VPN Kill Switch et Test Fuite DNS : Vérifier Sa Sécurité
securite

VPN Kill Switch et Test Fuite DNS : Vérifier Sa Sécurité

11 min de lecture

Vous avez souscrit un abonnement VPN, installé l’application, et vous vous sentez protégé. Mais l’êtes-vous vraiment ? En tant qu’ingénieur en cybersécurité, je constate régulièrement que des utilisateurs naviguent avec un VPN activé tout en étant exposés par des fuites qu’ils ignorent complètement.

Un VPN mal configuré peut créer un faux sentiment de sécurité plus dangereux que l’absence de VPN. Dans cet article, nous allons décortiquer les mécanismes de protection essentiels — kill switch, protection DNS, IPv6 et WebRTC — et vous donner une procédure de test complète pour vérifier que votre VPN fait réellement son travail.

Le kill switch : votre dernière ligne de défense

Pourquoi le kill switch est indispensable

Une connexion VPN peut tomber à tout moment : micro-coupure de votre connexion Internet, changement de réseau Wi-Fi, mise en veille de l’ordinateur, surcharge temporaire du serveur VPN. Sans kill switch, votre appareil se reconnecte automatiquement à Internet via votre connexion habituelle, exposant votre adresse IP réelle pendant quelques secondes à plusieurs minutes.

Ces quelques secondes suffisent. Votre FAI peut enregistrer vos requêtes DNS. Un tracker publicitaire peut capturer votre véritable IP. Sur un réseau P2P, les pairs voient instantanément votre adresse réelle. Le kill switch empêche ce scénario en coupant tout trafic réseau dès que la connexion VPN est interrompue.

Les deux types de kill switch

Kill switch applicatif : Ce mode ne coupe que les applications sélectionnées par l’utilisateur. Vous pouvez par exemple protéger votre navigateur et votre client torrent tout en laissant votre messagerie fonctionner normalement. C’est le mode le plus souple mais le moins sécurisé : si vous oubliez d’ajouter une application à la liste, elle continuera à fonctionner sans VPN en cas de déconnexion.

Kill switch système (ou « network lock ») : Ce mode coupe l’intégralité du trafic réseau. Aucun paquet ne quitte votre appareil tant que la connexion VPN n’est pas rétablie. C’est la protection la plus complète. Certains VPN le proposent sous des noms différents : « Network Lock » chez ExpressVPN, « Internet Kill Switch » chez NordVPN, « Block Outside Traffic » chez Mullvad.

Comment fonctionne le kill switch techniquement

Sur le plan technique, le kill switch utilise les règles du pare-feu du système d’exploitation :

  • Sous Windows : le kill switch modifie les règles du pare-feu Windows pour n’autoriser le trafic que via l’interface réseau du VPN (adaptateur TAP ou WireGuard)
  • Sous macOS : il utilise le pare-feu pf (packet filter) pour bloquer tout trafic hors de l’interface tun/utun du VPN
  • Sous Linux : il configure iptables ou nftables pour restreindre le trafic à l’interface VPN

Les implémentations les plus robustes configurent ces règles au niveau du noyau du système, ce qui les rend résistantes même en cas de crash de l’application VPN.

Kill switch : ce que chaque VPN propose

Tous les VPN n’implémentent pas le kill switch de la même manière :

  • Mullvad : kill switch toujours actif, impossible à désactiver. C’est la philosophie la plus sécurisée
  • ExpressVPN : Network Lock activé par défaut, mode système
  • NordVPN : kill switch applicatif et système disponibles, à activer manuellement
  • Surfshark : kill switch disponible sur toutes les plateformes, à activer dans les paramètres
  • ProtonVPN : kill switch permanent (comme Mullvad) ou standard au choix
  • PIA : kill switch avancé avec mode « Always On » qui persiste même après fermeture de l’application

Les fuites DNS : la faille la plus courante

Qu’est-ce qu’une fuite DNS

Chaque fois que vous visitez un site web, votre appareil envoie une requête DNS pour traduire le nom de domaine (exemple.com) en adresse IP. Normalement, avec un VPN actif, ces requêtes passent par les serveurs DNS du fournisseur VPN. Lors d’une fuite DNS, les requêtes sont envoyées aux serveurs DNS de votre FAI, qui peut alors voir tous les sites que vous visitez.

C’est la fuite la plus insidieuse car elle est totalement invisible pour l’utilisateur. Votre adresse IP est bien masquée, mais l’intégralité de votre historique de navigation est exposée à votre FAI.

Les causes des fuites DNS

Configuration DNS du système : Sous Windows, le système peut utiliser plusieurs serveurs DNS simultanément (« Smart Multi-Homed Name Resolution »). Même avec un VPN actif, Windows peut envoyer des requêtes DNS via votre interface réseau classique en parallèle de l’interface VPN.

DNS IPv6 : Si votre VPN ne gère que l’IPv4 mais que votre connexion supporte l’IPv6, les requêtes DNS IPv6 passent en dehors du tunnel VPN.

Changement de réseau : Quand vous passez du Wi-Fi aux données mobiles (ou inversement), la reconfiguration réseau peut brièvement réinitialiser les paramètres DNS avant que le VPN ne reprenne le contrôle.

Split tunneling mal configuré : Si le split tunneling est activé (certaines applications passent par le VPN, d’autres non), les applications exclues utilisent les DNS du FAI, ce qui peut révéler une partie de votre activité.

Comment un VPN protège contre les fuites DNS

Les VPN sérieux utilisent plusieurs techniques :

  • DNS privés : le fournisseur opère ses propres serveurs DNS, accessibles uniquement via le tunnel VPN
  • Forçage DNS : le client VPN reconfigure le système pour utiliser exclusivement les DNS du VPN
  • Blocage des requêtes DNS hors tunnel : toute requête DNS qui ne passe pas par le tunnel est bloquée par le pare-feu

Les fuites WebRTC : le piège du navigateur

Qu’est-ce que WebRTC

WebRTC (Web Real-Time Communication) est un protocole intégré aux navigateurs modernes qui permet les communications en temps réel (appels vidéo, partage d’écran, transfert de fichiers) directement dans le navigateur, sans plugin. Il est utilisé par des services comme Google Meet, Discord et Facebook Messenger.

Pourquoi WebRTC peut exposer votre IP

Pour établir une connexion directe entre deux navigateurs, WebRTC utilise le protocole STUN qui découvre votre adresse IP réelle — y compris votre IP locale et votre IP publique. Cette découverte se fait au niveau du navigateur, en contournant le VPN.

Résultat : un site web qui utilise WebRTC peut potentiellement voir votre adresse IP réelle même si votre VPN est actif. C’est une faille propre au navigateur, pas au VPN.

Comment se protéger des fuites WebRTC

Dans le navigateur :

  • Firefox : accédez à about:config, cherchez media.peerconnection.enabled et passez la valeur à false. Attention : cela désactive WebRTC entièrement (plus d’appels vidéo via le navigateur)
  • Chrome/Brave : installez une extension comme « WebRTC Leak Prevent » ou « uBlock Origin » (qui bloque les fuites WebRTC dans ses paramètres avancés)
  • Brave : dans les paramètres, section « Boucliers », l’option de gestion WebRTC est intégrée nativement

Via le VPN : Certains fournisseurs intègrent une protection anti-WebRTC directement dans leur client ou leur extension navigateur. ExpressVPN et NordVPN le proposent dans leurs extensions Chrome et Firefox.

Les fuites IPv6 : le protocole oublié

Le problème IPv6

La plupart des VPN chiffrent et routent le trafic IPv4 via leur tunnel. Mais beaucoup ignorent encore l’IPv6 (le successeur d’IPv4 qui offre un nombre quasi illimité d’adresses). Si votre FAI vous attribue une adresse IPv6 et que votre VPN ne la gère pas, le trafic IPv6 passe en dehors du tunnel, exposant votre véritable adresse IPv6.

Les solutions

  • Désactivation IPv6 : la méthode la plus simple. La plupart des VPN désactivent automatiquement IPv6 quand ils ne le supportent pas
  • Tunnel IPv6 : les VPN les plus avancés tunnelisent également le trafic IPv6 (Mullvad, IVPN, ProtonVPN)
  • Désactivation manuelle : vous pouvez désactiver IPv6 au niveau du système d’exploitation si votre VPN ne le fait pas automatiquement

Procédure de test complète : vérifiez votre VPN

Voici la procédure que j’utilise pour auditer la sécurité d’un VPN. Suivez ces étapes dans l’ordre.

Étape 1 : noter vos informations de base (sans VPN)

Avant d’activer votre VPN, relevez :

  1. Rendez-vous sur ipleak.net ou browserleaks.com
  2. Notez votre adresse IP publique (IPv4 et IPv6 si disponible)
  3. Notez vos serveurs DNS (ils doivent appartenir à votre FAI)
  4. Notez votre adresse IP WebRTC si elle s’affiche

Ces informations sont votre « empreinte nue ». Après activation du VPN, aucune d’elles ne devrait apparaître.

Étape 2 : tester avec le VPN activé

  1. Connectez-vous à votre VPN
  2. Retournez sur ipleak.net (actualisez la page ou ouvrez un nouvel onglet)
  3. Vérifiez :
    • Adresse IP : doit être celle du serveur VPN, pas la vôtre
    • Localisation : doit correspondre au pays du serveur choisi
    • DNS : les serveurs doivent appartenir au fournisseur VPN (pas à votre FAI)
    • WebRTC : aucune IP locale ou publique réelle ne doit apparaître
    • IPv6 : aucune adresse IPv6 réelle ne doit être visible (soit elle est absente, soit elle appartient au VPN)

Étape 3 : test de fuite DNS approfondi

  1. Rendez-vous sur dnsleaktest.com
  2. Lancez le test étendu (Extended test)
  3. Le test interroge plusieurs serveurs DNS et liste ceux qui ont répondu
  4. Résultat attendu : seuls les serveurs DNS de votre fournisseur VPN apparaissent
  5. Alerte : si un serveur de votre FAI (Orange, Free, SFR, Bouygues) apparaît, vous avez une fuite DNS

Étape 4 : test du kill switch

C’est le test le plus important et le plus souvent négligé :

  1. Activez votre VPN et vérifiez que la connexion est établie

  2. Ouvrez ipleak.net dans votre navigateur — notez l’IP du VPN affichée

  3. Simulez une déconnexion VPN :

    • Méthode douce : désactivez manuellement le VPN dans l’application
    • Méthode réaliste : déconnectez brièvement votre Wi-Fi puis reconnectez-le
    • Méthode technique : tuez le processus VPN via le gestionnaire de tâches

  4. Vérifiez immédiatement ipleak.net :

    • Si la page ne charge plus : le kill switch fonctionne correctement
    • Si la page affiche votre IP réelle : le kill switch est défaillant ou désactivé

  5. Pour le test le plus rigoureux, lancez un ping continu vers un serveur externe dans un terminal (ping 1.1.1.1), puis déconnectez le VPN. Le ping doit s’interrompre immédiatement si le kill switch fonctionne.

Étape 5 : test en conditions réelles

Les tests en laboratoire ne suffisent pas. Testez votre VPN dans les situations du quotidien :

  • Changement de réseau Wi-Fi : passez d’un réseau à un autre et vérifiez que le VPN se reconnecte sans fuite
  • Mise en veille et réveil : fermez le capot de votre laptop, rouvrez-le et testez immédiatement
  • Perte de connexion Internet : débranchez brièvement votre box et observez le comportement du VPN à la reconnexion
  • Après un redémarrage : si le VPN n’est pas configuré pour démarrer automatiquement, vous naviguez sans protection jusqu’à l’activation manuelle

Configuration optimale pour une sécurité maximale

Après les tests, voici la configuration recommandée pour chaque paramètre.

Paramètres du client VPN

ParamètreRéglage recommandéRaison
Kill switchActivé (mode système)Empêche toute fuite en cas de déconnexion
Protection DNSActivéeForce l’utilisation des DNS du VPN
IPv6Désactivé ou tunneliséEmpêche les fuites via IPv6
Connexion autoAu démarrage du systèmeÉvite les oublis
ProtocoleWireGuardRapide et sécurisé
Split tunnelingDésactivé (sauf besoin spécifique)Évite les fuites partielles

Paramètres du navigateur

  • WebRTC : désactivé ou contrôlé par une extension
  • DNS over HTTPS (DoH) : désactivé dans le navigateur si votre VPN gère les DNS (sinon les requêtes DoH contournent le tunnel)
  • Extensions : uBlock Origin avec les filtres anti-fuite activés

Paramètres du système d’exploitation

  • DNS système : vérifiez qu’ils pointent vers le VPN ou vers 127.0.0.1 (localhost) quand le VPN est actif
  • IPv6 : désactivez-le au niveau système si votre VPN ne le gère pas
  • Pare-feu : ne modifiez pas les règles ajoutées par le kill switch

Que faire si vous détectez une fuite

Fuite DNS

  1. Vérifiez que la protection DNS est activée dans les paramètres du VPN
  2. Désactivez le « Smart DNS » ou « DNS intelligent » de Windows (nécessite une modification du registre)
  3. Changez de protocole VPN (passez d’OpenVPN à WireGuard ou inversement)
  4. En dernier recours, configurez manuellement les DNS du VPN dans les paramètres réseau de votre système

Fuite WebRTC

  1. Désactivez WebRTC dans votre navigateur (voir la section dédiée)
  2. Installez une extension anti-fuite WebRTC
  3. Utilisez l’extension navigateur de votre VPN (si elle inclut une protection WebRTC)

Fuite IPv6

  1. Activez la protection IPv6 dans les paramètres du VPN
  2. Si l’option n’existe pas, désactivez IPv6 manuellement dans les paramètres réseau de votre système
  3. Contactez le support de votre VPN pour savoir s’ils prévoient le support IPv6

Kill switch défaillant

  1. Vérifiez que le kill switch est bien activé (il est souvent désactivé par défaut)
  2. Passez en mode « système » plutôt qu’« applicatif »
  3. Testez avec un autre protocole VPN
  4. Si le problème persiste, configurez des règles de pare-feu manuelles pour n’autoriser le trafic que via l’interface VPN
  5. Envisagez de changer de fournisseur VPN

Les points essentiels

La sécurité d’un VPN ne se résume pas à l’activation d’un bouton « Connecter ». Elle repose sur une configuration correcte et des vérifications régulières.

  • Le kill switch système est la protection la plus critique — activez-le en priorité
  • Les fuites DNS sont les plus fréquentes et les plus discrètes — testez-les systématiquement
  • Les fuites WebRTC sont propres au navigateur — elles nécessitent une protection spécifique
  • Les fuites IPv6 touchent les VPN qui ne gèrent pas ce protocole — désactivez IPv6 en cas de doute
  • Testez votre VPN régulièrement, notamment après les mises à jour de l’application ou du système d’exploitation
  • Testez en conditions réelles : changement de réseau, mise en veille, redémarrage

Un VPN correctement configuré et vérifié est un outil de protection puissant. Un VPN non vérifié est une illusion de sécurité. Prenez quinze minutes pour suivre la procédure de test décrite dans cet article : c’est le meilleur investissement que vous puissiez faire pour votre vie privée en ligne.

Vous cherchez le meilleur rapport qualité-prix ?

Consultez nos comparatifs détaillés pour faire le bon choix.

Julien Moreau

Écrit par

Julien Moreau

Ingénieur en cybersécurité avec 12 ans d'expérience dans la protection des données personnelles. Ancien consultant en sécurité réseau, Julien teste et analyse les VPN avec une approche technique rigoureuse.