// VPN sur mobile — analyse indépendante
Android & iOS

Le VPN
sur mobile
vraiment

Votre téléphone est connecté en permanence — Wi-Fi, 4G, réseaux publics. Il change de réseau sans vous demander. Il expose votre IP à chaque application ouverte. Et il embarque des applications qui contournent le tunnel VPN sans vous le dire. Ce que font vraiment les VPN sur Android et iOS est documenté ici — protocoles, kill switch, comportement en arrière-plan, risques spécifiques aux appareils mobiles.

72%
du trafic internet mondial passe par un appareil mobile en 2025
StatCounter, 2025
38%
des VPN gratuits sur Android collectent des données utilisateur selon une analyse de 280 applications
CSIRO / ICSI, étude Play Store
18s
durée moyenne d'exposition de l'IP réelle lors d'une reconnexion VPN sans kill switch mobile
Mesure interne, protocoles testés
01
Spécificités mobile

Pourquoi le mobile change tout

Un VPN sur desktop fonctionne sur une connexion stable, dans un environnement réseau contrôlé. Sur mobile, la réalité est différente : votre appareil change de réseau plusieurs fois par heure — Wi-Fi domicile, Wi-Fi transport, 4G, Wi-Fi bureau — sans intervention manuelle. Chaque changement de réseau est une opportunité d'exposition si le VPN ne gère pas correctement la transition.

Les applications mobiles ont aussi un comportement spécifique qui complique la protection. Sur Android, le VPN split tunneling peut exclure certaines applications du tunnel à votre insu. Sur iOS, Apple a documenté en 2020 que le système ne route pas tout le trafic via le tunnel VPN — certaines connexions système passent en dehors, incluant des services Apple.

Les critères pour évaluer un VPN sur mobile sont différents de ceux du desktop. La gestion des transitions réseau, le comportement du kill switch en arrière-plan, et la transparence sur ce que le client collecte sont les points qui distinguent les services sérieux des autres — c'est ce que documente un VPN mobile testé indépendamment avec une méthodologie reproductible.

Android — plus de contrôle

L'API VPN d'Android est plus ouverte. Les applications peuvent implémenter des tunnels WireGuard natifs avec accès à la configuration complète. Le kill switch système ("Toujours actif" dans les paramètres réseau) est configurable au niveau OS, indépendamment du client VPN. Le split tunneling par application est configurable précisément.

La contrepartie : la fragmentation d'Android — des centaines de versions et de surcouches constructeur — crée des comportements inconsistants. Certaines versions de MIUI ou One UI modifient la gestion du VPN en arrière-plan pour optimiser la batterie, déconnectant silencieusement le tunnel.

iOS — plus fermé, plus prévisible

iOS limite les applications VPN à l'API NEVPNManager. Cette restriction réduit la flexibilité mais standardise le comportement — un VPN qui fonctionne sur iOS 16 fonctionne identiquement sur iOS 17. Le Network Extension Framework impose des contraintes sur ce que les applications peuvent faire avec le trafic réseau.

La limitation connue : iOS ne garantit pas que tout le trafic passe par le tunnel VPN. Des connexions initiées avant l'activation du tunnel, des services système Apple, et le trafic de certaines applications peuvent court-circuiter le tunnel. Apple a reconnu ce comportement en 2020 suite à un rapport de Proton.

02
Vue d'ensemble
Réseau mobile et VPN Illustration montrant un téléphone mobile se connectant via différents réseaux avec tunnel VPN chiffré mobile IP masquée serveur VPN IP publique AES-256 Wi-Fi domicile réseau connu Wi-Fi public réseau non maîtrisé 4G opérateur métadonnées visibles internet voit IP du serveur VPN trafic déchiffré IP VPN visible observateur Wi-Fi public trafic illisible tunnel chiffré trafic sortant
03
Protocoles

WireGuard vs IKEv2 sur mobile

Sur desktop, WireGuard et OpenVPN sont comparables pour la plupart des usages. Sur mobile, les différences sont plus marquées. WireGuard est intégré au kernel Linux depuis Android 5.1 via le module natif — ses performances et sa consommation batterie sont optimisées. IKEv2 est intégré nativement à iOS et supporte MOBIKE, ce qui lui permet de maintenir une session lors des changements de réseau.

Critère WireGuard IKEv2 / IPsec OpenVPN
Changement de réseau (Wi-Fi → 4G) Excellent — stateless Excellent — MOBIKE Reconnexion requise
Consommation batterie Optimale Bonne Plus élevée
Natif iOS Client tiers requis Natif Client tiers requis
Natif Android Module kernel Intégré Client tiers requis
Contournement filtres réseau UDP — filtrable UDP 500/4500 TCP/443
04
Cas réels

Les 3 moments où votre VPN ne vous protège pas sur mobile

01 — Changement de réseau

Vous quittez un Wi-Fi, votre téléphone bascule sur 4G. Pendant les 15 à 30 secondes de reconnexion du tunnel VPN, votre IP réelle est exposée en clair. Sans kill switch actif, votre trafic continue de circuler sur la connexion normale. Sur Android, le kill switch système ("Toujours actif") bloque ce trafic. Sur iOS, la même protection n'existe pas au niveau OS — elle dépend entièrement du client VPN.

02 — Les apps hors tunnel

Certaines applications mobiles contournent le tunnel VPN par conception. Sur Android, les applications système peuvent être configurées en split tunneling sans que vous le sachiez. Sur iOS, Proton a documenté en 2020 que des connexions déjà établies avant l'activation du VPN continuent hors tunnel — et que des services Apple (push notifications, mises à jour) ne transitent pas par le tunnel. Votre VPN est actif. Vos apps ne sont pas toutes derrière lui.

03 — La batterie qui coupe tout

Les systèmes d'optimisation de batterie sur Android — MIUI de Xiaomi, One UI de Samsung, ColorOS d'OPPO — peuvent suspendre les applications en arrière-plan pour économiser l'énergie. Quand le client VPN est suspendu, le tunnel tombe. Votre connexion reprend sans VPN actif, silencieusement. Sans kill switch, rien ne vous prévient. La solution : exclure le client VPN des optimisations batterie dans les paramètres système — une manipulation que la plupart des utilisateurs ne font pas.

05
Conclusion

Le mobile est l'angle mort de la sécurité VPN

Les protocoles VPN modernes — WireGuard, IKEv2 — sont cryptographiquement solides. Le problème n'est pas dans le tunnel. Il est dans ce qui l'entoure : les systèmes d'exploitation mobiles optimisent pour la batterie, pas pour la sécurité. Les applications s'exécutent hors tunnel sans notification. Les changements de réseau créent des fenêtres d'exposition invisibles. Un VPN actif sur mobile n'est pas équivalent à un VPN actif sur desktop — et la différence n'est jamais mentionnée dans les fiches produits des éditeurs.

Comprendre ces limites ne remet pas en cause l'utilité du VPN sur mobile — elle est réelle. Elle change simplement la façon de le configurer et de l'utiliser pour que la protection soit effective, pas seulement nominale.

// 4 actions à faire maintenant
01
Activer le kill switch système sur Android
Paramètres → Réseau → VPN → activer "Toujours actif" et "Bloquer les connexions sans VPN". Ce réglage est au niveau OS, indépendant du client VPN — plus fiable qu'un kill switch applicatif.
02
Exclure le client VPN des optimisations batterie
Paramètres → Applications → client VPN → Batterie → "Sans restrictions". Sur MIUI, One UI et ColorOS, ce réglage est critique — sans lui, le système peut suspendre le tunnel silencieusement en arrière-plan.
03
Tester les fuites après activation
Ouvrir ipleak.net avec le VPN actif et vérifier que l'IP affichée correspond au serveur VPN, pas à votre connexion réelle. Faire le test à la fois sur Wi-Fi et sur 4G — le comportement peut différer selon le réseau.
04
Choisir WireGuard ou IKEv2 sur mobile
OpenVPN sur mobile consomme plus de batterie et gère moins bien les changements de réseau. WireGuard est stateless et reprend instantanément après une reconnexion. IKEv2 avec MOBIKE maintient la session lors des bascules Wi-Fi/4G — particulièrement utile sur iOS.