VPN sur Mac : les fonctionnalités indispensables et comment bien choisir

Sur Mac, le VPN joue un vrai rôle de protection au quotidien. Que ce soit pour les Wi-Fi publics, télétravail, partage de fichiers entre ses propres machines, accès à des services auto-hébergés. macOS embarque déjà quelques garde-fous, comme iCloud Private Relay, mais leur portée reste limitée. Les solutions tierces actuelles vont beaucoup plus loin avec un kill switch système, du split tunneling, des bloqueurs de malwares et une intégration native sur les puces Apple Silicon. Reste à savoir laquelle choisir, et comment la configurer pour qu'elle serve vraiment à quelque chose.

Télétravail, Wi-Fi publics, confidentialité : à quoi sert vraiment un VPN sur Mac ?

La première utilité d'un VPN reste la sécurisation de la connexion sur les réseaux que l'on ne maîtrise pas. Les Wi-Fi des gares, aéroports, hôtels et cafés se prêtent parfaitement aux attaques de type man-in-the-middle, où une personne s'intercale entre la machine et le point d'accès pour récupérer mots de passe, accès bancaires ou identifiants professionnels. Avec un VPN, le trafic est chiffré et ces tentatives d'interception ne donnent plus rien. C'est un point qui mérite d'être rappelé, car beaucoup d'utilisateurs Mac se croient mieux protégés que les autres sur ces réseaux en raison de la réputation d'Apple, alors que le système d'exploitation seul ne chiffre pas la connexion.

Le deuxième usage concerne la confidentialité au quotidien. Un VPN permet de masquer son adresse IP réelle, ce qui limite le suivi par les régies publicitaires, les sites visités ou même le fournisseur d'accès. Sur macOS, cela vaut aussi pour les applications qui communiquent en arrière-plan, comme certains logiciels qui transmettent des données de télémétrie ou des outils tiers installés de longue date. C'est là une différence importante avec iCloud Private Relay, qui ne protège que la navigation dans Safari et laisse le reste du trafic à découvert.

Le troisième usage est plus récent. Il est lié à la vague IA et au vibe-coding. De plus en plus de gens hébergent chez eux des projets personnels, tels qu'un petit serveur web, une instance LLM, un peu de domotique ou un serveur de jeu entre proches. Le souci, c'est que tout cela demande d'ouvrir des ports et d'exposer sa machine sur Internet. Il suffit alors de quelques minutes pour que les bots commencent à scanner le Mac.

Quelles options sont indispensables sur macOS ?

Le kill switch est sans doute la plus importante. Si le tunnel VPN tombe, la connexion Internet est coupée immédiatement, pour éviter qu'une donnée non chiffrée ne fuite. Sur Mac, les clients récents s'appuient sur le framework Network Extension d'Apple plutôt que sur d'anciennes extensions noyau, ce qui se traduit par moins de conflits système, une meilleure compatibilité avec les mises à jour de macOS et un kill switch généralement plus fiable. Aussi, le kill switch doit survivre aux cycles de veille et de réveil de la machine, pour etre parfaitement efficace.

Le split tunneling sert à choisir quelles applications passent par le VPN et lesquelles utilisent la connexion classique. C'est pratique pour laisser un outil bancaire ou un site administratif sur la connexion directe, ces services détectant souvent les VPN et bloquant les sessions. Un point à connaître toutefois : sur macOS, la fonction est parfois plus restreinte que sur Windows chez certains éditeurs, en raison des contraintes imposées par Apple sur le framework réseau. Mieux vaut vérifier sa disponibilité avant de souscrire.

Les bloqueurs de malwares intégrés sont devenus la norme. NordVPN avec Threat Protection, Surfshark avec CleanWeb ou ProtonVPN avec NetShield analysent les requêtes DNS pour bloquer les domaines malveillants avant même qu'ils n'arrivent dans le navigateur.

Les serveurs obfusqués servent à masquer l'utilisation même du VPN. C'est utile dans les pays où les VPN sont bloqués, mais aussi sur certains réseaux d'entreprise. Ces serveurs font passer le trafic pour de la navigation HTTPS classique.

Enfin, le réseau mesh comme NordVPN Meshnet ou Tailscale, et les protocoles modernes comme WireGuard, ouvrent la porte à des usages plus avancés. On peut connecter ses propres machines entre elles via un tunnel privé, partager des fichiers en pair-à-pair sans passer par un cloud, ou héberger un service accessible uniquement à ses proches. À l'inverse, les vieux protocoles PPTP et L2TP sont aujourd'hui à éviter pour des raisons de sécurité.

Quel est le meilleur VPN sous macOS ?

Plutôt que de désigner un grand vainqueur, mieux vaut comparer les fonctionnalités qui comptent vraiment sur Mac :

FonctionnalitéNordVPNProtonVPNSurfsharkExpressVPNMullvadCyberGhost
App native Apple SiliconOui (universal)Oui (universal)OuiOuiOuiOui
Kill switch (Network Extension)OuiOuiOuiOui (Network Lock)OuiOui
Split tunneling macOSOuiVariableOuiVariableOuiOui
Serveurs obfusquésOui (NordWhisper)Oui (Stealth)Oui (Camouflage)OuiNonOui (NoSpy)
Bloqueur de malwaresOui (Threat Protection)Oui (NetShield)Oui (CleanWeb)Oui (Threat Manager)OuiOui
Réseau mesh / P2P privéOui (Meshnet)NonNonNonNonNon
Protocole maisonOui (NordLynx)Oui (Stealth)OuiOui (Lightway)WireGuard standardWireGuard standard
Politique no-log auditéeOuiOui (open source)OuiOuiOuiOui

App dédiée, extension navigateur, client natif ou iCloud Private Relay : que choisir ?

L'application de bureau est la solution la plus complète : c'est la seule à donner accès à l'ensemble des fonctionnalités évoquées plus haut, et elle chiffre tout le trafic qui sort de la machine, que ce soit depuis le navigateur ou depuis n'importe quelle autre application installée sur l'ordinateur.

Sur Mac, plusieurs points méritent une attention particulière avant de faire un choix. D'abord, il faut s'assurer que l'application est un binaire universel tournant nativement sur Apple Silicon (les puces M1, M2, M3, etc.), et non une version pensée pour les anciens processeurs Intel qui serait simplement traduite à la volée par Rosetta. Une appli non native tourne moins bien, consomme plus de batterie et peut être plus lente.

Ensuite, il faut vérifier qu'elle s'appuie sur le framework Network Extension d'Apple plutôt que sur une extension noyau (kernel extension). Le Network Extension est l'approche moderne, recommandée par Apple depuis plusieurs années. Elle tourne dans un environnement isolé et sécurisé, sans toucher directement au cœur du système d'exploitation. Une extension noyau, à l'inverse, s'exécute avec des droits bien plus élevés, ce qui la rend potentiellement plus risquée en cas de bug ou de faille, et Apple est en train de la faire disparaître progressivement.

Aussi, la politique no-log (l'engagement du fournisseur à ne conserver aucune trace de l'activité de l'utilisateur) doit avoir été vérifiée par un audit indépendant, réalisé par un cabinet externe spécialisé en cybersécurité. Sans cet audit, il s'agit d'une simple promesse marketing invérifiable.

L'extension de navigateur ne chiffre que le trafic du navigateur sur lequel elle est installée, et fonctionne plutôt comme un proxy. À noter que Safari ne prend pas en charge les extensions VPN dédiées, contrairement à Chrome ou Firefox. C'est léger et confortable, mais en dehors du navigateur, rien n'est protégé. À réserver au confort, pas à la sécurité.

Le client VPN intégré à macOS, dans les Réglages réseau, est l'option la plus basique. Il sert surtout à se connecter à un VPN d'entreprise via les protocoles IKEv2 ou L2TP/IPSec. Pas de fonctions avancées, mais une bonne compatibilité avec les serveurs professionnels. C'est ce qu'on utilise pour rejoindre le VPN de son employeur en télétravail, pas pour un usage grand public.

Reste le cas particulier d'iCloud Private Relay, que beaucoup prennent pour le VPN d'Apple. Il ne faut pas le considerer comme tels. Disponible avec l'abonnement iCloud+, il repose sur une architecture à double saut qui sépare l'identité de l'utilisateur de son activité de navigation, mais il ne protège que la navigation dans Safari et laisse les autres navigateurs et applications sans couverture. Il ne permet pas non plus de choisir un pays de connexion, se limitant à la zone géographique de l'utilisateur, et n'offre ni kill switch ni split tunneling. C'est un complément de confidentialité gratuit et transparent pour les abonnés iCloud+, pas un substitut à un VPN complet.

Quel setup VPN adopter selon son quotidien ?

Pour un Mac familial, l'idéal est un VPN avec un large choix de serveurs et un split tunneling efficace. La configuration la plus simple consiste à laisser le VPN actif lorsqu'on en a besoin, garder le kill switch enclenché et exclure les services qui n'ont pas besoin de passer par le tunnel pour éviter les ralentissements.

Pour un freelance ou un télétravailleur nomade, la priorité change. C'est la sécurité sur les Wi-Fi publics qui prime. Dans ce cas, l'application de bureau avec kill switch système est un minimum, idéalement avec une politique no-log auditée régulièrement et une juridiction protectrice. ProtonVPN, NordVPN et Mullvad sont des choix cohérents pour ce profil.

Pour un développeur ou un auto-hébergeur, on sort du cadre du VPN classique. Pour héberger un serveur de jeu, une instance LLM ou un projet perso depuis chez soi sans ouvrir de ports, des solutions comme NordVPN Meshnet, Tailscale ou un Cloudflare Tunnel sont nettement plus adaptées. Le but est d'isoler le trafic sortant des machines, sans exposer tout le reste sur Internet.

Pour aller plus loin, le comparatif de VPN de lemon.fr permet de confronter les offres en détail.