Ce que votre PC envoie en permanence
À chaque instant où votre PC est connecté, il émet du trafic : requêtes DNS pour résoudre les noms de domaine, connexions HTTP/HTTPS vers les sites web, synchronisation cloud en arrière-plan, mises à jour automatiques, télémétrie des applications. Ce trafic contient votre adresse IP — qui révèle votre FAI, votre ville approximative, et identifie votre connexion de façon unique. Il contient aussi vos requêtes DNS, qui reflètent exactement les sites que vous visitez.
Sans protection réseau, tout cela est visible : par votre FAI, par les opérateurs des réseaux que vous traversez, et sur un réseau Wi-Fi public, par n'importe qui avec les outils adéquats. L'antivirus ne voit pas cette couche — il est aveugle au trafic réseau sortant.
Le Wi-Fi public : scénario de risque concret
Connecté au Wi-Fi d'un hôtel, d'un aéroport ou d'un café, votre PC partage le même réseau local que des dizaines d'inconnus. Sur un réseau non chiffré ou mal configuré, une attaque man-in-the-middle permet à un tiers sur le même réseau de se positionner entre votre machine et le routeur. Il intercepte votre trafic, peut lire les communications non chiffrées, injecter du contenu dans les pages que vous visitez, et collecter vos identifiants si vous vous connectez à des services via HTTP.
Un VPN actif chiffre le trafic avant qu'il quitte votre PC. Ce que l'attaquant intercepte est illisible. C'est le cas d'usage le plus simple et le plus convaincant pour le VPN sur PC — une protection que l'antivirus ne peut pas assurer. Pour comprendre comment le ransomware exploite parfois des vecteurs réseau, la page sur ransomware et VPN détaille les mécanismes de propagation.
Les requêtes DNS : la fuite silencieuse
HTTPS chiffre le contenu de vos échanges avec les sites web. Mais avant d'établir une connexion HTTPS, votre navigateur effectue une requête DNS pour résoudre le nom de domaine. Par défaut, cette requête transite en clair vers les serveurs DNS de votre FAI. Votre FAI connaît donc exactement chaque domaine que vous visitez, même si le contenu de vos échanges est chiffré.
Un VPN route ces requêtes DNS à travers son propre tunnel chiffré vers ses propres résolveurs DNS. Votre FAI ne voit plus que vous êtes connecté à un serveur VPN — il ne voit plus les domaines. DNS-over-HTTPS dans le navigateur apporte une protection complémentaire mais partielle : il chiffre les requêtes DNS du navigateur, pas celles des autres applications du système.
Protocoles VPN sur PC — ce qui tourne sous le capot
Sur Windows et macOS, les clients VPN modernes utilisent principalement WireGuard ou OpenVPN. WireGuard est le protocole le plus récent — code source compact (environ 4 000 lignes contre 70 000 pour OpenVPN), performances élevées, consommation CPU faible. OpenVPN est le standard historique, extrêmement audité, très configurable, légèrement plus lourd. Sur PC fixe ou portable avec une connexion correcte, la différence de performance entre les deux est imperceptible pour l'usage courant.
IKEv2/IPSec est souvent utilisé sur les connexions mobiles ou d'entreprise pour sa capacité à gérer les changements de réseau sans coupure. Sur un PC de bureau ou portable en usage personnel, WireGuard est aujourd'hui le choix par défaut des clients VPN bien conçus.
Ce que le VPN ne protège pas sur le réseau
Un VPN ne protège pas contre un malware déjà présent sur votre machine qui communique avec son serveur de commande — la communication passe par le tunnel VPN mais elle a quand même lieu. Il ne protège pas contre le fingerprinting navigateur, qui identifie votre profil sans utiliser l'adresse IP. Il ne protège pas contre les cookies de tracking ou les pixels invisibles dans les pages web. Ces vecteurs nécessitent des protections complémentaires au niveau du navigateur — un angle détaillé dans la comparaison antivirus vs VPN.
| Menace réseau | Sans VPN | Avec VPN actif |
|---|---|---|
| Interception Wi-Fi public | Exposé | Chiffré |
| Requêtes DNS visibles FAI | Visibles | Masquées |
| Adresse IP réelle exposée | Exposée | Masquée |
| Injection de contenu HTTP | Possible | Bloquée |
| Surveillance FAI | Complète | Limitée |
| Communication malware C&C | Active | Toujours active |