Lignes de Front

Comment contourner la surveillance (partie 1) ?

Détails
Catégorie : LIGNES DE FRONT
Clics : 150

 

Hadopi et VPN peut on contourner la surveillance

 

la vérité sur les VPN

 

Tout ce que vous devez savoir pour reprendre le contrôle de votre vie privée en ligne, sans tomber dans les pièges marketing

 

Chers amis, chers résistants,

À la rentrée prochaine, l’internet que nous connaissons va changer de visage. Et la plupart des gens n’ont aucune idée de ce qui se prépare.

Sous prétexte (toujours le même) de « protéger les enfants », la France et l’Union européenne sont en train de déployer un dispositif de contrôle d’âge généralisé sur de nombreuses plateformes. Officiellement, c’est pour empêcher les mineurs d’accéder à certains contenus. Officieusement — et c’est devenu évident pour quiconque suit le sujet — il s’agit de commencer à généraliser la fin de l’anonymat sur Internet, et d’ouvrir la voie à l’identité numérique obligatoire qui se profile.

Et ce n’est qu’une pièce d’un puzzle bien plus large :

  • Chat Control, qui permettrait à des autorités d’accéder à vos conversations privées sur vos messageries chiffrées.
  • Sa variante française, encore plus assumée, où les Renseignements ne se cachent même plus derrière la « protection de l’enfance » : ils veulent calquer ce dispositif sur le modèle des « écoutes téléphoniques », pour faciliter leurs enquêtes.
  • Les passeports numériques, l’euro numérique, l’identité numérique européenne...
  • Et bien sûr, le Digital Services Act (DSA) qui permet déjà à des autorités, comme on l’a vu avec le Piracy Shield italien, d’effacer un site du web mondial en 30 minutes, sans jugement, sans recours.

L’UE va même plus loin : elle discute déjà de la possibilité de réguler ou de limiter les VPN en Europe, parce qu’elle voit dans ces outils une « faille » dans son dispositif de contrôle. La bonne nouvelle, c’est que comme nous allons le voir, cette régulation sera très difficile à appliquer en pratique, à condition de savoir comment s’y prendre.

 

Une newsletter spéciale, réservée à nos abonnés

Cet article est le tout premier contenu réservé aux abonnés de la newsletter CrowdBunker. C’est notre manière de vous remercier, vous, qui rendez CrowdBunker possible. CrowdBunker est entièrement financé par ses utilisateurs — sans investisseurs extérieurs, sans dépendance — uniquement grâce à votre soutien. C’est précisément ce qui nous permet de rester libres, et c’est ce qui nous permet de continuer à protéger la liberté d’expression sur internet.

Cet article inaugure une série complète sur la surveillance qui se met en place, et surtout sur les moyens concrets de la contourner. Nous commençons aujourd’hui par le sujet le plus médiatisé… et de très loin le plus mal compris : les VPN.

Au programme de cette partie 1 :

  • Pourquoi une grande partie de ce qu’on raconte sur les VPN est faux, voire dangereux
  • Les VPN à éviter absolument, et qui les possède vraiment (vous allez être surpris)
  • Les 3 VPN sérieux à connaître, et lequel choisir selon votre besoin réel
  • Comment vraiment vous protéger : toutes les choses que les sites de comparatifs ne vous disent jamais
  • Les techniques avancées pour ceux qui veulent aller beaucoup plus loin : journalistes, lanceurs d’alerte, militants, ou simplement personnes attachées à leur vie privée

C’est un article long, dense, pensé pour devenir une référence que vous pourrez relire et partager. Si vous n’êtes pas encore abonné payant, c’est le moment idéal : vous accéderez immédiatement à cet article, à tous ceux à venir dans cette série, et vous nous aiderez à poursuivre notre mission.

Merci infiniment pour votre soutien.

 

On entre dans le vif du sujet.

 

1. La première erreur à éviter : croire qu’il existe un anonymat

Avant même de parler d’outils, il faut intégrer une idée centrale : il n’existe pas un seul « anonymat », il existe des niveaux d’anonymat adaptés à des menaces différentes. C’est ce qu’on appelle, dans le jargon de la sécurité, le modèle de menace (threat model).

Le bon réflexe, avant de choisir le moindre outil, c’est de répondre honnêtement à cette question : de qui ou de quoi voulez-vous vous protéger, exactement ?

Quelques cas typiques :

  • Échapper au tracking publicitaire et à la collecte massive de données par les GAFAM.
  • Empêcher votre fournisseur d’accès (Orange, SFR, Bouygues, Free…) de voir les sites que vous visitez.
  • Contourner une censure géographique ou un blocage de site.
  • Empêcher une plateforme de relier plusieurs comptes que vous utilisez sous des identités différentes.
  • Publier sous pseudonyme de façon crédible et durable.
  • Protéger une source journalistique.
  • Résister à une demande judiciaire ciblée contre vous spécifiquement.
  • Résister à une compromission active de votre appareil par un acteur disposant de gros moyens.

Chacun de ces cas demande une stratégie différente, et souvent un niveau d’effort très différent. Cette phrase est probablement la plus importante de tout cet article, alors lisez-la deux fois :

Un VPN peut largement suffire pour cacher votre navigation à votre FAI ou pour contourner un blocage géographique. Mais il ne suffira jamais à créer une identité anonyme crédible si vous utilisez le même navigateur, les mêmes comptes, le même téléphone et les mêmes habitudes.

C’est à chacun d’adapter son niveau de sécurité et d’effort en fonction de ses besoins réels. Inutile de déployer une armada digne d’un agent secret pour chercher une recette de tarte aux pommes. À l’inverse, si vous êtes journaliste indépendant, lanceur d’alerte, ou militant, il sera sans doute nécessaire de réfléchir à deux fois à qui peut connaître votre identité, et à qui vous faites confiance, avant la moindre publication un peu sensible — y compris une simple recherche dans un moteur de recherche ou une question à un agent IA non local.

Peut-on atteindre un très haut niveau d’anonymat ? Oui. Peut-on garantir 100 % d’anonymat ? Non, pas sérieusement. L’anonymat dépend toujours de votre discipline, de votre appareil, de vos comptes, de vos habitudes, de votre moyen de paiement, de votre réseau, et — surtout — de l’adversaire en face.

 

2. Ce qu’un VPN fait vraiment (et ce qu’il ne fait pas)

Un VPN (Virtual Private Network) fait en pratique trois choses :

  1. Il chiffre votre trafic entre votre appareil et le serveur du VPN.
  2. Il masque votre véritable adresse IP : les sites que vous visitez voient l’IP du VPN, pas la vôtre.
  3. Il empêche votre FAI (et toute personne qui regarde votre connexion locale) de voir les sites que vous visitez. Le FAI voit uniquement que vous êtes connecté à un serveur VPN.

Concrètement, vous déplacez votre confiance. Au lieu que votre FAI puisse voir ce que vous faites, c’est désormais le fournisseur de VPN qui le pourrait. La grande question, c’est donc : à qui faites-vous confiance, et pourquoi ?

Le gros piège qui annule tout

Le cas de « fuite d’identité » le plus fréquent — et de très loin — est aussi le plus simple : utiliser son navigateur habituel, même avec un onglet en arrière-plan, pendant que le VPN est actif. Dans 95 % des cas, cela annule instantanément tout l’intérêt du VPN pour l’aspect anonymat.

Pourquoi ? Imaginez le scénario : vous activez votre VPN, vous changez d’IP, vous vous croyez tranquille. Mais votre navigateur est toujours connecté à votre compte Google (Gmail, YouTube, etc.). Google connaît votre identité et toutes les adresses IP que vous avez utilisées dans le passé. À l’instant où vous visitez un site — n’importe quel site — qui intègre un service Google (et il y en a partout : Google Analytics, polices Google Fonts, vidéos YouTube embarquées, reCAPTCHA, Google Tag Manager…), Google peut immédiatement faire l’association : « À 18h32, l’utilisateur Matthieu Untel, qui se connecte d’habitude depuis cette IP-là, est désormais derrière cette IP VPN. »

Et cela ne concerne pas que Google. Facebook, Apple, Microsoft, Amazon, Cloudflare, et des dizaines de régies publicitaires ont des « pixels » et des scripts intégrés sur la quasi-totalité du web. Vos extensions de navigateur peuvent également vous trahir. Sans parler de l’identifiant publicitaire partagé entre apps, et des techniques de fingerprinting capables de reconnaître votre navigateur avec une précision redoutable, même sans cookies.

Ce phénomène ne s’arrête d’ailleurs pas au navigateur. Votre système d’exploitation lui-même envoie en permanence des requêtes :

  • Windows envoie en continu des données aux serveurs de Microsoft, auxquels vous êtes souvent authentifié sans le savoir (OneDrive, compte Microsoft, télémétrie…).
  • macOS et iOS font exactement la même chose avec Apple.
  • Android avec Google.
  • Les applications mobiles peuvent récupérer votre identifiant publicitaire, et surtout n’importe quel compte sur lequel vous vous êtes déjà connecté sans VPN pourra faire le lien entre votre vraie IP et votre IP VPN.

Conclusion : votre véritable adresse IP — et donc votre identité — peut être très facilement associée à votre IP VPN, notamment en cas de demande judiciaire. Le VPN, à lui seul, ne sauve pas grand-chose si tout le reste vous trahit.

C’est pour cette raison que, dès qu’on parle d’anonymat sérieux, le VPN n’est jamais qu’une couche parmi d’autres. Nous y reviendrons dans la dernière partie.

 

3. La face cachée des VPN (et pourquoi les classements vous mentent)

Il y a une chose que les sites de « Top 10 des meilleurs VPN 2026 » ne vous diront jamais : plusieurs des plus gros noms du marché appartiennent à des entreprises dont l’historique pose de sérieuses questions.

Kape Technologies : un seul groupe, beaucoup de VPN

Kape Technologies est un groupe coté à la bourse de Londres, fondé en Israël sous l’ancien nom de CrossRider, et contrôlé par le milliardaire israélien Teddy Sagi. Son cofondateur, Koby Menachemi, a travaillé pendant trois ans dans l’unité 8200, l’unité de renseignement cyber/signal de l’armée israélienne.

À l’origine, CrossRider s’était fait connaître… pour la diffusion de logiciels publicitaires et de malwares via un framework utilisé par des éditeurs douteux. L’entreprise a ensuite pivoté, racheté plusieurs VPN, et changé de nom pour Kape Technologies.

 

Aujourd’hui, Kape possède notamment :

  • CyberGhost
  • ZenMate
  • Private Internet Access (PIA)
  • ExpressVPN (dont l’ancien directeur technique, Daniel Gericke, est un ancien du renseignement américain, impliqué dans le Project Raven aux Émirats, avant de coopérer avec le FBI dans le cadre d’un accord judiciaire)

Mais Kape ne s’arrête pas là : le groupe possède aussi plusieurs des plus gros sites de comparatifs de VPN, ceux-là mêmes qui occupent les premiers résultats Google quand vous cherchez “meilleur VPN”. Autrement dit : les mêmes gens vendent les VPN et écrivent les classements qui les recommandent. Inutile de préciser dans quel ordre apparaissent leurs propres produits…

Cela ne signifie pas mécaniquement que ces VPN espionnent leurs utilisateurs aujourd’hui. Mais quand on confie la totalité de son trafic internet à une entreprise, son historique et sa structure de propriété ne sont pas des détails.

NordVPN : le no-log « sauf si… »

NordVPN, autre géant du marché, communique massivement sur sa politique no-log. Mais en regardant de près sa politique de confidentialité, on lit que NordVPN ne logge pas l’activité, sauf si un tribunal l’ordonne de manière légale et appropriée. Autrement dit : le no-log n’est pas une garantie absolue, c’est une politique commerciale qui peut être levée sur ordre.

Et c’est en réalité le problème de la plupart des VPN commerciaux, no-log ou pas : dès que vous n’êtes pas anonyme dans votre rapport au fournisseur (carte bancaire, email perso, etc.), un ordre judiciaire peut déclencher la mise en place de logs ciblés sur votre compte.

 

Le piège des VPN gratuits

Les VPN gratuits sont presque toujours une mauvaise idée. Faire tourner une infrastructure de VPN coûte très cher. Si le service est gratuit, c’est presque toujours parce que vous êtes le produit : revente de données de navigation, injection de publicités, profilage publicitaire, et dans plusieurs cas documentés, distribution de malwares.

Il existe une exception notable, Proton VPN, qui propose une offre gratuite réellement utilisable, financée par les abonnements payants. Mais c’est une exception qui confirme la règle.

La seule alternative gratuite sérieuse : Tor

La seule alternative gratuite réellement crédible n’est pas un VPN, c’est Tor. Tor fait passer votre trafic par trois nœuds successifs, chiffrés en couches, ce qui empêche en théorie qu’une seule entité puisse relier votre identité à votre destination.

Tor est gratuit, libre, et bien plus solide qu’un VPN classique en termes d’architecture anti-corrélation. Mais ses limites sont réelles :

  • C’est beaucoup plus lent qu’un VPN.
  • Beaucoup de sites bloquent ou ralentissent les nœuds de sortie Tor.
  • Ce n’est pas adapté à tous les usages (streaming, jeux, certaines applis bancaires…).
  • Et Tor seul n’est pas infaillible, surtout face à des adversaires disposant d’une vision large sur le réseau. Il faut le combiner à de bonnes pratiques d’hygiène (Tor Browser tel quel, sans extensions, sans connexion à des comptes personnels, etc.).

4. Les 3 VPN sérieux à connaître

Plutôt que de vous présenter un « Top 10 » interchangeable, voici les trois VPN qui sortent vraiment du lot sur le marché actuel — chacun avec son angle, ses forces et ses limites.

🛡️ Proton VPN — la référence grand public

Pour qui ? La très grande majorité des utilisateurs. Si vous voulez un VPN propre, fiable, simple à utiliser, pour échapper au tracking de votre FAI ou contourner une censure géographique, c’est probablement le meilleur choix.

Pourquoi ?

  • Juridiction suisse. Proton VPN est basé en Suisse. L’entreprise affirme que les demandes étrangères doivent passer par une autorité suisse, et que la loi suisse ne l’oblige pas à conserver des logs de connexion VPN. Mieux : Proton soutient que, contrairement à beaucoup d’autres juridictions, la loi suisse ne permet pas non plus de forcer Proton VPN à commencer à logger l’activité d’un utilisateur — ce qui les distinguerait par exemple de NordVPN.
  • Politique no-log auditée annuellement. Proton VPN a annoncé en septembre 2025 son quatrième audit no-log consécutif, réalisé par le cabinet indépendant Securitum, qui confirme l’absence de logs d’activité, de métadonnées ou de trafic.
  • Applications open source et auditées indépendamment. C’est un vrai plus par rapport à la plupart des VPN purement marketing.
  • Transparence juridique. Proton publie un rapport de transparence détaillant les demandes reçues.

 

Les limites à connaître :

  • Proton reste une entreprise centralisée. Vous lui faites confiance sur son infrastructure, son implémentation réelle, et la portée exacte de ses audits.
  • Si vous payez avec votre carte bancaire et votre email personnel, votre compte VPN n’est pas anonyme vis-à-vis de Proton — même si Proton ne logge pas votre activité.
  • Proton a parfois été critiqué pour des cas liés à Proton Mail, où des données disponibles légalement (comme une adresse IP de connexion à la boîte mail) ont été remises sur ordre suisse. C’est un autre service que Proton VPN, mais cela rappelle qu’aucune juridiction n’est magiquement intouchable. La Suisse elle-même débat actuellement d’un durcissement potentiel de ses règles de surveillance.

🔒 Mullvad — la référence pour l’anonymat

Pour qui ? Dès que votre objectif est l’anonymat vis-à-vis du fournisseur lui-même, et pas seulement le no-log.

Pourquoi ?

  • Pas de compte email classique. À l’inscription, Mullvad génère simplement un numéro de compte aléatoire. Pas d’email, pas de nom, pas de mot de passe à fournir.
  • Paiement en cash ou en cryptomonnaie possible. Vous pouvez littéralement envoyer du cash par courrier à Mullvad avec votre numéro de compte. Et bien sûr Monero, Bitcoin, etc.
  • Prix fixe, pas de marketing agressif. 5 €/mois, point. Pas de « promo 90 % les 24 premiers mois » louche.
  • Applications open source. Auditables, vérifiables.
  • Politique no-log très claire, et — surtout — un test réel public. En avril 2023, la police suédoise s’est présentée chez Mullvad avec un mandat pour saisir des ordinateurs contenant des données clients. Mullvad affirme avoir démontré que ces données n’existaient pas, et la police est repartie sans rien saisir. C’est probablement l’un des meilleurs tests réels publics d’une politique no-log dans le monde du VPN.

Les limites :

  • Mullvad est basé en Suède, donc dans une juridiction européenne qui coopère avec les autres pays de l’UE. Mais leur modèle technique limite fortement ce qu’ils peuvent matériellement transmettre.
  • Pour profiter vraiment de l’anonymat de Mullvad, il faut aller au bout de la démarche : paiement en Monero ou en cash, et bonnes pratiques d’hygiène au niveau de l’OS et du navigateur (voir partie suivante). Sinon, vous payez Mullvad le prix d’un service anonyme pour un usage qui ne l’est pas.

🧪 NymVPN — le pari de l’architecture décentralisée

Pour qui ? Pour ceux qui veulent expérimenter une approche plus radicale, résistante à la corrélation réseau, et qui acceptent un service encore jeune.

Pourquoi c’est intéressant ?

Nym ne fonctionne pas comme un VPN classique. Au lieu de vous demander de « leur faire confiance, ils ne loggent pas », Nym utilise une architecture décentralisée de type mixnet / dVPN, qui cherche à empêcher qu’une seule entité puisse jamais relier votre identité à votre destination.

Concrètement, Nym Technologies SA est basée en Suisse, mais les serveurs eux-mêmes sont indépendants et non directement contrôlés par Nym. Pour relier votre activité, il faudrait que les nœuds d’entrée et de sortie loggent et colludent entre eux — ce qui devient bien plus difficile.

Autre élément intéressant : Nym utilise des credentials zero-knowledge appelés zk-nyms pour éviter de lier votre paiement à votre usage de l’app. Même quand vous payez par Stripe, Apple ou Google, Nym affirme que l’usage de l’app n’est techniquement pas reliable au paiement côté Nym.

Les limites :

  • Le service est encore jeune et expérimental. Moins mature qu’un VPN classique sur la performance, la couverture, la fiabilité.
  • L’architecture est plus complexe à comprendre, et plus dure à auditer pour un utilisateur moyen.

Lequel choisir ?

Pas de « meilleur VPN » universel. Selon votre cas :

Usage Choix recommandé Usage quotidien, contournement de blocages, anti-pistage Proton VPN Anonymat sérieux, paiement en Monero, comptes pseudonymes Mullvad Test d’une approche anti-corrélation avancée NymVPN Contourner un futur blocage des VPN eux-mêmes Votre propre VPN sur VPS (voir partie suivante)

5. Bien utiliser son VPN : les fondamentaux

Choisir un bon VPN, c’est 30 % du travail. Bien l’utiliser, c’est les 70 % restants. Voici les points qui font une vraie différence.

Activer le kill switch

Le kill switch coupe immédiatement votre connexion internet si le VPN se déconnecte. Sans lui, votre vraie IP peut « fuiter » à chaque micro-coupure (changement de Wi-Fi, mise en veille, etc.). C’est probablement le réglage le plus important à activer.

Vérifier les fuites DNS, IPv6 et WebRTC

Trois fuites classiques qui exposent votre vraie IP même quand le VPN est actif :

  • Fuites DNS : votre appareil continue d’envoyer ses requêtes DNS à votre FAI au lieu du VPN.
  • Fuites IPv6 : si votre VPN ne gère pas l’IPv6 et que votre connexion l’utilise, vous fuitez votre IPv6 publique.
  • Fuites WebRTC : un mécanisme du navigateur, utile pour la visio, peut révéler votre IP locale et publique à n’importe quel site.

Faites un test sur des sites comme ipleak.net ou dnsleaktest.com une fois votre VPN activé.

Préférer un paiement anonyme

C’est un sujet à part entière, on le détaille dans la partie 7. Mais en résumé : carte bancaire + email perso = identité forte. Si vous voulez vraiment de l’anonymat vis-à-vis du VPN lui-même, il faut payer autrement (Monero idéalement, cash chez Mullvad).

Utiliser le multihop si disponible

Le multihop fait passer votre trafic par deux serveurs VPN successifs au lieu d’un. Cela rend la corrélation entre votre entrée et votre sortie beaucoup plus difficile, y compris pour le VPN lui-même. Proton, Mullvad et Nym proposent tous des variantes du multihop.

Ne jamais ouvrir votre navigateur personnel en parallèle

On l’a dit plus haut, c’est l’erreur n°1. Si votre objectif est l’anonymat, votre VPN doit être utilisé avec un navigateur dédié, sans connexion à vos comptes personnels. À minima : Brave en fenêtre privée, sans extensions ajoutées.

Couche bonus pour les bidouilleurs : le VPN au niveau du routeur

On sait qu’une faille présente sur Android et iOS peut permettre à certaines applications de contourner votre VPN local et d’envoyer des requêtes en utilisant votre vraie adresse IP. C’est une raison sérieuse, pour les utilisateurs avancés, de mettre un VPN directement au niveau du routeur (à la maison, ou même via un routeur portable de voyage). Tous les appareils de la maison sont alors protégés en même temps, sans qu’aucune appli ne puisse facilement le contourner. Et rien n’empêche d’ajouter une couche supplémentaire (autre VPN, ou Tor) directement au niveau de l’appareil.

 

6. Pour aller plus loin : devenir réellement anonyme

Cette section s’adresse à ceux qui ont un vrai besoin d’anonymat : journalistes, lanceurs d’alerte, militants, ou simplement personnes qui veulent reprendre le contrôle de leur identité numérique de fond en comble. Si votre besoin est juste « contourner un blocage », vous pouvez la lire pour culture, ou la garder pour plus tard.

6.1 La séparation des identités : la règle d’or

C’est sans doute le point le plus sous-estimé. Pour être réellement anonyme, il faut éviter de mélanger les identités. Et cela va beaucoup plus loin que « ne pas réutiliser son email ».

Une identité numérique, c’est un faisceau d’éléments qui, ensemble, vous trahissent :

  • même adresse email, même alias ;
  • même numéro de téléphone ;
  • même pseudo (ou un pseudo proche, ou déjà utilisé ailleurs) ;
  • même photo de profil ou avatar ;
  • même style d’écriture, mêmes tics, mêmes fautes ;
  • mêmes horaires de connexion ;
  • mêmes centres d’intérêt publiés ;
  • mêmes contacts (carnet d’adresses synchronisé) ;
  • mêmes fichiers uploadés ;
  • mêmes comptes Google / Apple / Microsoft liés ;
  • même navigateur (avec son fingerprint) ;
  • même appareil.

Exemple typique :

Si vous créez un compte « anonyme » avec un VPN, mais que vous utilisez la même photo de profil, le même pseudo Telegram, le même style d’écriture et les mêmes horaires de publication que votre compte principal, le VPN ne sert strictement à rien pour l’anonymat.

Pour un compte pseudonyme sérieux :

  • Ne pas utiliser son email personnel. Utiliser un alias (SimpleLogin, Proton Pass aliases, Addy.io…).
  • Éviter le numéro de téléphone, ou en utiliser un dédié non lié à votre identité.
  • Ne pas réutiliser un pseudo déjà utilisé ailleurs (les outils de recherche par pseudo sont redoutables).
  • Ne pas synchroniser ses contacts.
  • Pas de photo personnelle.
  • Ne pas lier ce compte à Google, Facebook, Apple, etc.
  • Utiliser un gestionnaire de mots de passe.
  • Et — règle souvent oubliée — mentez quand c’est possible et sans importance (faux nom, fausse date de naissance, fausse ville…).

6.2 Les métadonnées : votre fichier vous trahit avant même que vous parliez

C’est un point souvent ignoré, et pourtant redoutable.

Quand vous publiez un fichier, vous publiez aussi tout ce qui est caché dedans :

  • Photos : données EXIF — GPS, modèle de téléphone, date, heure, parfois numéro de série.
  • Vidéos : métadonnées d’encodage, logiciels utilisés, parfois GPS.
  • PDF : nom d’auteur, logiciel utilisé, historique de révisions.
  • Documents Office (Word, Excel, PowerPoint) : nom d’utilisateur, organisation, historique.
  • Captures d’écran : révèlent la langue de votre OS, votre fuseau horaire, vos extensions, vos favoris, vos notifications…
  • Audio : voix identifiable, bruit de fond.
  • Vidéo : reflets, arrière-plan, plaque d’immatriculation, adresse, météo (pour situer géographiquement), accent.
  • Live vidéo : horaire et lieu souvent déductibles avec une bonne précision.

Conseil simple :

Avant de publier un fichier sensible, exportez-le proprement, supprimez les métadonnées, vérifiez le contenu visuel, et évitez de publier le fichier original sorti directement du téléphone.

Quelques outils utiles :

  • ExifTool (en ligne de commande, le couteau suisse des métadonnées).
  • MAT2 (Metadata Anonymisation Toolkit), avec interface graphique.
  • Signal : envoie automatiquement les images avec les métadonnées supprimées.
  • Pour un PDF : utilisez « Imprimer vers PDF » plutôt que d’envoyer le fichier original (cela élimine une grande partie des métadonnées).
  • Pour la vidéo : réencodage via HandBrake ou ffmpeg.

6.3 Le paiement vraiment anonyme

Un paiement anonyme ne suffit pas — mais un paiement non anonyme, ça suffit largement à vous identifier. Récapitulatif honnête :

Moyen de paiement Niveau d’identification Carte bancaire Identité forte PayPal Identité forte Apple / Google in-app purchase Identité forte côté plateforme Bitcoin / Ethereum classiques Pseudonyme, mais traçable (la chaîne est publique) Monero (XMR) Très bon pour la confidentialité (transactions opaques par design) Cash par courrier Très fort, quand c’est proposé (Mullvad par exemple), mais plus lent Cartes prépayées Variable selon le pays et les obligations KYC

Deux pièges à éviter, même avec un paiement anonyme :

  • L’adresse IP au moment du paiement : si vous achetez votre Monero depuis votre IP perso, c’est cuit.
  • L’email utilisé pour la facture ou la livraison.

Un paiement anonyme ne suffit pas si vous vous connectez ensuite depuis votre IP personnelle ou depuis un appareil déjà lié à votre identité.

6.4 Le système d’exploitation : là où ça se joue vraiment

Pour faire les choses sérieusement, il devient pratiquement inévitable de quitter Windows et macOS, qui envoient en permanence des informations à leurs éditeurs.

Les options sérieuses :

  • GrapheneOS sur mobile : un Android dégooglisé et durci, sur smartphone Pixel. Probablement la meilleure option mobile aujourd’hui pour conjuguer sécurité et confidentialité.
  • Tails : un OS Linux bootable depuis une clé USB, qui fait passer tout le trafic par Tor par défaut, et qui ne laisse aucune trace sur l’ordinateur à l’arrêt. Idéal pour des opérations ponctuelles à fort enjeu.
  • Whonix : deux machines virtuelles qui forcent tout le trafic à passer par Tor, en isolant fortement l’environnement de travail.
  • Qubes OS : un OS basé sur la compartimentation, où chaque activité tourne dans sa propre machine virtuelle isolée. Edward Snowden l’utilise. Courbe d’apprentissage réelle.
  • À défaut, une distribution Linux classique (Debian, Fedora, Ubuntu…) est déjà une nette amélioration par rapport à Windows ou macOS sur le plan de la confidentialité.

6.5 Hygiène du navigateur

Au minimum, en complément du VPN :

  • Brave ou Firefox avec configuration durcie.
  • Fenêtre de navigation privée.
  • uBlock Origin comme bloqueur (à activer dans le mode privé).
  • Pas d’extensions superflues : chaque extension ajoute du fingerprint et peut elle-même fuiter des données.
  • Pas de connexion à Google / Facebook / Apple dans ce navigateur.
  • DNS chiffré (DNS-over-HTTPS ou DNS-over-TLS — on y consacrera un article dédié).
  • Pour un niveau supérieur : Tor Browser tel quel, sans extensions ajoutées, sans redimensionner la fenêtre (le fingerprint anti-tracking de Tor Browser repose sur le fait que tous les utilisateurs se ressemblent).

Quatre niveaux à mémoriser :

  1. Usage simple : Firefox/Brave + uBlock Origin + DNS chiffré + VPN.
  2. Usage compartimenté : un navigateur dédié par identité (perso, pro, pseudonyme, etc.).
  3. Usage sérieux : Tor Browser, sans extensions ajoutées.
  4. Usage très sérieux : Tails ou Whonix.

6.6 Créer son propre VPN avec un VPS

C’est l’option ultime pour contourner une éventuelle future interdiction des VPN ou un futur contrôle d’identité obligatoire imposé aux VPN commerciaux.

Le principe : vous louez un VPS (serveur virtuel) chez Hetzner, Scaleway, OVH, ou un fournisseur hors UE (c’est un point crucial pour échapper à la juridiction européenne), vous y installez WireGuard, et tout votre trafic sort par l’IP de ce VPS.

Avantages :

  • Du point de vue extérieur, ce n’est pas reconnu comme un VPN : c’est juste une IP de datacenter. Cela permet de contourner les éventuelles futures interdictions des VPN ou les contrôles d’identité obligatoires. C’est le gros point fort.
  • Très performant en général.
  • Contrôle quasi total : pas besoin de faire confiance à un VPN commercial pour ce qui se passe sur le serveur.

Inconvénients :

  • Votre IP de sortie est fixe et vous suit partout — pas idéal pour brouiller les pistes.
  • Le fournisseur de VPS sait qui vous êtes, surtout si vous payez par carte bancaire avec votre identité.
  • L’IP est facilement identifiable comme une IP de datacenter (certains sites bloquent ce type d’IP).
  • Mauvais pour l’anonymat réel si le VPS est lié à vous : le fournisseur peut logger les IP depuis lesquelles vous y accédez.
  • Si vous êtes seul sur cette IP, toute votre activité est très facilement corrélable à un seul « vous ».

À retenir : le VPS DIY est excellent pour résister à une interdiction des VPN, mais ce n’est pas un outil d’anonymat — sauf à le combiner avec d’autres techniques (paiement anonyme, hop intermédiaire via VPN ou Tor, etc.).

6.7 Tailscale + Mullvad : le bon compromis pour les utilisateurs avancés

Tailscale est une excellente solution pour créer son propre réseau privé entre ses appareils, accéder facilement à ses serveurs et sécuriser ses connexions. Utilisé avec un VPS configuré en Exit Node, il remplace un VPN personnel — mais il ne rend pas anonyme, puisque le trafic sort par une IP fixe liée à votre hébergeur.

Cas d’usage très intéressant : utiliser Tailscale + Mullvad comme sortie internet. Tailscale connecte vos appareils entre eux, et Mullvad fournit l’IP VPN de sortie. C’est plus adapté à la vie privée qu’un VPS personnel, tout en restant plus simple qu’une solution DIY complète.

6.8 Et l’UE qui veut « réguler les VPN », alors ?

L’UE peut bien légiférer sur les VPN comme elle le souhaite : sa juridiction reste limitée à la zone UE. Concrètement, comment un État européen pourrait-il savoir que l’utilisateur derrière le VPN est effectivement dans l’UE ?

  • Si vous utilisez un VPN anonyme comme Mullvad payé en cash ou Monero, personne ne sait d’où vous venez vraiment.
  • Si vous « mentez » sur votre localisation par des techniques simples — autre VPN en amont, Tor, VPS hors UE, etc. — le contournement est trivial pour qui sait s’y prendre.
  • Si vous utilisez votre propre VPN sur un VPS hors UE, ce n’est techniquement même pas reconnu comme « un VPN » par les outils de détection : c’est juste un serveur dans un datacenter.

Bref, ces régulations seront massivement contournables par qui aura pris le temps d’apprendre les bons gestes. C’est précisément l’objectif de cette série d’articles : que vous fassiez partie de ceux qui sauront.

 

7. Et CrowdBunker dans tout ça ?

Vous nous soutenez parce que vous croyez à un internet libre. De notre côté, nous continuons à faire tout ce qui est en notre pouvoir pour améliorer votre anonymat sur la plateforme.

Une amélioration récente que nous voulions mentionner ici : nous avons activé sur nos noms de domaines une fonctionnalité technique appelée Encrypted Client Hello (ECH). Concrètement, cela signifie que les FAI et autres intermédiaires auront beaucoup plus de mal à voir que vous accédez à CrowdBunker — surtout si vous n’utilisez pas le serveur DNS de votre FAI. Ce n’est pas une invisibilité totale, mais c’est une couche de confidentialité importante qui s’ajoute à toutes les autres.

C’est ce travail de fond, invisible, que votre soutien rend possible. Merci.

 

8. Ce qu’il faut retenir

Pour récapituler, parce qu’on a couvert beaucoup de terrain :

  1. Définissez d’abord votre modèle de menace. L’outil dépend de l’adversaire.
  2. Un VPN seul ne rend pas anonyme. Il déplace votre confiance vers une entreprise privée et il peut être annulé par un seul onglet de navigateur ouvert.
  3. Méfiez-vous des grands noms : Kape (ExpressVPN, CyberGhost, PIA, ZenMate), NordVPN et son no-log « sauf si… », et tous les comparatifs sponsorisés. Les VPN gratuits, encore pire.
  4. Pour la majorité des usages : Proton VPN. Pour l’anonymat : Mullvad + paiement en Monero. Pour expérimenter : NymVPN. Pour résister à une interdiction : votre propre VPN sur VPS hors UE.
  5. Activez le kill switch, vérifiez les fuites DNS/IPv6/WebRTC, et ne mélangez jamais navigateur perso et navigateur « anonyme ».
  6. Pour aller plus loin : séparation stricte des identités, suppression des métadonnées, paiement anonyme (Monero), OS sérieux (GrapheneOS, Tails, Whonix, Qubes), VPN au niveau du routeur pour les bidouilleurs.
  7. Pas de panique sur la régulation européenne des VPN : elle sera massivement contournable.

Et surtout : l’anonymat n’est jamais binaire. C’est un curseur que vous ajustez en fonction de votre situation. Inutile de sortir l’artillerie pour chercher une recette de gâteau, mais à l’inverse, si vous êtes journaliste, lanceur d’alerte, militant — ou simplement attaché à votre vie privée — il est temps de passer à la vitesse supérieure.

 

9. La suite

Ce sujet est immense, et nous l’avons à peine entamé. Dans les prochaines newsletters de cette série, nous approfondirons d’autres aspects cruciaux :

  • DNS chiffrés (DoH, DoT) et résolveurs alternatifs : la couche que tout le monde oublie.
  • Messageries chiffrées sérieuses, et comment vraiment les utiliser (face à Chat Control notamment).
  • Identité numérique européenne : ce qui se prépare, et comment s’y préparer.
  • Cryptomonnaies confidentielles : Monero, paiements anonymes en pratique.
  • Auto-hébergement pour les particuliers : reprendre le contrôle de ses données.
  • OS sécurisés en profondeur : guides pratiques GrapheneOS, Tails, etc.

J’interviendrai probablement aussi dans des médias partenaires pour aider à diffuser largement ces informations, qui deviennent franchement cruciales en 2026.

Si cet article vous a été utile, le plus beau cadeau que vous puissiez nous faire est de le partager avec quelqu’un qui en a besoin : un proche, un journaliste, un militant, un créateur de contenu. C’est exactement ce que la censure et la surveillance qui se met en place voudraient empêcher.

 

On résiste. Toujours !

 

Matthieu - 17 mai 2026
Fondateur de CrowdBunker

https://crowdbunker.substack.com/p/comment-contourner-la-surveillance