Retour à tous les articles
Publié le · par Renaud Deraison

Faire tourner un VPN dans Bromure — et une introduction en langage clair à Cloudflare WARP

Ce qu'un VPN fait réellement, ce qu'il ne fait pas, pourquoi en exécuter un par profil dans Bromure change la donne en matière d'anonymat, et une visite guidée du fonctionnement interne de Cloudflare WARP.

L'anonymat en ligne n'est pas une affaire de pirates. C'est ce que vous voulez chaque fois que vous préféreriez que votre épicier, votre assureur, l'école de vos enfants et six régies publicitaires ignorent les articles que vous lisez à une heure du matin.

La plupart des gens se tournent vers un VPN quand ils voyagent, qu'ils regardent du streaming ou qu'ils cherchent à acheter quelque chose qu'ils préféreraient ne pas voir leur revenir sous forme de publicité ciblée la semaine suivante. Moins nombreux sont ceux qui se demandent le VPN tourne — sur le système d'exploitation, sur le routeur, ou dans un endroit plus intéressant. La réponse à cette dernière question s'avère avoir beaucoup d'importance. Cet article explique ce qu'un VPN fait réellement, ce qu'il ne fait pas, pourquoi l'exécuter par profil dans Bromure change l'équation, et — puisque la question revient sans cesse — ce qu'est exactement Cloudflare WARP.

Votre adresse IP est une étiquette que vous ne pouvez pas retirer.

Chaque requête que votre ordinateur adresse à chaque service web contient votre adresse IP. C'est obligatoire : la réponse doit bien revenir quelque part. Le problème, c'est que cette même IP, depuis le même domicile, persiste généralement pendant des jours, des semaines ou des mois, et c'est assez long pour que toutes les chaînes d'analyse du web la considèrent comme un identifiant stable — « le portable de la table de cuisine » — et assemblent, à partir de sites totalement indépendants, un portrait de ce que fait la personne derrière ce portable pendant son temps libre.

Vousconnexion domicile203.0.113.45Site d'actualitésvisiteur 203.0.113.45Réseau socialvisiteur 203.0.113.45Boutique en lignevisiteur 203.0.113.45Forum médicalvisiteur 203.0.113.45Régie publicitairevisiteur 203.0.113.45Courtier de donnéesvisiteur 203.0.113.45Le même numéro sur chaque ligne. Félicitations — vous êtes une clé dans toutes les bases de données.
Une seule adresse IP apparaît sur chaque page que vous visitez, sur chaque site, pendant des semaines et des mois. C'est suffisant pour que les régies publicitaires et les courtiers de données construisent un profil riche — sans cookies, sans connexion. Votre étiquette était pré-imprimée.

Votre IP n'est pas le seul identifiant sur internet ; les cookies et les comptes connectés en sont de plus forts. Mais l'IP est celui que vous ne pouvez pas désactiver. Vous pouvez effacer les cookies, vous pouvez refuser de vous connecter, l'IP part tout de même — la même IP, sur chaque requête.

C'est ce problème qu'un VPN cherche à résoudre.

Ce qu'un VPN fait réellement — et ce qu'il ne fait pas.

Un VPN — virtual private network — redirige votre trafic via un serveur intermédiaire, de sorte que les sites que vous consultez voient l'adresse IP du VPN plutôt que la vôtre. Le trafic entre votre appareil et le VPN est chiffré, et les sites que vous visitez voient la région géographique depuis laquelle le VPN a choisi de sortir.

VousIP réelle203.0.113.45TUNNEL CHIFFRÉWireGuard / OpenVPN /IKEv2 · charge utile opaqueSortie VPNréécrit l'IP source185.220.42.17Site webvoitvisiteur 185.220.42.17Le fournisseur VPN voit tout ce que le FAI pouvait voir. Vous faites confiance au VPN plutôt qu'au FAI — vous n'ajoutez pas de confiance, vous la déplacez.
Un VPN réécrit l'adresse de retour sur votre trafic internet. Chaque site voit l'IP du VPN au lieu de la vôtre. Le trafic entre vous et le VPN est chiffré ; celui entre le VPN et le site ne l'est pas (même si la quasi-totalité est déjà enveloppée dans du TLS au niveau applicatif).

Ce qu'un VPN vous apporte :

Votre IP est cachée des sites

Les sites voient l'IP du VPN. Leurs partenaires publicitaires voient l'IP du VPN. Les courtiers de données qui agrègent les visites à travers internet finissent par agréger autour d'une sortie partagée, pas autour de votre domicile.

Votre trafic est caché de votre FAI et de votre réseau

Le café, l'aéroport, l'hôtel et votre FAI voient tous un unique flux chiffré qui part vers le VPN. Ils ne peuvent pas voir quels sites vous consultez. Les requêtes DNS passent elles aussi par le VPN, donc ils ne peuvent même pas voir ce que vous interrogez.

Vous pouvez choisir une sortie géographique

La plupart des VPN commerciaux vous laissent choisir un pays. Si un site n'est disponible qu'au Japon, ou si vous voulez voir les prix que votre homologue de l'autre côté de l'océan a sous les yeux, un VPN est la réponse facile.

Vous ne devenez pas anonyme

C'est la partie honnête. Un VPN cache votre IP, pas votre identité. Si vous vous connectez aux mêmes comptes que d'habitude, vous êtes aussi identifié qu'avant — simplement via une autre IP. L'empreinte de navigateur, les cookies, les passkeys et le « Se connecter avec Google » se moquent des IP.

Pourquoi faire tourner un VPN à l'intérieur de Bromure est une meilleure approche.

La plupart des gens font tourner un VPN au niveau du système d'exploitation. La machine entière est soit avec VPN, soit sans. Le problème est double.

Le premier, c'est la résolution. Quand le VPN est actif, chaque application — votre client de messagerie, votre Slack, les mises à jour de l'App Store, votre synchronisation Dropbox — passe par le VPN. Cela peut casser des connexions (« nous avons détecté une connexion depuis l'Allemagne »), ralentir l'ensemble, et révéler l'usage d'un VPN à tous les autres services auxquels vous parlez.

Le second, c'est la fuite. Quand le VPN est éteint, une autre application qui s'active utilement en arrière-plan peut faire apparaître votre IP réelle sur un site que vous pensiez atteindre anonymement. Une seule fuite DNS, une seule fuite WebRTC, et le site vous corrèle avec votre vraie connexion.

Bromure adopte une approche différente : chaque profil est sa propre machine virtuelle, avec sa propre configuration réseau. Un profil peut être sur WARP. Un autre peut être en direct. Un troisième peut être sur un VPN commercial payant sortant en Allemagne. Un quatrième peut être sur Tor. Aucun ne voit les autres. Et le système d'exploitation hôte — votre IP réelle, votre connexion réelle — n'a aucun VPN actif dessus, parce qu'il n'en a pas besoin.

Un portable, une IP réelle — quatre universHÔTE · pas de VPN, juste internetTravailapplis d'entreprisepas de VPN(direct)Banquefinances uniquementpas de VPN(éviter les alertes)Personnelactus, réseaux sociauxCloudflare WARP(cache l'IP, gratuit)Rechercheliens ponctuelsVPN payant · sortie DE(géographie précise)Internetdirect depuis l'IP hôteCloudflare WARPIP edge CFVPN payant · AllemagneIP de sortie Frankfurt
Sur un OS classique, un VPN est un interrupteur global pour toute la machine. Dans Bromure, chaque profil est son propre univers réseau. L'hôte conserve son internet normal ; chaque profil peut acheminer son trafic comme vous le souhaitez — et ce choix ne fuite pas hors du profil.

Trois conséquences discrètes découlent de cette approche.

Pas de corrélation accidentelle. Le profil travail et le profil recherche ne partagent pas d'IP source. Un site où vous vous êtes connecté depuis « Personnel » voit la sortie WARP ; un site ouvert dans « Recherche » voit une sortie commerciale allemande. Ils ne peuvent pas relier les deux sessions depuis le réseau.

Pas de fuite entre profils. Une fuite DNS, une fuite WebRTC, une application mal configurée — tout cela reste local à la VM. Une page mal intentionnée dans un profil ne peut pas découvrir l'IP réelle de l'hôte, parce que l'IP réelle de l'hôte n'est pas dans l'espace de nommage réseau de ce profil. Elle est de l'autre côté du mur.

Les sessions se terminent, les routes aussi. Une session jetable sur laquelle tournait WARP est détruite quand vous fermez la fenêtre. La prochaine fois que vous ouvrez le même profil, plus rien de la session précédente — cookies, caches, clés WireGuard, attributions d'IP — n'est là. Le VPN est aussi éphémère que l'était la fenêtre.

Introduction à Cloudflare WARP.

WARP est le produit grand public de Cloudflare, de type VPN. De manière déroutante, c'est à la fois un service gratuit accessible à tous et un produit payant, et il cohabite avec toute une gamme de produits pour entreprises qui portent également le nom WARP (1.1.1.1 for Families, Zero Trust, Gateway). Cette section parle de la version personnelle gratuite, qui est celle dont on nous parle.

Votre appareilProfil BromureClient WireGuardTUNNEL CHIFFRÉWireGuard (UDP 51820)ou MASQUE (QUIC/HTTP3)EDGE CLOUDFLAREPoP le plus proche300+ villes dans le mondeDNS via 1.1.1.1voit le trafic déchiffréInternetvoit l'IP sourceune IP CloudflarePas de sélecteur de pays. La géographie de sortie = le PoP Cloudflare le plus proche de vous.
Ce que WARP fait réellement sous le capot. Votre trafic est chiffré dans un tunnel WireGuard (ou, sur les clients récents, un tunnel MASQUE/QUIC), terminé sur l'edge Cloudflare le plus proche, et sort depuis le réseau de Cloudflare. Les requêtes DNS passent par 1.1.1.1 et sont chiffrées séparément. Aucun choix de pays ; la sortie se fait là où vous êtes le plus proche du réseau Cloudflare.

Un très bref historique : WARP est né comme la face grand public du résolveur DNS 1.1.1.1 de Cloudflare, lancé en 2019. L'idée était simple — Cloudflare exploitait déjà l'un des plus grands réseaux edge de la planète pour servir des sites web, donc terminer un tunnel WireGuard au même endroit ne représentait qu'un petit saut supplémentaire. Le client original utilisait l'implémentation WireGuard maison de Cloudflare en Rust (BoringTun) ; les clients plus récents ont ajouté MASQUE — un protocole plus récent de type VPN bâti sur HTTP/3 et QUIC, plus difficile à bloquer sur de nombreux réseaux hostiles.

Ce que WARP vous apporte :

Gratuit, sans compte pour commencer

L'offre WARP de base est gratuite. Pas de carte bancaire, pas d'e-mail. Un identifiant d'appareil est généré localement ; vous pouvez passer à l'offre payante plus tard si vous le souhaitez, mais l'expérience à la sortie de la boîte est « j'installe, je connecte, c'est fini ».

Rapide, parce que l'edge Cloudflare est partout

Les VPN classiques acheminent votre trafic jusqu'à quelques dizaines de centres de données et en ressortent de là. Cloudflare opère des PoP dans plus de 300 villes. Le saut supplémentaire que votre trafic effectue est généralement minuscule, et pour beaucoup d'utilisateurs WARP est mesurablement plus rapide que l'absence de VPN, grâce au peering de transit de Cloudflare.

DNS chiffré

Par défaut, les requêtes DNS dans le tunnel vont vers 1.1.1.1 via DoH ou DoT. Votre FAI, votre réseau d'entreprise et le routeur du café ne peuvent pas voir les domaines que vous interrogez — ce qui, sur des réseaux non chiffrés, serait sinon en clair.

Des engagements de confidentialité que vous pouvez vraiment lire

Cloudflare a publié à plusieurs reprises des audits de confidentialité sur WARP (par des auditeurs tiers — KPMG le plus récemment) indiquant que les adresses IP et l'historique de navigation ne sont ni journalisés ni utilisés à des fins publicitaires. La politique n'est pas infaillible, mais elle est meilleure que celle de la plupart des VPN gratuits et réellement auditable.

Ce que WARP n'est pas.

Il est facile de surestimer ce que fait WARP. Quelques points à garder en tête avant de le considérer comme une solution de confidentialité complète.

Pas un VPN géographique

Vous ne pouvez pas choisir « sortie depuis le Japon » dans WARP gratuit. Le PoP de sortie est déterminé par l'endroit où vous vous trouvez. Pour le déblocage géographique, il vous faut toujours un VPN commercial avec sélecteur de pays, ou les variantes WARP+ qui offrent un contrôle de région.

La confiance passe du FAI à Cloudflare

Votre trafic n'est chiffré que jusqu'à l'edge Cloudflare. Ensuite, Cloudflare l'achemine vers l'internet public. Cloudflare peut voir chaque domaine auquel vous vous connectez, chaque requête DNS, chaque octet non chiffré (même si la majeure partie est enveloppée dans du TLS). Vous échangez la visibilité de votre FAI contre celle de Cloudflare — ce qui est un vrai progrès si vous ne faites pas confiance à votre FAI, mais cela reste un point de confiance unique et bien connu.

N'empêche pas l'empreinte de navigateur

Un VPN cache votre IP. Il ne change pas votre chaîne user-agent, la liste de vos polices installées, votre résolution d'écran, votre empreinte WebGL/canvas, votre signature TLS. Un traqueur bien équipé vous corrèle à travers les IP de toute façon. Cacher l'IP relève la barre ; cela n'égalise pas le terrain.

Certains réseaux bloquent purement et simplement WARP

Les réseaux d'entreprise, certains aéroports et certains pays détectent et bloquent les points d'entrée standards de WARP. MASQUE aide, mais ce n'est pas magique. Si WARP refuse de se connecter sur un réseau donné, ce n'est généralement pas un bug — c'est le réseau qui dit non.

Utiliser WARP dans un profil Bromure.

La partie technique est modeste. La configuration de WARP peut être exportée sous forme de fichier de configuration WireGuard depuis l'application 1.1.1.1 — le même type de fichier que n'importe quel client WireGuard comprend. Vous pointez un profil Bromure vers ce fichier, et tout ce que fait le profil transite par Cloudflare.

Parce que la configuration est par profil, vous pouvez garder le profil WARP pour la lecture et la navigation au quotidien, pendant que vos profils bancaire et professionnel restent sur la connexion directe. Votre OS hôte, pendant ce temps, ne fait tourner aucun VPN — il n'en a pas besoin, puisque rien sur l'hôte ne cherche à anonymiser son trafic. L'anonymat vit précisément là où vous voulez l'utiliser.

Une courte matrice pour savoir quand utiliser quoi :

Utilisez WARP quand…

Vous voulez cacher votre IP à l'essentiel du web, vous êtes sur un réseau auquel vous ne faites pas entièrement confiance, vous voulez du DNS chiffré, et vous préféreriez ne rien payer ni vous inscrire. Un bon choix par défaut pour le profil que vous utilisez pour la lecture, la recherche et les achats occasionnels.

Utilisez un VPN commercial payant quand…

Vous avez besoin d'une sortie dans un pays précis, vous avez besoin d'un fournisseur avec une politique de confidentialité plus stricte ou dans une juridiction différente de celle de Cloudflare, ou vous faites quelque chose qui risque de déclencher un rate-limit sur une IP partagée. Plus lent que WARP dans la plupart des cas, mais plus de contrôle.

Utilisez Tor quand…

Vous avez besoin d'un véritable anonymat face à un adversaire sérieux — un journaliste qui enquête, un activiste dans un pays hostile, un chercheur qui examine l'infrastructure d'un adversaire. Bien plus lent que WARP ou un VPN ; fonctionne sur beaucoup moins de sites ; mais le modèle de menace auquel il résiste est différent.

N'utilisez pas de VPN quand…

Vous vous connectez à votre banque, à votre médecin ou à vos services publics. Ces sites sont conçus pour se méfier des IP inhabituelles, et un VPN déclenche souvent des frictions supplémentaires ou un blocage pur et simple. Garder un profil « IP réelle » propre pour ces sessions n'est pas de la paranoïa : c'est du confort.

Pour finir.

Vous n'avez pas besoin d'un modèle de menace impliquant des États-nations pour vouloir contrôler votre IP. Vous avez juste besoin de ne pas être étiqueté sur chaque page que vous lisez, chaque recherche que vous lancez et chaque produit que vous avez regardé une fois avant de le regretter immédiatement. Un VPN est l'outil le plus courant pour cela ; WARP est un bon choix gratuit par défaut pour quiconque veut l'essentiel sans abonnement. Et Bromure, en mettant chaque profil dans son propre univers réseau, vous permet de mélanger ces outils à la résolution qu'ils auraient dû avoir depuis toujours : pas par ordinateur, pas par application, mais par univers.

Installez Bromure. Créez un profil appelé « lecture ». Pointez-le vers WARP. Regardez à quoi ressemble le reste du web quand il ne vous reconnaît plus.