Qu’est-ce qu’un Warrant canary ?

Qu’est- ce qu’un Warrant Canary ?

Méconnu et pourtant assez répandu sur Internet, le terme Warrant Canary est une déclaration publique indiquant qu’un fournisseur de service Internet n’a pas fait l’objet d’une demande d’information dans le cadre d’une procédure judiciaire. C’est, en réalité, une astuce visant à contourner les lois sur l’interdiction de divulgation de mise sur écoute ou de mise à disposition d’informations confidentielles concernant un utilisateur.

Pourquoi un canari ?

À l’origine, la forme domestiquée du Serin des Canaries était utilisée pour prévenir les mineurs que le taux d’oxygène devenait drastiquement bas et l’air toxique. Dès l’instant où l’oiseau montrait des signes de faiblesse, cela indiquait aux ouvriers de la mine qu’il fallait remonter au plus vite. Cette méthode fut abandonnée en 1987.

illustration : cage à oiseaux vide

La vérité est ailleurs

En réalité, c’est un biais et il n’y a aucune raison de faire confiance aux déclarations véhiculées par ces oiseaux virtuels.
Dans de nombreux pays, y compris la France, les lois relatives à la sécurité nationale et aux renseignements condamnent très lourdement toute personne divulguant le fait qu’un fournisseur ait reçu l’ordre de mettre sur écoute ou de transmettre des informations personnelles aux autorités.
La technique du canari mandataire joue donc sur les mots et flirte un peu avec la ligne rouge. En Australie, c’est interdit de «divulguer des informations sur l’existence ou la non-existence».
Illustration : scène d'X-files©

X-Files©

Depuis 2018, le jeu s’est encore compliqué. Avec l’adoption du CLOUD Act (Clarifying Lawful Overseas Use of Data Act) aux États-Unis, les autorités américaines peuvent désormais exiger des entreprises sous juridiction US qu’elles livrent des données stockées n’importe où dans le monde, même sur des serveurs européens ou asiatiques. Ce texte a changé la donne : il rend les warrant canaries encore plus délicats à maintenir, car les ordres de divulgation peuvent désormais franchir les frontières avec une facilité déconcertante. Beaucoup de fournisseurs ont préféré abandonner cette pratique et passer aux rapports de transparence, juridiquement moins risqués.

À quoi ça ressemble ?

Il s’agit en réalité d’un simple document déclarant la non-existence d’une quelconque demande d’informations ou de mise sur écoute. Aucune connaissance particulière n’est requise pour comprendre la teneur du propos puisqu’en théorie, si une demande d’information est faite, la déclaration disparait tout simplement.
D’ailleurs, si vous lancez une requête sur le sujet dans un moteur de recherches, il est aisé de se rendre compte que parfois une simple image suffit à remplir le rôle du warrant canary.

Warrant Canary Surfshark VPNWarrant Canary de Surfshark

Les réseaux privés virtuels ne sont pas des FAI. Ils sont cependant fournisseurs de services Internet et leur nature d’intermédiaire peut parfois les contraindre à répondre à certaines injonctions.
À l’image d’Apple en 2013 qui avait publié une déclaration officielle indiquant que l’entreprise «n’a jamais reçu aucun ordre» de divulguer des informations sur ses utilisateurs (disparue en 2014), certains fournisseurs de VPN sans log publient des warrant canary. Ces déclarations sont souvent publiées par souci de transparence, énumérant les procédures que l’entreprise peut déclarer officiellement comme un programme de Bug bounty ou un audit indépendant.

Pourquoi Apple a-t-il arrêté ? Probablement à cause de pressions juridiques croissantes. Avec l’arrivée du CLOUD Act quelques années plus tard, ce type de déclaration est devenu encore plus compliqué à tenir.

Quels VPN utilisent encore un warrant canary en 2026 ?

VPN Statut Dernière mise à jour
Surfshark ✅ Actif 15 janvier 2026
IVPN ✅ Actif 7 janvier 2026
SlickVPN ✅ Actif 29 septembre 2025

L’oxygène commence à manquer.

Soutenu par ExpressVPN, l’EFF (The Electronic Frontier Foundation), une organisation à but non-lucratif de défense des libertés civiles dans le monde numérique, avait créé en 2015 un site entièrement dédié aux warrant canaries, CanaryWatch. Le site avait pour objectif de recenser les canaris publiés. Le projet est définitivement mort en 2026.
Illustration : canari watch

Ancienne page de Canary Watch

Parmi les passereaux disparus au cours de ces dernières années, on retrouve Apple, Reddit et Pinterest pour ne citer que les plus connus. Celui de SpiderOak, le cloud sécurisé chiffré, s’apparenterait plus à un phœnix tant il semble renaître de ses cendres pour disparaître à nouveau.

Depuis 2020, la tendance s’est confirmée. De nombreux fournisseurs ont abandonné les warrant canaries au profit de rapports de transparence plus complets et moins risqués juridiquement. NordVPN a abandonné son Warrant Canary en 2024, ProtonVPN n’en voit même pas l’intérêt vu sa juridiction suisse (la loi suisse oblige à notifier les personnes visées, donc le canary perd son sens). D’autres, comme ExpressVPN et CyberGhost, publient désormais des rapports trimestriels de transparence détaillant le nombre de demandes reçues et les réponses apportées.

Un warrant Canary sert-il encore à quelque chose ?

Bonne question. En 2026, un warrant canary reste un signal de bonne volonté, mais c’est clairement insuffisant pour évaluer la fiabilité d’un VPN.
Si un provider mise tout sur son canary sans audit indépendant ni rapport de transparence, c’est insuffisant. Le canari, c’est la cerise sur le gâteau, pas le gâteau lui-même.

Voilà ce qui compte vraiment, par ordre d’importance :
🔴 Juridiction (Suisse, Panama > États-Unis, UK, Australie)
🔴 Audit indépendant récent (moins de 2 ans)
🔴 Transparency report détaillé
🟡 No-log policy vérifiable
🟢 Warrant canary actif
Les rapports de transparence sont devenus une norme chez les VPN sérieux. Ils offrent une vision plus claire : nombre de demandes reçues, de quels pays, combien refusées, et surtout, combien de données transmises (normalement zéro si le no-log est réel).

Conclusion

Il est difficile de conclure au terme de ce type d’article, l’idée était d’expliquer simplement le principe du warrant canary.
Ce qui est sûr, c’est qu’en 2026, un simple oiseau virtuel ne suffit plus. Face aux évolutions juridiques comme le CLOUD Act, les audits indépendants, la juridiction et les rapports de transparence restent les meilleurs indicateurs de confiance.

Chaque jour, vous êtes de plus en plus nombreux à consulter nos pages et à nous poser des questions pour comprendre comment sécuriser vos données personnelles et réduire votre suivi en ligne. Merci pour votre intérêt et vos nombreux partages !
A propos de l'auteur : Mina

A propos de l'auteur : Mina

CoFondatrice de VPN Mon Ami

Chasseuse de bugs dans son quotidien, Mina teste tous les outils de cybersécurité, anciens et nouveaux, que nous vous faisons découvrir.

Note de transparence :

Cet article n'est pas sponsorisé. Il traite simplement d'un sujet d'actualité pertinent dans le domaine de la protection des données.

Si vous décidez d’essayer un service via le lien fourni, l’équipe recevra une petite commission sans frais supplémentaires pour vous. Cette commission nous permet de continuer à fournir du contenu de qualité et à maintenir ce site indépendant sans bannières publicitaires intrusives, pour une lecture plus agréable sans suivi.

Soyez assuré que notre analyse et nos opinions sont objectifs et basées sur nos recherches et notre expérience dans le domaine de la cybersécurité. Nous sommes indépendants.

Chiffrement de bout en bout et messagerie privée

Chiffrement de bout en bout et messagerie privée

Le chiffrement de bout en bout (E2EE) est une technologie axée sur la protection de la vie privée. Il protège de la surveillance par des tiers. En effet, le chiffrement de bout en bout met les utilisateurs à l’abri et garantit que seules les entités communicantes autorisées peuvent lire les messages échangés. L’E2EE est très demandé pour les applications de messagerie instantanées privées.
Ce guide se concentre sur le chiffrement de bout en bout dans les applications de messagerie instantanée. Nous verrons comment il fonctionne, ce qu’il protège vraiment, et surtout ce qu’il ne protège pas.
Si l’on considère l’ensemble du spectre de la vie privée, le chiffrement de bout en bout n’est pas toujours l’unique option.

Qu’est-ce que le chiffrement de bout en bout ?

Le chiffrement de bout en bout est un processus qui consiste à chiffrer les messages aux deux extrémités. Il garantit que seules les parties communicantes peuvent lire la conversation. De nos jours, la plupart de nos relations sociales se sont déplacées vers l’espace Internet. Au lieu d’uniquement engager des conversations en face à face, nous investissons pleinement dans des discussions via des applications de messagerie instantanée.
chiffrement de bout en bout
L’E2EE fait référence à la technologie qui chiffre les données jusqu’à ce qu’elles atteignent leur destination finale. Aucun lieu intermédiaire ne possède la clé pour déchiffrer ces messages. Par conséquent, vos communications restent à l’abri des regards indiscrets, y compris des fournisseurs de services spécifiques et des FAI.

Comment fonctionne le chiffrement de bout en bout ?

Le chiffrement de bout en bout brouille les messages pour empêcher les sources externes de les lire. Les informations échangées ne sont disponibles en clair que pour l’expéditeur et le destinataire. Ce processus inclut essentiellement le cryptage des messages sur l’appareil de l’expéditeur. Ensuite, l’appareil du destinataire utilise une clé spéciale pour décrypter les informations.
Lors d’un chiffrement standard pendant le transport des données, votre fournisseur de service de messagerie crypte les messages mais conserve l’accès aux versions en clair. C’est la raison pour laquelle beaucoup d’applications de messagerie n’offrent pas de chiffrement de bout en bout. Leur modèle économique repose sur l’accès et la monétisation à certaines données que vous échangez dans le privé.
Bien qu’étant une option sûre pour la vie privée des utilisateurs, le chiffrement de bout en bout suscite de nombreux débats d’un point de vue sécuritaire et législatif. En effet, certains pays ont tenté de réglementer ces messageries chiffrées. À titre d’exemple, l’Online Safety Act (2023) au Royaume-Uni impose aux plateformes de scanner les contenus suspects, ce qui entre en conflit avec le chiffrement de bout en bout.

Illustration : Marteau de justice

Les limites du chiffrement de bout en bout

Le chiffrement de bout en bout protège le contenu de vos messages, mais pas tout le reste :

Les métadonnées restent visibles : Qui parle à qui, à quelle heure, combien de fois, depuis quel appareil, quelle est la taille des messages. Ces informations peuvent en dire long sur vous, même sans lire vos messages. Les services de renseignement s’intéressent souvent davantage aux métadonnées qu’au contenu lui-même.
Accès physique à votre téléphone : Si quelqu’un déverrouille votre appareil (code PIN faible, vol, réquisition judiciaire), il accède à tous vos messages déchiffrés. Le chiffrement de bout en bout ne protège pas contre cette menace.
Sauvegardes non-chiffrées : Beaucoup d’applications proposent E2EE pour les messages en transit, mais pas pour les sauvegardes stockées sur iCloud ou Google Drive. Vérifiez vos paramètres pour activer le chiffrement des sauvegardes si l’option existe.
Backdoors légales : Certains pays imposent aux messageries de fournir des accès aux autorités, ce qui peut affaiblir le chiffrement. D’autres menacent d’interdire les services qui refusent de coopérer.
Compromission des endpoints : Si votre appareil est infecté par un malware, un keylogger ou un spyware (type Pegasus), le chiffrement de bout en bout ne sert à rien. L’attaquant peut capturer vos messages avant qu’ils ne soient chiffrés ou après qu’ils aient été déchiffrés.
Le chiffrement de bout en bout est une protection solide, mais il ne vous rend pas invisible ni invulnérable.

Le chiffrement de bout en bout n’est pas toujours automatique

Cette technique de transmission des données de manière confidentielle est une option très demandée. Cependant, certaines applications de messagerie ne rendent pas, par défaut, le processus automatique. Il faut que les utilisateurs lancent des chats séparés pour activer le chiffrement de bout en bout.

Par exemple, WhatsApp dote automatiquement toutes les discussions d’un chiffrement de bout en bout. Cependant, pour obtenir le même niveau de confidentialité sur Facebook Messenger, vous devez entamer une conversation secrète. De même, Telegram ne chiffre pas les conversations par défaut : vous devez activer manuellement les « conversations secrètes » pour bénéficier de l’E2EE. Vous devrez donc vérifier correctement vos paramètres.

Parmi les applications de messageries cryptées les plus populaires, on peut citer Signal, Telegram ou encore Olvid.

Les inconvénients du chiffrement de bout en bout

Si le chiffrement de bout en bout offre une excellente protection aux messages transmis, la sécurité des points de d’entrée et de sortie est un tout autre sujet. Les boîtes de réception et les comptes restent vulnérables aux attaques.

En clair, même si personne ne peut lire vos messages durant leur transmission, vos comptes restent vulnérables.

Mesures à prendre pour sécuriser vos comptes

Changez régulièrement de mots de passe.

Utilisez un mot de passe unique pour chaque compte. Si la gestion devient complexe, un gestionnaire de mots de passe, de préférence Open Source, stocke toutes vos combinaisons de manière sécurisée.

Authentification à deux facteurs pour tous vos comptes

L’authentification à deux facteurs va au-delà des mots de passe et des noms d’utilisateur. Cette étape supplémentaire garantit que des tiers ne pourront pas détourner votre compte. Même s’ils parviennent à voler vos informations d’identification, les fournisseurs de services refuseront tout accès sans vérification appropriée.
Pour une sécurité maximale, privilégiez l’authentification par clé matérielle (YubiKey, Titan) ou par application d’authentification plutôt que par SMS, qui peut être intercepté.

Vérifiez les clés de chiffrement

Signal, WhatsApp et d’autres applications permettent de comparer un « Safety Number » ou un QR code avec votre interlocuteur. Cette vérification confirme que personne n’intercepte votre conversation (attaque « man-in-the-middle »). Cette étape est particulièrement importante pour les échanges sensibles.

Des possibilités limitées d’utiliser E2EE

Si vous le pouviez, vous activeriez le chiffrement de bout en bout pour toutes vos transactions et échanges de données en ligne. Cependant, si cette option est disponible dans une certaine mesure, elle n’est pas aussi répandue que vous pourriez le penser. Les emails standards, par exemple, ne bénéficient généralement pas d’E2EE.

Un chiffrement pour les données de sauvegarde

En général, les données de sauvegarde ne bénéficient pas de chiffrement de bout en bout. Bien que les fournisseurs de services les chiffrent, le chiffrement de bout en bout n’est pas systématique.
Par exemple, WhatsApp propose depuis 2021 le chiffrement de bout en bout des sauvegardes, mais cette option est désactivée par défaut. Sans activation manuelle dans les paramètres, Google (Android) ou Apple (iOS) ont techniquement accès à vos messages sauvegardés. Faites attention à ce que les services appliquent le cryptage de manière cohérente, sans laisser de failles exploitables.

Et les VPN dans tout ça ?

Un VPN et le chiffrement de bout en bout ne protègent pas la même chose. Le VPN chiffre votre connexion Internet (entre votre appareil et le serveur VPN), ce qui masque votre activité à votre fournisseur d’accès et sécurise vos données sur les réseaux publics. Mais il ne protège pas le contenu de vos messages une fois qu’ils arrivent sur les serveurs de l’application de messagerie.
Pour en savoir plus consultez notre rubrique : Qu’est-ce qu’un VPN ?

Pour une confidentialité maximale : E2EE pour vos messages + VPN pour votre navigation. Les deux sont complémentaires, pas interchangeables. Le VPN protège votre trafic réseau, l’E2EE protège le contenu de vos communications applicatives.

Chaque jour, vous êtes de plus en plus nombreux à consulter nos pages et à nous poser des questions pour comprendre comment sécuriser vos données personnelles et réduire votre suivi en ligne. Merci pour votre intérêt et vos nombreux partages !
A propos de l'auteur : Lisa

A propos de l'auteur : Lisa

Fondatrice de VPN Mon Ami

Avec plus de 12 ans d'expérience dans le domaine des VPN, j'écris de nombreux articles pour sensibiliser les internautes à la confidentialité en ligne.

Note de transparence :

Cet article n'est pas sponsorisé. Il traite simplement d'un sujet d'actualité pertinent dans le domaine de la protection des données.

Les gestionnaires de mots de passe sont-ils sûrs ? (Analyse 2026)

Les gestionnaires de mots de passe sont-ils sûrs ? (Analyse 2026)

La question « les gestionnaires de mots de passe sont-ils sûrs ? » est mal posée. La vraie question, c’est : contre quoi protègent-ils exactement, et quels risques restent ?
Parce que spoiler : rien n’est totalement sûr en sécurité informatique. Mais un gestionnaire bien configuré reste infiniment plus sûr que ce que fait 90% des gens (réutiliser « Marseille2019 » sur 50 sites différents).

Je vais vous expliquer comment ça marche vraiment, ce qui peut poser problème, et comment vous protéger intelligemment.

Comment ça marche concrètement

L’analogie du coffre-fort

Imaginez un coffre-fort ultra-sécurisé. Dedans, tous vos mots de passe. La seule clé qui ouvre ce coffre, c’est votre master password (mot de passe maître).

Le coffre lui-même est stocké de deux façons :

  • Sur votre appareil (téléphone, ordi) : une copie locale chiffrée
  • Dans le cloud (serveurs du gestionnaire) : une copie synchronisée, également chiffrée

Et c’est là que ça devient intéressant : le service lui-même ne peut pas ouvrir votre coffre. Quand 1Password, Bitwarden ou LastPass regardent votre coffre dans leur cloud, ils voient juste un fichier illisible, du charabia mathématique. Seul vous, avec votre master password, pouvez le déchiffrer.

La magie du chiffrement expliquée simplement

Quand vous tapez votre master password, une série de calculs mathématiques ultra-complexes transforme ce mot de passe en une clé de chiffrement de 256 bits (un nombre gigantesque de 77 chiffres).

Cette clé est générée via un processus appelé « hachage répété » : votre master password est haché 100 000 fois (ou plus) avant de devenir la clé finale. C’est comme moudre du café 100 000 fois au lieu d’une seule, ça prend plus de temps, mais ça rend le processus beaucoup plus difficile à inverser pour un attaquant.

Résultat : même si quelqu’un vole le fichier chiffré de vos mots de passe, sans votre master password exact, c’est mathématiquement impossible de le déchiffrer dans un délai raisonnable.

Le principe de la connaissance zéro

C’est le concept clé : le gestionnaire ne connaît jamais votre master password. Jamais.Quand vous vous connectez :

  • Vous tapez votre master password sur votre appareil
  • Votre appareil génère la clé de chiffrement localement
  • Votre appareil déchiffre votre coffre localement
  • Le service dans le cloud n’a jamais vu votre master password

Si, par exemple, les autorités débarquent chez 1Password avec un mandat pour récupérer vos mots de passe, 1Password ne peut physiquement pas les lui donner. Ils n’ont que votre coffre chiffré, illisible sans votre clé.

C’est très différent de Facebook par exemple, qui peut techniquement lire tous vos messages parce que eux détiennent les clés de chiffrement.

Schéma simplifié du flux

Votre appareil
   ↓ (master password tapé)
   ↓ (génération clé de chiffrement)
   ↓ (déchiffrement du coffre local)
   ↓
Vos mots de passe visiblesSynchronisation avec le cloud ← Toujours chiffré
   ↓
Autre appareil
   ↓ (master password tapé à nouveau)
   ↓ (déchiffrement)
   ↓
Vos mots de passe visibles

Attaquant qui intercepte la sync → Voit du charabia illisible
Voilà pour les bases. Maintenant, voyons où ça peut merder.

Les 3 façons dont ça peut mal tourner

Scénario 1 : Le service se fait pirater (ce qui est arrivé à LastPass)

En août 2022, des hackers ont réussi à compromettre l’environnement de développement de LastPass. Ils ont volé du code source et des secrets techniques.
Quatre mois plus tard, en décembre 2022, avec ces informations en main, ils sont revenus et ont exfiltré des sauvegardes complètes contenant les coffres-forts chiffrés de millions d’utilisateurs.

Panique ? Pas tout à fait.

Ce que ça signifie vraiment

Les hackers ont récupéré :
✅ Vos coffres-forts… mais chiffrés (illisibles)
✅ Vos URLs de sites sauvegardés… en clair (pas chiffrées chez LastPass à l’époque, une erreur)
❌ PAS votre master password (impossible, principe de la connaissance zéro)
❌ PAS vos mots de passe déchiffrés

Maintenant, ils peuvent essayer de deviner votre master password pour déchiffrer votre coffre. Et c’est là que tout dépend de la force de votre master password.

Le calcul qui change tout

Les hackers utilisent des cartes graphiques très puissantes (celles des gamers ou des mineurs de crypto) pour tester des milliards de combinaisons par seconde. En 2026, une NVIDIA RTX 4090 peut tester environ 164 milliards de hashs MD5 par seconde.
Mais LastPass utilise PBKDF2 avec 100 000 iterations (600 000 depuis 2023 pour les nouveaux comptes), ce qui ralentit drastiquement les attaques. Avec ce paramétrage, cette même carte graphique ne peut tester que quelques milliers de master passwords par seconde.

Voici ce que ça donne concrètement :

Type de master password Exemple Temps pour craquer (RTX 4090, PBKDF2 100k)
8 caractères, mot du dictionnaire password Quelques secondes
8 caractères, basique Password1 ~2 heures
10 caractères, mixte MyP@ssw0rd ~3 jours
12 caractères, mixte M0tPa$$e2024 ~3 semaines
16 caractères, aléatoire 9Kp#mQ2$vL8nF3xZ ~537 000 ans
Passphrase 5 mots diceware cheval-batterie-agrafe-correct-nuage ~18 millions d'années

Source : calculs basés sur hashcat benchmarks 2026, PBKDF2-SHA256 100k iterations

La leçon à retenir

LastPass a bien chiffré les données (AES-256 reste incassable). Le problème était ailleurs : la sécurité de leur infrastructure (vol de sauvegardes).
Mais même avec cette faille, les utilisateurs avec des master passwords solides (16+ caractères aléatoires ou passphrase longue) sont toujours protégés. Les hackers ont leur coffre, mais ne peuvent pas l’ouvrir.
En revanche, si votre master password était Marseille2019 ou JeanDupont75, votre coffre a été ouvert en quelques heures. Et tous vos mots de passe ont été compromis.
C’est pour ça que le master password est critique.

Scénario 2 : Votre appareil est compromis

Un gestionnaire ne peut rien contre un malware qui enregistre ce que vous tapez. Si un keylogger voit votre master password, il l’a.

Solutions :

  • Antivirus à jour (on ne le dira jamais assez)
  • 2FA activée sur le gestionnaire (même avec master password volé, impossible de se connecter sans votre téléphone)
  • Jamais de déverrouillage sur PC public/suspect

Scénario 3 : Vous perdez votre master password

C’est le prix de la connaissance zéro. Si vous perdez votre master password, c’est définitivement perdu. Même le service ne peut pas le récupérer.

Solutions :

  • Écrivez-le sur papier, coffre physique (maison, notaire, tiroir verrouillé)
  • Emergency Kit (1Password) ou backup chiffré (Bitwarden)
  • Contact d’urgence (personne de confiance, accès après 48h)

Ne jamais : le stocker dans un fichier texte, l’envoyer par email, utiliser un mot de passe « facile à retenir » basé sur vos infos perso.

Alors, un gestionnaire de mot de passe est-il sûr ou pas ?

Un gestionnaire bien configuré est infiniment plus sûr que réutiliser 3-4 mots de passe partout.
Quand un site se fait hacker (ça arrive constamment), les hackers testent votre combo email+password sur Gmail, votre banque, Facebook. C’est ce que l’on appelle le « credential stuffing », l’attaque la plus courante en 2026.
Avec un gestionnaire : chaque site a un mot de passe unique aléatoire (20+ caractères). Si un site tombe, seul CE site est compromis.
Mais vous déplacez le risque. 50 mots de passe faibles → 1 master password qui doit être incassable.

Les vrais risques

🔴 Master password faible → Vulnérable en cas de breach. Solution : 16+ caractères aléatoires ou passphrase diceware.
🟠 Breach + master password moyen → Crackable en semaines/mois. Solution : 16+ caractères + 2FA.
🟡 Malware sur appareil → Peu probable si hygiène correcte. Solution : antivirus, mises à jour, 2FA.
🟢 Service backdooré → Audits publics réguliers, code open-source (Bitwarden). Si vraiment parano : KeePass (100% local).

Les alternatives

  • Carnet papier : immunisé aux hacks, mais perdu si volé/brûlé. Ok en backup (10-15 comptes), pas comme solution principale.
  • Mémoire : impossible pour 100+ comptes uniques. Non.
  • Navigateur (Chrome/Firefox) : pratique mais moins sécurisé (pas de master password fort par défaut). Acceptable si vous n’utilisez qu’un navigateur.
  • Gestionnaire dédié : meilleur compromis sécurité/praticité.

Comment configurer son gestionnaire de mot de passe ?

Choisir le gestionnaire
Critères : audité publiquement, zero-knowledge confirmé, historique propre.

Recommandations :
1Password : audits réguliers, interface polie. 36€/an.
Bitwarden : open-source, audits publics, gratuit (premium 10€/an).
KeePass : 100% local, gratuit, mais UX complexe.
Pour plus de gestionnaires de mot de passe, n’hésitez pas a consulter notre sélection de 8 gestionnaires de mot de passe Open source.

Créer le master password

Méthode des dés :

https://www.eff.org/dice
Générez 5 mots aléatoires (ex: cheval-batterie-agrafe-correct-nuage)

Pourquoi : 5 mots = 18 millions d’années à craquer. Facile à retenir.
Alternative : 16+ caractères aléatoires. Notez-le sur papier en lieu sûr.
Règles : jamais d’infos perso, jamais réutilisé, jamais <16 caractères.

Activer la 2FA

App authentificateur (Authy, 2FAS). Sauvegardez les codes de récupération.

Migrer vos mots de passe

Ordre : email principal → banque → réseaux sociaux → le reste.
Process : Site → Changer mot de passe → Générer aléatoire (20+ caractères) → Gestionnaire sauvegarde.

Questions fréquentes

Et si mon service de gestionnaire de mot de passe ferme demain ?

Tous les gestionnaires sérieux permettent l’export de vos données (CSV, JSON). Vous pouvez importer dans un autre gestionnaire ou garder le fichier en backup local. Vous n’êtes pas pris en otage.

Mon gestionnaire de mot de passe peut-il se faire pirater ?

Oui, techniquement. Mais votre master password fort vous protège même en cas de fuite (principe de la connaissance zéro). La 2FA limite encore plus la casse.

C'est pas risqué de tout mettre au même endroit ?

Moins risqué que l’alternative : réutiliser 3-4 mots de passe partout (1 site hacké = tous vos comptes compromis). Le gestionnaire, c’est 1 coffre blindé vs 50 cadenas en plastique.

Un gestionnaire de mot de passe vaut-il le coup pour quelqu'un de non-tech ?

Absolument. Setup initial : environ 20 min. Ensuite, plus simple qu’avant : un seul mot de passe à retenir, remplissage automatique, fini les « mot de passe oublié ? ».

Conclusion

Un gestionnaire bien configuré est objectivement plus sûr que réutiliser des mots de passe faibles.

Ce qui vous protège :

Pas de réutilisation → credential stuffing impossible
Master password fort → breach du service non critique
2FA → vol du master password non suffisant

Ce qui reste vulnérable :

Master password faible → vous annulez toute la sécurité
Malware sur appareil → keylogger possible (solution : 2FA, prudence)
Perte du master password → irrécupérable (solution : backup papier)

Soyez honnête avec vous-même : combien de vos mots de passe sont réutilisés ? Combien contiennent votre nom, date de naissance ? Combien font moins de 12 caractères ?
Si la réponse est « plusieurs », vous êtes objectivement moins sûr qu’avec un gestionnaire de mot de passe.

Chaque jour, vous êtes de plus en plus nombreux à consulter nos pages et à nous poser des questions pour comprendre comment sécuriser vos données personnelles et réduire votre suivi en ligne. Merci pour vos nombreux partages !
A propos de l'auteur : Lisa

A propos de l'auteur : Lisa

Fondatrice de VPN Mon Ami

Lisa est une experte en cybersécurité avec plus de 10 ans d’expérience dans le domaine des VPN. Lisa écrit de nombreux articles pour sensibiliser les internautes à la confidentialité en ligne.

Inspection approfondie des paquets (DPI) : fonctionnement et contournement

Inspection approfondie des paquets (DPI) : fonctionnement et contournement

L’inspection approfondie des paquets (en anglais Deep Packet Inspection soit DPI) est une méthode qui consiste à examiner les paquets de données qui passent par un réseau afin d’identifier le type de trafic. Cette technique, initialement conçue pour la sécurité des réseaux, est aujourd’hui utilisée par certains États pour détecter et bloquer les connexions VPN.

Depuis 2023, l’obfuscation VPN s’est généralisée chez les fournisseurs sérieux. IVPN a ajouté v2ray, Mullvad a développé son approche basée sur QUIC, Proton a lancé Stealth. Ces technologies répondent à un problème technique précis : contourner l’inspection approfondie des paquets de données.

Qu’est-ce qu’un paquet de données ?

Un paquet de données est une unité d’information transmise sur un réseau informatique. Il contient les données à transmettre et des informations sur leur destination.
Lorsque des données sont envoyées sur un réseau, elles sont divisées en petites portions. Ces petites portions sont appelées paquets de données. Toutes les données transmises sur Internet sont envoyées par paquets.

Le protocole Internet utilise les paquets de données pour s’assurer que les informations envoyées atteignent la bonne destination. Lorsque tous les paquets composant un ensemble de données, comme une image, une vidéo ou le contenu d’un mail, atteignent leur destination, ils sont rassemblés.

Les données réelles contenues dans un paquet sont appelées charge utile. Chaque paquet possède également un en-tête qui contient des métadonnées. Elles ont pour rôle d’indiquer certaines informations clé comme sa destination et sa provenance.

illustration : données de couleur

Comment fonctionne l’analyse des paquets ?

Pour procéder à l’analyse de paquets, il faut tout d’abord obtenir des ensembles à analyser. Cela peut se faire de différentes manières, mais la mise en miroir de ports, les écoutes de réseaux physiques et le reniflage WiFi (packet sniffer) font partie des pratiques les plus courantes.

Une fois qu’une organisation a accès aux paquets, elle peut les analyser de différentes manières.

Analyse simple des paquets

Le moyen le plus simple (et le moins cher) pour une organisation de mettre en place des blocages sur le trafic réseau consiste à examiner les informations contenues dans les en-têtes des paquets. Ces organisations peuvent ainsi bloquer des paquets en fonction des ports qu’ils utilisent ou de leur adresse IP de destination.

Inspection approfondie des paquets

Le problème de la simple analyse des paquets pour les organisations qui souhaitent censurer l’internet est qu’il est facile de la contourner. Un VPN suffit à changer l’adresse IP de destination et/ou les numéros de port utilisés.
L’inspection approfondie des paquets analyse l’ensemble du paquet, y compris la charge utile. Cette technique est couramment utilisée dans les pare-feu, les systèmes de détection des intrusions et d’autres systèmes de sécurité réseau.
Malheureusement, les mêmes techniques d’analyse utilisées pour protéger les réseaux privés peuvent également être détournées à des fins de surveillance et de censure internet.

Comment fonctionne l’inspection approfondie des paquets ?

Les techniques de DPI comprennent :

  • La détection basée sur les signatures

Compare les paquets à une base de données de modèles de trafic malveillant ou indésirable connus.

  • Détection des anomalies

Recherche de modèles ou de comportements qui s’écartent du trafic réseau normal. Les utilisateurs de Tor sont ciblés dans beaucoup de pays, et notament en Europe.

  • Analyse du protocole

Examine la structure et le format des paquets pour identifier le protocole utilisé.

  • Inspection du contenu

Examen des données réelles contenues dans les données utiles, telles que le texte d’un e-mail, afin d’identifier et de bloquer des mots-clés ou des phrases spécifiques.

  • Analyse comportementale

Examen du comportement du trafic réseau dans le temps, par exemple la fréquence des connexions à un serveur particulier ou la quantité de données transférées, afin d’identifier et de bloquer les modèles d’activité inhabituels.

Ces techniques évoluent constamment. Le DPI nouvel génération utilise désormais l’analyse du Server Name Indication (SNI) dans les handshakes TLS pour identifier la destination réelle d’une connexion chiffrée. Certains systèmes emploient même du machine learning pour détecter des patterns de trafic VPN, même obfusqué. C’est cette course à l’armement technique qui explique pourquoi des protocoles comme v2ray ou Shadowsocks sont devenus indispensables dans les pays à forte censure.

Le DPI en pratique : exemples documentés

Chine : le Great Firewall et la détection multicouche

Le système de censure chinois combine plusieurs techniques de DPI pour identifier et bloquer le trafic VPN. L’analyse des protocoles détecte les signatures d’OpenVPN et de WireGuard®, même lorsqu’ils utilisent des ports non-standard. L’analyse comportementale identifie les patterns de trafic chiffré qui ne correspondent pas à une navigation HTTPS classique.
Depuis 2020, le grand pare-feu chinois utilise l’inspection du Server Name Indication (SNI) dans les handshakes TLS. Lorsqu’une connexion tente d’accéder à un domaine bloqué, le système interrompt la connexion même si le contenu est chiffré. Cette sophistication explique pourquoi les VPN standards ne fonctionnent plus en Chine sans obfuscation comme v2ray.

Russie : throttling sélectif et blocage actif

En Russie, le DPI est utilisé pour ralentir ou bloquer l’accès à des services spécifiques. Lors des manifestations de 2022-2024, les autorités ont appliqué un throttling massif sur les connexions identifiées comme du trafic VPN, rendant les services inutilisables sans les bloquer complètement.
Le système TSPU (Technical Means to Counter Threats), déployé sur les infrastructures des FAI russes, analyse le trafic en temps réel pour détecter les protocoles VPN. Les connexions WireGuard® sont particulièrement ciblées en raison de leur signature réseau distinctive, ce qui a poussé Mullvad à développer son approche d’obfuscation.

Iran : blocage lors des crises politiques

L’Iran utilise le DPI de manière intermittente, principalement lors de périodes de tension politique. Durant les manifestations suivant la mort de Mahsa Amini en 2022, le gouvernement a activé des systèmes de DPI pour bloquer l’accès aux réseaux sociaux et aux protocoles VPN standards.
Le système iranien cible particulièrement OpenVPN sur son port par défaut (1194) et PPTP. Les connexions Tor sont également détectées et bloquées via l’analyse des patterns de trafic caractéristiques du réseau.

L’échec du blocage de Telegram en Russie

Un cas instructif est la tentative de blocage de Telegram en Russie entre 2018 et 2020. Le gouvernement a utilisé le DPI pour identifier et bloquer les adresses IP des serveurs de Telegram. L’application a rapidement migré vers des services cloud (AWS, Google Cloud) dont le blocage aurait paralysé de nombreux services légitimes.
Des millions d’adresses IP ont été bloquées, des dommages collatéraux massifs sur des services non liés,  l’échec fût total. Ce cas illustre les limites pratiques du DPI face à des services techniquement sophistiqués.

Comment la DPI est utilisée pour détecter les utilisateurs de VPN ?

Les censeurs en ligne et les internautes se livrent au jeu du chat et de la souris depuis les premiers jours d’Internet. Au commencement, les FAI bloquaient certains ports, les internautes ont donc commencé à utiliser des ports non-standard.

Les gouvernements répressifs ont ensuite réagi en utilisant l’inspection des paquets de données pour déterminer ce que faisait le trafic sur les ports ouverts, ce qui a encouragé les gens à utiliser des VPN pour contourner le problème.

À leur tour, les censeurs ont développé des techniques de DPI plus sophistiquées, et ainsi de suite.

L’inspection approfondie des paquets de données est difficile à contourner car il examine l’ensemble de l’élément pour identifier le trafic VPN de diverses manières. Ces méthodes comprennent

L’analyse du protocole

Elle examine la structure et le format des paquets pour identifier le protocole VPN utilisé et détecter si les paquets utilisent un protocole VPN comme OpenVPN, WireGuard®, PPTP, L2TP ou IKEv2.

Illustration : protocoles de chiffrement

Analyse de la taille des paquets

Des tailles de paquets inhabituelles peuvent indiquer l’utilisation d’un réseau privé vrituel.

Analyse comportementale

La DPI peut examiner le comportement du trafic réseau au fil du temps pour identifier des modèles qui peuvent indiquer l’utilisation d’un logiciel VPN. Par exemple, un pic inhabituel dans le trafic vers un serveur spécifique ou un changement soudain dans l’emplacement des adresses IP peut alerter.

Les VPN s’adaptent et ripostent

Un VPN crée une connexion chiffrée entre votre appareil et un serveur sécurisé. L’application VPN achemine ensuite toutes les connexions de votre appareil par un tunnel VPN. Cela inclut les requêtes DNS, que votre fournisseur VPN traite plutôt que votre FAI.Comme les données envoyées sont chiffrées de manière sécurisée, votre FAI (et, par extension, n’importe quel tiers) ne peut pas voir le contenu de vos données ou les sites et services que vous visitez. Tout ce qu’il peut voir est l’adresse IP du serveur VPN auquel vous vous êtes connecté.

Cependant, le protocole VPN lui-même peut être identifié par le DPI. C’est la raison pour laquelle certains sites et services en ligne détectent que vous utilisez un réseau privé virtuel et vous bloquent l’accès.

Face au DPI, les meilleurs VPN ont développé des contre-mesures techniques spécifiques :

  • v2ray (IVPN) encapsule le trafic VPN dans des flux qui ressemblent à du HTTPS standard, rendant la détection beaucoup plus difficile pour les systèmes de censure automatisés.
  • L’obfuscation basée sur QUIC (Mullvad) utilise les transports réseau modernes d’HTTP/3 pour masquer le trafic VPN dans des schémas de connexion courants du web.
  • Stealth (Proton) empêche la détection en modifiant les signatures réseau du trafic VPN pour qu’il passe inaperçu lors de l’analyse DPI.
  • Shadowsocks, développé initialement pour contourner le Great Firewall chinois, a été efficace pendant plusieurs années. Cependant, les systèmes de censure les plus avancés (notamment en Chine depuis 2020-2021) peuvent désormais le détecter via l’analyse comportementale du trafic. Il reste utile dans des contextes de censure moins sophistiqués.

Ces protocoles ne garantissent pas une invisibilité totale, mais ils augmentent significativement le coût technique nécessaire pour bloquer une connexion VPN.
Bien que les protocoles VPN utilisent par défaut les ports prévus, la plupart d’entre eux peuvent être exécutés sur presque tous les ports (à l’exception des ports réservés à des fonctions spécifiques).

Conclusion

Le DPI est une réalité technique dans de nombreux pays. Il n’est ni une surveillance totale ni un simple filtre : c’est un outil d’analyse réseau détourné à des fins de censure et de contrôle. Comprendre son fonctionnement permet d’évaluer les solutions qui y résistent réellement. Les protocoles d’obfuscation ne sont pas du marketing : ils répondent à des mécanismes de détection précis et mesurables.

Chaque jour, vous êtes de plus en plus nombreux à consulter nos pages et à nous poser des questions pour comprendre comment sécuriser vos données personnelles et réduire votre suivi en ligne. Merci pour votre intérêt et vos nombreux partages !
A propos de l'auteur : Lisa

A propos de l'auteur : Lisa

Fondatrice de VPN Mon Ami

Avec plus de 12 ans d'expérience dans le domaine des VPN, j'écris de nombreux articles pour sensibiliser les internautes à la confidentialité en ligne.

Découvrez Tails 6 : Le système d’exploitation portable qui oublie tout

Découvrez Tails 6 : Le système d’exploitation portable qui oublie tout

Il est présenté comme la nouvelle bête noire des services de renseignements, Tails serait la solution de sécurité pour la vie privée en ligne. Mais qu’en est-il vraiment ? Qu’est-ce que Tails ? Est-ce réellement un outil fiable et valable ?

Qu’est-ce que Tails ?

Conçu en 2009, Tails est l’acronyme anglais de The Amnesic Incognito Live System. Disponible en français, il s’agit d’un système d’exploitation portatif Open Source et gratuit basé sur Debian Linux, axé sur la sécurité et la confidentialité, destiné à être exécuté à partir d’une clé USB, DVD ou machine virtuelle (image ISO). Compatible avec Windows, MacOS et Linux, Tails 6 ne laisse aucune trace sur le système d’exploitation original installé sur l’ordinateur, que ce soit dans la mémoire ou dans le système de fichiers.

Illustration : Présentation de TAILS

Principe de fonctionnement de Tails

En tant que système d’exploitation, Tails est livré avec plusieurs applications prêtes à l’emploi axées sur la sécurité. En effet, cet OS portable utilise le navigateur Tor (Tor Browser) par défaut pour se connecter à Internet.

Logo de Tor, le navigateur associé au réseau Tos

Toutes les communications sortantes sont acheminées par le réseau Tor. Tails inclut également des applications pour chiffrer les données, le générateur de mots de passe KeePassXC et des outils pour minimiser les risques lors de la connexion à Internet. Il est à noter que toutes les communications sous cet OS, y compris les e-mails et la messagerie instantanée, sont chiffrées par défaut. Tails empêche principalement le suivi d’un individu sur Internet et contourne la censure.

Comment installer Tails 6 ?

Cet OS peut être installé sur n’importe quelle clef USB d’au moins 8 GB. Cela prend en moyenne 30 minutes. Branchez votre clef et lancez-le. Tails n’est pas fait pour être installé en dur sur le système d’exploitation de son utilisateur. En effet, cet OS amnésique se lance grâce à un ISO. Aucune donnée n’est stockée sur votre machine. Une fois que vous avez arrêté le système, celui-ci est purgé. Les données disparaissent définitivement. Combiné à une navigation Internet à travers le réseau Tor, Tails 6 transforme l’internaute en fantôme.

Illustration : Interface Tails 6.0

Nouvelle interface de Tails 6.0

Peut-on sauvegarder des fichiers avec ?

Bien que cela soit déconseillé, il existe un moyen de sauvegarder vos fichiers si vous en avez besoin. TAILS propose un stockage persistant sélectif qui est entièrement chiffré. La sélection des fichiers destinés à être stockés se fait manuellement, le reste sera détruit après le redémarrage.

De nombreuses applications sont disponibles. En dehors de TOR Browser pour la navigation, vous disposerez de Libreoffice pour le traitement de texte, Onionshare pour le partage de fichiers (utilise TOR),l’application de mails Thunderbird pour les emails sécurisés ainsi que KeePassXC, un gestionnaire de mots de passe Open Source.

 

À noter qu’aucune application ne peut contourner TOR et se connecter directement à l’internet. Elles doivent toutes obligatoirement passer par le réseau en onion pour se connecter. Ce parti pris garanti que toute application installée ne peut pas divulguer vos données.
N’hésitez pas à consulter la liste complète des logiciels inclus.

 

Illustration : OnionShare

Inconvénients de Tails

Cet OS amnésique portatif a malheureusement ses limites en termes de performances. Utiliser Tails comme système d’exploitation principale est une mauvaise idée. En effet, il ne vous sera pas possible d’exécuter des applications lourdes et vous serez constamment limité techniquement.

Peut-on utiliser Tails avec un VPN ?

Non.

Tails, à lui seul ne peut pas supporter d’application VPN native. Il est cependant possible de contourner ce problème en installant votre réseau privé virtuel sur votre routeur domestique si vous naviguez depuis chez vous. Le meilleur VPN pour les configurations routeurs est ExpressVPN en raison de son interface simplifiée qui ne nécessite aucune ligne de commandes complexes. Il est à noter également qu’ExpressVPN a sponsorisé Tails en 2017.

Illustration : VPN pour routeur

Utiliser un VPN pallie aux faiblesses du réseau TOR. En effet, le fait que les 6 000 nœuds du réseau soient publics et administrés gratuitement par de parfaits inconnus est un frein pour de nombreuses personnes. Par ailleurs, une utilisation excessive du réseau TOR entraîne systématiquement une surveillance de votre réseau.

Utiliser un VPN permet également de cacher que vous utilisez TOR et Tails.

Modèle économique de Tails

Tails est gratuit et Open Source. Le projet TOR finance une partie du développement avec Mozilla, la Fondation pour la liberté de la presse et le projet Debian. Il existe également une version payante destinée aux entreprises.

Pour conclure

Tails est une bonne option de sécurité et d’anonymat en ligne mais uniquement ponctuellement. Transparent dans sa conception, c’est devenu un outil incontournable pour une bonne partie des globes trotteurs et des journalistes.

Chaque jour, vous êtes de plus en plus nombreux à consulter nos pages et à nous poser des questions pour comprendre comment sécuriser vos données personnelles et réduire votre suivi en ligne. Merci pour votre intérêt et vos nombreux partages !
A propos de l'auteur : Lisa

A propos de l'auteur : Lisa

Fondatrice de VPN Mon Ami

Avec plus de 12 ans d'expérience dans le domaine des VPN, j'écris de nombreux articles pour sensibiliser les internautes à la confidentialité en ligne.

Pourquoi les Hackers ne craignent pas les VPN

Pourquoi les Hackers ne craignent pas les VPN

Un jour, je suis tombée sur un titre qui titrait qu’un VPN allait “mettre les hackers à genoux”.
J’ai ri, puis j’ai froncé les sourcils.
Pas parce que c’était exagéré, ça, Internet nous y a habitués, mais parce que ce titre disait exactement l’inverse de la réalité.

Ce moment-là m’a rappelé à quel point, dès qu’on parle cybersécurité, les raccourcis grossiers sont légion.
On simplifie tout, on dramatise tout, et on finit par faire croire que les hackers seraient stoppés net par un tunnel chiffré (oui on dit chiffré et pas crypté).

Alors soyons clairs :
les hackers ne craignent pas les VPN.
Ils s’en foutent complètement.
Et voici pourquoi.

Illustration : Hacker qui a peur et qui fuit

Ce que les hackers visent vraiment : les maillons faibles

Pour les hackers, un VPN n’est pas un obstacle, il sert juste d’épouvantail.
En effet, leur stratégie ne consiste pas à attaquer directement le VPN, mais plutôt à exploiter d’autres faiblesses. Contrairement à l’image populaire du hacker en génie maléfique qui brise les systèmes les plus sécurisés, la réalité est souvent plus prosaïque. Les black hat sont des opportunistes et préfèrent les cibles faciles.

Parmi les plus répandues, on peut citer :

  • Attaques ciblées sur des logiciels non-sécurisés.
  • Ingénierie sociale et hameçonnage.
  • Exploitation des réseaux non-protégés (par exemple les Wi-Fi publics)

Pourquoi les hackers préfèrent les cibles faciles ?

Les hackers rationalisent toujours leurs coûts de fonctionnement (temps, matériel, degré d’exposition). Comme n’importe quel attaquant, ils choisissent le chemin le plus rentable, pas le plus spectaculaire.
  • Moins de risques, plus de gains : viser des systèmes mal configurés ou peu protégés garantit un taux de réussite élevé sans effort démesuré.
  • Faiblesses humaines : une bonne partie des brèches commencent par un mot de passe faible, un clic malheureux ou un manque de vigilance face au phishing.
  • Rendement maximal : la plupart opèrent selon une logique industrielle, attaquer un maximum de cibles vulnérables, le plus vite possible.

Réflexions finales

A moyen terme, n’espérez pas vous passer d’un VPN pour sécuriser vos données en ligne et votre connexion. C’est un outil utile, mais ce n’est pas un champ de force.
Toutefois, n’allez surtout pas croire que les hackers qui détectent des connexions chiffrées sur un réseau non-protégé rentrent gentiment en pleurant chez leur mère. Ils chercheront simplement un autre pigeon et ça s’arrête là.

Soyez vigilant, évitez de vous surexposer et ne cliquez jamais sous la pression.
Et si vous vous demandez ce qu’un VPN protège réellement face aux hackers, cet article fait le point : Un VPN vous protège-t-il vraiment des hackers ?

Chaque jour, vous êtes de plus en plus nombreux à consulter nos pages et à nous poser des questions pour comprendre comment sécuriser vos données personnelles et réduire votre suivi en ligne. Merci pour votre intérêt et vos nombreux partages !
A propos de l'auteur : Mina

A propos de l'auteur : Mina

CoFondatrice de VPN Mon Ami

Chasseuse de bugs dans son quotidien, Mina teste tous les outils de cybersécurité, anciens et nouveaux, que nous vous faisons découvrir.