Chaque matin, ton iPhone se connecte à des dizaines de serveurs avant même que tu n’aies touché l’écran — vérification des notifications push, synchro iCloud, mises à jour en arrière-plan.
Tout ce trafic passe par ton fournisseur internet (Bell, Videotron, Rogers). Ton FAI voit les domaines que tu contactes, les heures, les volumes. Il peut vendre ces données. Au Canada, la loi est moins stricte qu’en Europe sur ce point.
C’est le problème que Private Relay et les VPN cherchent à résoudre — de manières très différentes.
iCloud Private Relay : ce que c’est vraiment
Private Relay est disponible avec un abonnement iCloud+ (250 Go ou plus). Il fonctionne selon un système à deux sauts :
Saut 1 — serveur Apple :
- Reçoit ta vraie adresse IP
- Résout tes requêtes DNS
- Remplace ton IP par une IP “régionale” générée dynamiquement
- Ne voit pas ta destination finale
Saut 2 — serveur d’un partenaire tiers :
- Reçoit l’IP anonymisée (pas ta vraie IP)
- Établit la connexion vers ta destination réelle
- Ne sait pas qui tu es
Le résultat : aucun des deux serveurs n’a à la fois ton identité et ta destination. C’est une protection réelle contre ton FAI et contre les sites web qui tracent les IPs.
Ce que Private Relay ne fait pas
Il ne couvre pas tout le trafic. Private Relay s’applique uniquement à :
- Safari (navigation web)
- Les requêtes DNS non sécurisées de l’appareil
Toutes les autres applications (Chrome, Instagram, Spotify, les apps système comme Mail.app) communiquent directement sans passer par Private Relay.
Il ne cache pas tout à Apple. Apple voit :
- Que tu utilises Private Relay
- Tes requêtes DNS (même si le contenu des pages ne passe pas par leur serveur)
- L’heure et le volume de ta navigation
Il ne fonctionne pas sur certains réseaux. Les réseaux d’entreprise, les VPN d’entreprise, et certains FAI bloquent activement Private Relay. En voyage dans certains pays (Chine, Russie, Biélorussie, Colombie, Égypte, Arabie Saoudite, Afrique du Sud, Turkménistan), Private Relay est désactivé par Apple pour des raisons légales.
VPN sur iPhone et Mac : comment ça fonctionne vraiment
Un VPN (Réseau Privé Virtuel) crée un tunnel chiffré entre ton appareil et un serveur distant. Tout ton trafic — Safari, apps, en arrière-plan — passe par ce tunnel.
Ce que ton FAI voit avec un VPN actif :
- Que tu es connecté à un serveur VPN (il voit l’IP du serveur)
- Le volume de données échangées
- L’heure de connexion
Ce que ton FAI ne voit pas :
- Quels sites tu visites
- Le contenu de ta navigation
Ce que le fournisseur VPN voit :
- Ton IP réelle
- Les sites que tu visites (si tu utilises les serveurs DNS du VPN)
- Quand tu te connectes
La question de confiance se déplace donc d’Apple/FAI vers le fournisseur VPN. C’est pourquoi le choix du VPN est critique.
Fuites DNS sur iOS : le problème peu connu
Une fuite DNS arrive quand les requêtes DNS (les demandes “à quelle IP correspond ce domaine?”) contournent le tunnel VPN et passent directement.
iOS a eu historiquement des problèmes avec ça. Des chercheurs de ProtonVPN ont documenté en 2022 que des connexions établies avant l’activation du VPN continuaient à fonctionner en dehors du tunnel, laissant fuir les données.
Apple a partiellement corrigé ça — mais la solution complète existe seulement avec le protocole “Kill Switch” que certains VPN activent via des profils de configuration avancés.
Pour vérifier si ton VPN fuit : active ton VPN, puis visite dnsleaktest.com ou ipleak.net. Si tu vois des serveurs de ton FAI ou d’Apple, il y a une fuite.
Les apps Apple contournent-elles leur propre VPN?
Un détail controversé : Apple a été documenté (par un chercheur de sécurité en 2020) comme faisant contourner certaines de leurs propres applications les profils VPN tiers. Les apps comme Maps, l’App Store, et certains services Siri communiquaient directement, en dehors du tunnel VPN.
Apple a reconnu ce comportement et l’a partiellement justifié par des raisons de performance. En pratique, sur iOS récent, le comportement a évolué — mais la vigilance reste de mise.
Comparatif : Private Relay vs VPN
| Critère | iCloud Private Relay | VPN tiers |
|---|---|---|
| Trafic couvert | Safari + DNS | Tout l’appareil |
| Cache ton IP aux sites web | ✅ | ✅ |
| Cache ta navigation au FAI | Partiel (DNS uniquement) | ✅ |
| Apple voit ton activité | Partiellement | Non (si VPN externe) |
| Confiance requise vers | Apple | Fournisseur VPN |
| Performance | Très bon | Bon à excellent |
| Prix | Inclus dans iCloud+ | 5-12 $/mois |
| Kill switch | Non | Selon fournisseur |
| Juridictions restrictives | Bloqué dans certains pays | Dépend du VPN |
Les métadonnées que ni VPN ni Private Relay ne cachent
Une chose importante : même avec un VPN parfait, les métadonnées réseau restent visibles pour quelqu’un qui analyse le trafic :
- Quand tu te connectes et te déconnectes
- Le volume de données échangées
- La durée des sessions
- Le fait que tu utilises un VPN (facilement détectable)
Et du côté d’Apple, même avec Private Relay activé, les métadonnées iCloud (qui tu contactes via iMessage, quand, depuis quel appareil) restent visibles.
→ Pour comprendre l’impact complet des métadonnées : Métadonnées Apple : ce qu’Apple sait même avec E2EE
Quel VPN choisir?
Critères de sélection :
- Politique de non-rétention des logs vérifiée par audit indépendant
- Siège hors des juridictions Five Eyes (USA, Canada, UK, Australie, Nouvelle-Zélande) si possible
- Protocole ouvert et auditable (WireGuard, OpenVPN)
- Modèle économique basé sur les abonnements, pas la revente de données
VPN recommandés par la communauté sécurité :
- Mullvad — anonymous par design (pas de compte email requis), accepte l’argent comptant, audits réguliers
- ProtonVPN — siège en Suisse, open source, tier gratuit limité disponible
- IVPN — petit, spécialisé, audité, siège à Gibraltar
À éviter :
- VPN gratuits (leur modèle économique = tes données)
- VPN avec siège en Chine ou propriété chinoise
- VPN sans audit indépendant publié
Recommandations
Pour l’utilisateur standard :
- Activer iCloud Private Relay (inclus dans iCloud+ 250 Go ou plus)
- Réglages → ton nom → iCloud → Private Relay → Activer
- C’est une protection passive gratuite pour ta navigation Safari
Pour un niveau supérieur :
- Souscrire à Mullvad ou ProtonVPN (5-7 $/mois)
- Activer le kill switch
- Utiliser les serveurs DNS du VPN
- Vérifier périodiquement les fuites sur dnsleaktest.com
Pour les deux : Private Relay et un VPN peuvent coexister dans certaines configurations — mais les gains marginaux sont limités. Pour la plupart des gens, l’un ou l’autre suffit selon le niveau de risque.
→ Retour au guide complet : Sécurité Apple 2024 — toutes les couches
