant avec des sources sensibles, activistes dans des pays à gouvernements répressifs, lanceurs d’alerte, avocats traitant des dossiers confidentiels, et défenseurs des droits humains opérant dans des environnements hostiles.

Le modèle de menace est différent. Les outils sont différents. Et “suffisamment bien pour la plupart des utilisateurs” n’est pas le standard.

Le modèle de menace pour les utilisateurs à haut risque

Les utilisateurs occasionnels s’inquiètent de leur FAI, des annonceurs et du hacker occasionnel sur un réseau de café. Les utilisateurs à haut risque peuvent faire face à :

  • Des adversaires de niveau étatique avec accès légal aux données FAI et capacité à contraindre les fournisseurs VPN à divulguer des informations
  • Une surveillance ciblée plutôt qu’une surveillance de masse (plus difficile à éviter)
  • La saisie physique d’appareils
  • De l’ingénierie sociale et du phishing ciblant spécifiquement leur identité
  • L’analyse de trafic même quand le contenu est chiffré

Un VPN adresse certaines de ces menaces. Il n’adresse pas toutes. Comprendre l’écart est aussi important que comprendre la protection.

Ce qu’un VPN fait pour les utilisateurs à haut risque

Empêche votre FAI de voir votre trafic : dans de nombreux pays, les FAI sont légalement tenus de conserver les métadonnées de connexion. Un VPN empêche ces métadonnées d’être utiles : votre FAI voit une connexion à un serveur VPN, pas ce à quoi vous accédez.

Masque votre IP aux sites que vous visitez : si vous faites des recherches sur un sujet sensible, vous ne voulez pas que l’opérateur du site ou ses partenaires gouvernementaux voient votre vraie IP et localisation.

Chiffre le trafic sur les réseaux non fiables : essentiel quand vous travaillez depuis des hôtels, aéroports ou tout réseau que vous ne contrôlez pas.

Ce qu’un VPN ne fait PAS pour les utilisateurs à haut risque

Un VPN ne protège pas contre un appareil compromis : si votre appareil est infecté par un malware ou soumis à une surveillance à distance, un VPN n’aide pas. La menace est au niveau de l’appareil, pas au niveau réseau.

Un VPN ne vous rend pas anonyme : votre fournisseur VPN connaît votre vraie IP. Une ordonnance judiciaire, une violation de données ou une menace interne chez la société VPN peut vous exposer. C’est pourquoi le choix du fournisseur et la juridiction comptent davantage pour les utilisateurs à haut risque que pour les utilisateurs occasionnels.

Un VPN ne protège pas contre l’analyse des métadonnées : les attaques de timing de trafic, où un adversaire corrèle le moment où vous vous connectez à un VPN avec l’apparition d’activité à une destination, peuvent partiellement dé-anonymiser l’utilisation VPN. Cela nécessite des capacités significatives (niveau étatique) et est rare en pratique.

Un VPN ne protège pas vos comptes : si vous vous connectez à des comptes identifiables en utilisant un VPN, ces comptes savent qui vous êtes de toute façon.

Les bons choix VPN pour les utilisateurs à haut risque

Mullvad : l’étalon-or de l’anonymat

Aucun email requis pour créer un compte. Numéros de compte générés aléatoirement. Paiement en espèces accepté par courrier. Monero et Bitcoin acceptés. Aucune donnée personnelle collectée à l’inscription ou par la suite.

La juridiction suédoise est techniquement dans les 14 Eyes, mais le bilan éprouvé en justice de Mullvad (raid de police en 2023, repartis les mains vides) est plus convaincant que n’importe quel audit. La loi suédoise n’exige pas de Mullvad qu’il conserve les données des utilisateurs.

Pour les journalistes et activistes : Mullvad est le bon choix si minimiser la chaîne de données entre votre identité et votre utilisation VPN est la priorité.

ProtonVPN : juridiction suisse avec transparence maximale

Juridiction suisse, applications open source, politique no-logs auditée par KPMG, architecture Secure Core (achemine via deux serveurs ProtonVPN avant de sortir). Géré par Proton AG, qui a un historique documenté de résistance aux demandes de données gouvernementales.

Le compte nécessite une adresse email, ce qui est un point de départ d’anonymat plus faible que Mullvad. Utilisez une adresse ProtonMail (également suisse, même société) pour minimiser l’exposition.

Essayer ProtonVPN

Tor vs VPN pour les utilisateurs à haut risque

Tor offre un anonymat plus fort que n’importe quel VPN car aucune partie ne voit à la fois votre identité et votre destination. Pour accéder à des ressources sensibles, communiquer avec des sources ou toute activité où lier la destination à vous crée un risque réel, Tor est l’outil approprié.

Le compromis : Tor est significativement plus lent et peu pratique pour un usage internet général.

Tor Browser doit être utilisé (pas seulement le réseau Tor dans un navigateur standard) pour adresser également le fingerprinting de navigateur.

VPN sur Tor ou Tor sur VPN sont tous les deux des options selon la menace. Tor sur VPN (VPN en premier, puis Tor) cache l’utilisation de Tor à votre FAI et empêche le noeud d’entrée de connaître votre vraie IP. La plupart des organisations journalistiques recommandent Tor Browser pour la recherche sensible et la communication avec les sources.

Au-delà du VPN : la boîte à outils complète à haut risque

Un VPN est une couche. Une posture de sécurité complète pour les utilisateurs à haut risque inclut également :

Sécurité de l’appareil : chiffrement complet du disque (activé par défaut sur iOS et Android modernes, nécessite une configuration sur Windows et macOS). Code d’accès fort. Verrouillage automatique après inactivité.

Tails OS : un système d’exploitation live qui s’exécute depuis une clé USB, achemine tout le trafic via Tor par défaut et ne laisse aucune trace sur l’ordinateur. Recommandé pour les travaux extrêmement sensibles où la saisie d’appareil est un risque.

Signal : messagerie chiffrée de bout en bout avec messages éphémères. Vérifiez les numéros de sécurité avec vos contacts.

Cloisonnement : utilisez des appareils ou profils séparés pour les travaux sensibles et l’activité personnelle. Ne mélangez pas les identités.

Protection des sources : les journalistes spécifiquement devraient utiliser SecureDrop pour recevoir des documents de sources anonymes. Un VPN ne fournit pas la protection que SecureDrop offre pour ce cas d’usage.

Recommandations pratiques par niveau de risque

Risque modéré (journaliste dans un pays démocratique, avocat traitant des dossiers confidentiels) : ProtonVPN ou Mullvad. Tor Browser pour la recherche sensible. Signal pour la communication.

Risque élevé (activiste dans un pays répressif, journaliste couvrant le crime organisé ou la corruption gouvernementale) : Mullvad ou Tor exclusivement. Tails OS pour le travail. Aucun compte connecté pendant les sessions sensibles. Paiement en espèces pour le VPN.

Risque extrême : le VPN seul est insuffisant. Consultez la Digital Security Helpline d’Access Now, le guide Surveillance Self-Defense de l’EFF, ou un formateur en sécurité numérique dédié d’une organisation comme le Committee to Protect Journalists (CPJ) ou Reporters Sans Frontières (RSF).

Envie de comparer tous les VPN côte à côte ? Consultez notre tableau comparatif complet avec les scores sur 18 critères.

En résumé

Pour les utilisateurs à haut risque, Mullvad et ProtonVPN sont les seuls VPN qui méritent considération. Mullvad offre un anonymat plus fort dès l'inscription. ProtonVPN offre la juridiction suisse avec une transparence technique maximale. Un VPN est une couche de protection, pas une solution complète. Pour les travaux impliquant des sources sensibles ou des environnements à gouvernement hostile, Tor et Tails sont des compléments essentiels.

La couche de discipline qu’aucun outil ne remplace

L’inconfortable vérité que ce guide doit à ses lecteurs : chaque outil ci-dessus échoue face à une pratique négligée, et la plupart des compromissions documentées de journalistes et activistes sont passées par les téléphones, les comptes et les personnes plutôt que par un chiffrement cassé. La pile d’outils ne fonctionne qu’à l’intérieur de la pile de discipline : appareils séparés ou profils durcis par identité, pas de contamination croisée de comptes ou de style d’écriture, mises à jour appliquées le jour de leur sortie, et l’hypothèse que n’importe quelle couche peut tomber. Entraînez la routine avant l’assignation qui en a besoin ; la crise est la mauvaise salle de classe.

Les organisations comptent aussi : les équipes de sécurité des rédactions, les organisations de liberté de la presse et les lignes d’assistance en sécurité numérique existent précisément pour analyser les modèles de menace individuellement, et une heure de consultation bat n’importe quel article, y compris celui-ci.

(Cette page s’arrête délibérément avant les détails opérationnels qui varient selon la région et l’adversaire ; les organisations nommées ci-dessus fournissent des conseils individualisés, et les atteindre via un canal propre est lui-même la première leçon.)

Continuer à lire : VPN vs Tor : lequel utiliser ? et Meilleur VPN pour la vie privée en 2026 : audité, testé, sans compromis.