Qu’est-ce que le split tunneling VPN
Le split tunneling (ou tunneling fractionné) est une fonctionnalité qui vous permet de choisir quel trafic Internet passe par le tunnel VPN chiffré et quel trafic utilise votre connexion Internet directe, sans chiffrement VPN.
Sans split tunneling, quand vous activez votre VPN, tout votre trafic Internet est redirigé vers le serveur VPN. C’est la configuration la plus sécurisée, mais elle a des inconvénients : vitesse réduite, incompatibilité avec certains services locaux (banque en ligne, imprimante réseau) et consommation de bande passante VPN inutile pour des activités qui ne nécessitent pas de protection.
Le split tunneling résout ce problème en vous donnant un contrôle granulaire. Vous pouvez par exemple faire passer votre navigateur par le VPN tout en laissant votre application bancaire accéder directement à Internet, ou protéger uniquement votre client torrent tout en regardant Netflix sans VPN.
Mon conseil : le split tunneling est l’une des fonctionnalités les plus sous-utilisées des VPN. Correctement configuré, il vous offre le meilleur des deux mondes : la sécurité là où vous en avez besoin et la vitesse maximale pour le reste. — Lucas Martin
Comment fonctionne le split tunneling
Le principe technique
Quand un VPN est actif, il crée une interface réseau virtuelle (TUN ou TAP) qui capture tout le trafic sortant de votre appareil. Le split tunneling modifie la table de routage du système pour que certains paquets contournent cette interface virtuelle et sortent directement par votre connexion Internet normale.
Il existe deux approches :
Split tunneling par application : vous sélectionnez des applications spécifiques. Par exemple, Firefox passe par le VPN, Chrome non. C’est la méthode la plus courante et la plus simple.
Split tunneling par adresse IP/domaine : vous définissez des adresses IP ou des URL qui doivent (ou ne doivent pas) passer par le VPN. Plus technique mais plus précis.
Les deux modes de split tunneling
Mode inclusif (whitelist) : seules les applications ou adresses sélectionnées passent par le VPN. Tout le reste utilise la connexion directe. Idéal quand vous voulez protéger uniquement une ou deux applications.
Mode exclusif (blacklist) : tout passe par le VPN sauf les applications ou adresses que vous excluez. Idéal quand vous voulez une protection globale avec quelques exceptions.
Cas d’usage pratiques
Streaming et VPN simultanés
Vous voulez accéder au catalogue Netflix US via le VPN, mais votre application de banque en ligne refuse les connexions VPN. Avec le split tunneling :
- Netflix → passe par le VPN (serveur US)
- Application bancaire → connexion directe
- Résultat : streaming sans restriction ET accès bancaire sans problème
Travail à distance
Vous êtes connecté au VPN de votre entreprise mais avez besoin d’accéder à des services locaux :
- Applications professionnelles → VPN entreprise
- Navigation personnelle, Spotify → connexion directe
- Imprimante réseau locale → connexion directe
Torrenting sécurisé
Vous voulez protéger votre client torrent avec le VPN mais ne voulez pas que vos jeux en ligne soient ralentis :
- Client torrent (qBittorrent, Transmission) → VPN
- Steam, jeux en ligne → connexion directe (latence minimale)
- Résultat : téléchargement anonyme ET gaming sans lag
Pour en savoir plus sur l’utilisation sécurisée du P2P, consultez notre guide sur le VPN pour le torrenting.
Économie de bande passante
Si votre VPN impose une limite de bande passante (forfait gratuit) ou si votre connexion est lente :
- Navigateur web → VPN (protection de la navigation)
- Mises à jour système, téléchargements volumineux → connexion directe
- Résultat : protection web sans gaspiller la bande passante VPN
Configuration par fournisseur VPN
NordVPN : split tunneling sur Windows, Android et Android TV
NordVPN propose le split tunneling par application sur Windows et Android.
Sur Windows :
- Ouvrez NordVPN et allez dans Paramètres (icône engrenage)
- Cliquez sur Split tunneling
- Activez la fonctionnalité
- Choisissez le mode :
- Activer le VPN pour les apps sélectionnées uniquement (mode inclusif)
- Désactiver le VPN pour les apps sélectionnées (mode exclusif)
- Cliquez sur Ajouter des applications et sélectionnez celles concernées
- Les changements s’appliquent immédiatement
Sur Android :
- Ouvrez NordVPN > Paramètres > Split tunneling
- Sélectionnez les applications à exclure du VPN
- Confirmez — le split tunneling utilise la fonctionnalité native Android
Limites NordVPN : le split tunneling n’est pas disponible sur macOS ni iOS.
Pour plus de détails sur NordVPN, consultez notre test complet.
ExpressVPN : split tunneling sur toutes les plateformes desktop
ExpressVPN offre un split tunneling complet sur Windows, macOS et Android.
Sur Windows et macOS :
- Ouvrez ExpressVPN > Options (ou Préférences sur Mac) > Général
- Cochez Gérer la connexion par application
- Cliquez sur Paramètres
- Choisissez :
- Ne pas autoriser les apps sélectionnées à utiliser le VPN (exclusion)
- Autoriser uniquement les apps sélectionnées à utiliser le VPN (inclusion)
- Ajoutez les applications avec le bouton +
- Cliquez sur OK puis reconnectez le VPN
Sur les routeurs ExpressVPN Aircove : Le split tunneling fonctionne par appareil. Dans l’interface de l’Aircove, vous assignez chaque appareil connecté à un groupe : « VPN activé » ou « Sans VPN ». C’est du split tunneling au niveau réseau, très pratique.
Limites ExpressVPN : pas de split tunneling par URL/domaine.
Notre avis sur ExpressVPN détaille cette fonctionnalité.
Surfshark : Bypasser et Whitelister
Surfshark nomme sa fonctionnalité « Bypasser » et offre deux options distinctes.
Sur Windows et Android :
- Ouvrez Surfshark > Paramètres > VPN > Bypasser
- Deux onglets sont disponibles :
- Route via VPN : sélectionnez les apps qui doivent passer par le VPN (mode inclusif)
- Contourner le VPN : sélectionnez les apps qui contournent le VPN (mode exclusif)
- Un troisième mode unique à Surfshark : Bypasser par site web/IP, permettant d’exclure des adresses IP ou domaines spécifiques du VPN
Fonctionnalité exclusive Android : Surfshark propose un GPS Spoofing combiné au split tunneling, permettant de simuler une position GPS différente pour les applications qui passent par le VPN.
Limites Surfshark : pas de split tunneling sur macOS ni iOS.
Consultez notre test de Surfshark pour plus d’informations.
Comparatif split tunneling par VPN
| Fonctionnalité | NordVPN | ExpressVPN | Surfshark | ProtonVPN | CyberGhost |
|---|---|---|---|---|---|
| Windows | Oui | Oui | Oui | Oui | Non |
| macOS | Non | Oui | Non | Oui | Non |
| Android | Oui | Oui | Oui | Oui | Non |
| iOS | Non | Non | Non | Non | Non |
| Linux | Non | Oui | Non | Oui | Non |
| Par application | Oui | Oui | Oui | Oui | — |
| Par URL/IP | Non | Non | Oui | Oui | — |
| Mode inclusif | Oui | Oui | Oui | Oui | — |
| Mode exclusif | Oui | Oui | Oui | Oui | — |
| Routeur | Non | Oui (Aircove) | Non | Non | Non |
Split tunneling inversé : le reverse split tunneling
Le reverse split tunneling (ou split tunneling inversé) est moins connu mais tout aussi utile. Au lieu de choisir ce qui passe par le VPN, vous choisissez ce qui ne passe PAS par le VPN. Tout le reste est automatiquement protégé.
C’est le mode « exclusif » décrit plus haut, et c’est souvent la configuration recommandée pour une sécurité maximale avec des exceptions ciblées.
Exemple pratique : vous excluez uniquement votre application bancaire et votre imprimante réseau locale du VPN. Tout le reste — navigateur, email, messagerie, streaming — passe par le tunnel chiffré.
Avantage : si vous installez une nouvelle application, elle est automatiquement protégée par le VPN. Vous n’avez pas besoin de penser à l’ajouter à la liste.
Risques de sécurité du split tunneling
Le split tunneling est pratique, mais il introduit des risques qu’il faut comprendre.
Fuite de données involontaire
Les applications exclues du VPN envoient vos données en clair via votre connexion directe. Si vous excluez votre navigateur par erreur, votre navigation n’est plus protégée même si l’icône VPN est active.
Mitigation : vérifiez régulièrement votre configuration de split tunneling. Après chaque modification, testez sur ipleak.net depuis une application incluse ET une application exclue pour vérifier le comportement.
Corrélation de trafic
Un attaquant sophistiqué pourrait corréler votre trafic VPN avec votre trafic direct pour vous identifier. Ce risque est principalement théorique pour un usage courant, mais il est réel pour les journalistes, lanceurs d’alerte ou activistes opérant dans des pays sous surveillance.
Mitigation : si votre modèle de menace inclut la surveillance étatique, n’utilisez pas le split tunneling. Faites passer tout votre trafic par le VPN.
DNS leaks
Même avec le split tunneling, vos requêtes DNS pourraient révéler les sites que vous visitez. Certains VPN ne routent pas correctement les requêtes DNS des applications exclues.
Mitigation : configurez un résolveur DNS chiffré (DNS over HTTPS) sur votre système en complément du VPN. Testez avec dnsleaktest.com.
Applications qui se mettent à jour en arrière-plan
Une application exclue du VPN peut télécharger des mises à jour ou envoyer des données de télémétrie via votre connexion directe, révélant potentiellement votre véritable IP.
Mitigation : n’excluez que les applications pour lesquelles c’est vraiment nécessaire. En cas de doute, gardez l’application dans le tunnel VPN.
Règle de sécurité : le split tunneling est un compromis entre praticité et sécurité. Plus vous excluez d’applications, plus votre surface d’exposition augmente. Utilisez-le de manière ciblée, pas comme une configuration par défaut. — Lucas Martin
Recommandations par profil d’utilisateur
Utilisateur standard (navigation + streaming)
Configuration recommandée : mode exclusif (tout passe par le VPN)
- Exclure : application bancaire, applications nécessitant votre IP locale
- Inclure : tout le reste
Gamer
Configuration recommandée : mode inclusif (seules les apps sélectionnées passent par le VPN)
- Inclure dans le VPN : navigateur, client torrent, applications de communication
- Exclure (connexion directe) : Steam, clients de jeu, applications de gaming nécessitant une faible latence
Travailleur à distance
Configuration recommandée : mode exclusif avec le VPN entreprise
- Exclure : services de streaming personnel, musique, mises à jour système
- Inclure : toutes les applications professionnelles
Utilisateur soucieux de la vie privée
Configuration recommandée : pas de split tunneling
- Tout le trafic passe par le VPN, sans exception
- Si un service bloque le VPN, changez de serveur plutôt que d’exclure l’application
- Consultez notre article sur les risques de sécurité des VPN gratuits pour comprendre l’importance d’une protection complète
Alternatives au split tunneling
Utiliser deux navigateurs
Au lieu du split tunneling, utilisez un navigateur dédié pour le VPN et un autre sans :
- Firefox → toujours via le VPN (configuré avec un proxy SOCKS5 du VPN)
- Chrome → connexion directe
Configuration double routeur
Comme décrit dans notre guide VPN sur routeur, un second routeur VPN offre un split tunneling physique : les appareils connectés au routeur VPN sont protégés, les autres non.
Machines virtuelles
Exécutez une machine virtuelle dont tout le trafic passe par le VPN, tandis que votre système hôte utilise la connexion directe. C’est la séparation la plus stricte possible.
Notre verdict
Le split tunneling est une fonctionnalité essentielle qui transforme un VPN de « tout ou rien » en un outil flexible adapté à votre usage réel.
ExpressVPN offre le split tunneling le plus complet, disponible sur Windows, macOS et Android, avec en bonus la fonctionnalité par appareil sur son routeur Aircove.
Surfshark se distingue avec son Bypasser par URL/IP et le GPS Spoofing combiné sur Android — des fonctionnalités uniques sur le marché.
ProtonVPN propose le split tunneling sur le plus grand nombre de plateformes, incluant Linux et macOS, ce qui le rend idéal pour les utilisateurs avancés.
Pour choisir le VPN adapté à vos besoins, consultez notre comparatif des meilleurs VPN et notre guide pour bien choisir.