Kill switch VPN : comment ça marche et pourquoi c'est non-négociable

La page de paramètres d'un client VPN affiche en général une dizaine d'interrupteurs. Sur cette liste, un seul fait la différence entre une protection réelle et une fausse impression de protection : le kill switch. Quand le tunnel tombe — et il tombe, plusieurs fois par session sur certains réseaux —, sans kill switch ton trafic continue à sortir en clair via ton FAI pendant 5 à 30 secondes. Ces secondes suffisent à fuiter ton IP réelle vers Netflix, à envoyer une requête DNS sensible chez ton FAI, à exposer ton client torrent aux trackers.

Ce guide couvre la mécanique exacte au niveau pare-feu, les deux variantes (application vs système), la procédure d'activation pour les quatre VPN majeurs en 2026, les cas particuliers Linux/routeur/mobile, et les situations où le kill switch devient contre-productif.

Pourquoi un kill switch existe — le problème de la déconnexion silencieuse

Le scénario qui justifie l'existence du kill switch est trivial à reproduire et invisible quand il se produit. Tu es connecté à un serveur VPN à Amsterdam depuis ton hôtel à Bangkok. Surcharge serveur, microcoupure côté hôtel, bascule de canal WiFi — ton tunnel se déconnecte trois secondes. Sans kill switch, ton OS continue à envoyer du trafic via la route par défaut, c'est-à-dire l'interface WiFi directe. Pendant ces trois secondes, ton mail HTTPS sort avec ton IP réelle, ta requête DNS pour Netflix passe par le DNS du hotspot, et ton tracker BitTorrent reçoit ton IP publique thaïlandaise.

Tu ne vois rien. Le client VPN se reconnecte en arrière-plan, l'interface réaffiche « Connecté ». Mais les trois secondes de fuite ont déjà été enregistrées par les trackers, les logs FAI, et potentiellement les compteurs anti-VPN des services streaming. Sur certains FAI européens appliquant la directive HADOPI ou équivalent, une seule connexion peer-to-peer non tunnellisée suffit à déclencher une notification — la défense « j'avais un VPN » ne tient pas devant un log horodaté.

Le kill switch est la réponse structurelle. Plutôt que de compter sur la stabilité du tunnel (qui ne peut jamais être garantie à 100 %), il installe des règles pare-feu qui rendent impossible tout trafic hors tunnel. Tunnel up : le trafic passe. Tunnel down : rien ne sort, ton internet semble coupé, tu corriges manuellement. Même logique qu'une porte coupe-feu — on accepte une gêne ponctuelle pour garantir l'étanchéité. Le concept est documenté sur Wikipedia Internet kill switch.

Les 2 types de kill switch : application vs système

La confusion entre les deux types est entretenue par la communication marketing des fournisseurs, qui présentent souvent le « per-app kill switch » comme une fonctionnalité premium alors qu'il est techniquement inférieur au mode système. Comprendre la différence est ce qui détermine si ton VPN te protège réellement.

Le kill switch application — aussi « App Kill Switch », « Per-app kill switch » — opère au niveau OS. Tu définis une liste de processus (chrome.exe, qbittorrent.exe) et le client VPN surveille leur état réseau. Si le tunnel tombe, ces processus sont tués ou bloqués via des hooks OS. Avantage : tu peux laisser d'autres apps continuer via la connexion normale (un client mail entreprise qui doit rester joignable). Inconvénient majeur : tout ce qui n'est pas listé passe en clair. Si tu listes seulement ton navigateur mais que Dropbox synchronise en arrière-plan, ce dernier expose ton IP réelle pendant les coupures. Faux sentiment de sécurité dans la majorité des usages.

Le kill switch système — Internet Kill Switch chez NordVPN, Network Lock chez ExpressVPN et Mullvad, « Permanent kill switch » chez ProtonVPN — opère au niveau du pare-feu OS. Sur Windows, il insère des règles WFP (Windows Filtering Platform) bloquant tout trafic sortant hors interface tunnel. Sur macOS, il programme pfctl. Sur Linux, il manipule iptables ou nftables pour interdire toute route hors tun0 ou wg0. Avantage : protection structurelle, indépendante de la liste d'apps et des bugs clients. Inconvénient : si le service VPN crashe sans nettoyer ses règles, internet reste bloqué jusqu'à intervention manuelle. Rare sur clients matures, mais à connaître.

Règle générale. Sauf cas spécifique (VPN d'entreprise distinct, mail légitimement hors tunnel), le mode système est le seul réellement protecteur. Le mode application est une option de confort, pas un défaut.

Comment activer le kill switch sur NordVPN, ExpressVPN, Surfshark, ProtonVPN

Les quatre VPN majeurs en 2026 implémentent tous le kill switch, mais avec des conventions de nommage et des défauts différents. Voici la procédure exacte pour chacun, à jour mai 2026.

NordVPN

Windows/macOS desktop : Réglages → Kill Switch. Deux interrupteurs distincts — « Internet Kill Switch » (mode système, à activer impérativement) et « App Kill Switch » (mode application, optionnel). L'Internet Kill Switch est désactivé par défaut à l'installation, c'est l'erreur la plus fréquente. Linux : nordvpn set killswitch on, vérifier avec nordvpn status. Android : le paramètre système Réglages → Réseau → VPN → engrenage NordVPN → « VPN permanent » + « Bloquer les connexions sans VPN » est plus fiable que l'option intégrée à l'app. iOS : pas de bouton dédié, mais le profil « Connexion à la demande » dans les réglages avancés joue ce rôle au niveau système.

ExpressVPN

ExpressVPN appelle son kill switch système Network Lock. Windows/macOS : Réglages → Général → « Stop all internet traffic if the VPN disconnects unexpectedly ». Activé par défaut depuis 2023, différenciation notable face à NordVPN. Linux (CLI expressvpn) : Network Lock actif automatiquement dès la connexion. Android : option « Network Protection ». iOS : profil « On-Demand » comme tous les autres.

Surfshark

Surfshark propose simplement Kill Switch, sans variantes — mode système par défaut. Réglages → VPN → Kill Switch → activer. Linux : surfshark-vpn killswitch on. Client plus minimaliste en options, ce qui réduit les risques de mauvaise configuration mais limite la finesse.

ProtonVPN

ProtonVPN propose deux modes distincts. Kill Switch classique bloque le trafic seulement quand la connexion tombe inattenduement. Permanent Kill Switch plus strict, bloque tout trafic hors tunnel même quand l'utilisateur déconnecte volontairement — utile pour journalistes ou activistes éliminant le risque d'oubli. Réglages → Connexion → Kill Switch ou Permanent Kill Switch. Voir la page Kill Switch ProtonVPN pour les détails d'implémentation par OS.

Cas particuliers : Linux, routeur, mobile iOS/Android

Les cas non-standard méritent un traitement séparé parce que la logique kill switch s'y implémente différemment, parfois sans paramètre dans l'app.

Linux. Les clients officiels (NordVPN, ExpressVPN, ProtonVPN) utilisent iptables ou nftables injectés au démarrage du tunnel. Si tu utilises directement WireGuard ou OpenVPN sans client propriétaire, configure manuellement via PostUp/PostDown dans la config WireGuard. Mullvad publie d'excellents guides open-source reproduisant cette config. La distribution Tails implémente nativement un kill switch équivalent via iptables préconfiguré.

Routeur. VPN au niveau routeur (DD-WRT, OpenWRT, AsusWRT-Merlin, pfSense) protège tous les appareils du foyer mais nécessite une config kill switch explicite — jamais active par défaut. Sur pfSense, créer un gateway group avec VPN primaire et aucun fallback : si le VPN tombe, le routing échoue plutôt que de basculer sur WAN clair. Config la plus robuste pour un foyer avec TV, console, IoT passant tous par le tunnel. Pour le chiffrement radio sous-jacent, WPA2 vs WPA3 sur ton routeur explique pourquoi WPA3 ferme la faille KRACK et durcit la couche en amont du tunnel VPN.

iOS. iOS n'expose pas d'API kill switch directe. Les clients s'appuient sur le profil « Connexion à la demande » du framework Network Extensions qui force la reconnexion sur tout trafic sortant. Fonctionnellement équivalent dans 95 % des cas, avec une fenêtre de quelques centaines de millisecondes pendant la reconnexion. Suffisant pour usage courant, limite pour privacy stricte.

Android. Depuis Android 8, paramètre système « Always-on VPN » + « Block connections without VPN » dans Réglages → Réseau → VPN → engrenage de l'app. C'est le kill switch le plus robuste disponible sur mobile — niveau OS, survit aux crashes du client. Recommandation systématique : Always-on système en plus du kill switch app, les deux couches se complètent.

Quand le kill switch peut être contre-productif

Le kill switch n'est pas un absolu — il existe trois contextes opérationnels où il devient gênant, voire bloquant. Les connaître permet de désactiver temporairement de manière éclairée plutôt que dans la précipitation.

Captive portal hôtelier ou aéroport. L'opérateur WiFi public intercepte ta première requête HTTP et la redirige vers une page d'acceptation. Cette interception passe avant que le tunnel ne soit monté — un kill switch système strict bloque la requête vers le captive portal, te rendant incapable de valider, donc d'accéder à internet. Les clients modernes (NordVPN, ExpressVPN, ProtonVPN) gèrent ce cas via une exception temporaire pour les requêtes captive portal détectées. Si la détection échoue, désactive temporairement le kill switch, valide le portal, reconnecte le VPN, réactive. Procédure dans notre guide WiFi public 2026. En itinérance, basculer sur le partage de connexion de ton mobile reste l'option la plus simple : voir hotspot mobile vs WiFi public côté sécurité pour le compromis débit/exposition.

Réseau d'entreprise avec proxy. Sur certains réseaux entreprise, l'accès internet passe par un proxy d'entreprise (SSL inspection, DLP). Activer un VPN commercial avec kill switch coupe l'accès à ce proxy. L'usage est incompatible ; désactive le VPN commercial pendant ces sessions.

Conférences avec authentification 802.1X. Certains événements pros déploient du 802.1X avec auth certificat. Le kill switch actif au moment du handshake EAP peut faire échouer le protocole — certaines variantes 802.1X nécessitent des requêtes hors tunnel. Cas rare mais documenté.

Règle pragmatique : si le kill switch bloque, désactive temporairement, comprends pourquoi, réactive dès que possible. La protection structurelle vaut mieux qu'une exception permanente.

Tester son kill switch en 30 secondes

La fonction est inutile si elle n'a pas été vérifiée au moins une fois. Voici la procédure minimale pour confirmer que ton kill switch fait son travail, applicable en moins d'une minute.

Étape 1 — Lancer un téléchargement long. Démarrer un téléchargement de plusieurs centaines de mégaoctets (ISO Linux, image Docker, vidéo) via ton navigateur ou un client torrent légal. Vérifier que le débit est stable depuis 10-15 secondes.

Étape 2 — Couper manuellement le tunnel. Dans le client VPN, cliquer sur Disconnect. Ne pas fermer le client ; juste couper la connexion au serveur. C'est exactement ce qui se produit lors d'une coupure réseau réelle.

Étape 3 — Observer le téléchargement. Si le kill switch est actif et opérationnel, le téléchargement doit s'arrêter immédiatement — pas dans 5 secondes, immédiatement. Le navigateur affiche typiquement « connexion perdue » ou « ERR_NETWORK_CHANGED ». Si le téléchargement continue, ton kill switch est mal configuré ou inactif. Si seul le téléchargement s'arrête mais qu'une autre app (Spotify, Slack) continue à charger, tu es en mode application au lieu de système.

Étape 4 — Vérifier l'absence de fuite résiduelle. Pendant que le tunnel est encore down, ouvrir notre outil Test fuite DNS ou un service équivalent (ipleak.net, dnsleaktest.com). Aucune adresse IP, DNS ou IPv6 publique ne doit s'afficher — tout doit échouer avec une erreur réseau. Si ton IP réelle apparaît, c'est que le pare-feu kill switch ne couvre pas tout le trafic. Cas typique : IPv6 non bloqué quand IPv4 l'est.

Étape 5 — Reconnecter et confirmer. Reconnecter le VPN. L'IP affichée par l'outil doit redevenir celle du serveur VPN. Tester une seconde fois après quelques minutes pour vérifier qu'aucun état résiduel ne fausse le résultat. Le détail complet de la procédure est dans notre guide vérifier qu'un VPN fonctionne qui couvre les contrôles minimaux en début de session.

Pour aller plus loin

Le kill switch est un réglage qu'on active une fois et qu'on oublie — comme la ceinture de sécurité. Inutile dans 99 % des trajets, indispensable dans le pour cent restant où il évite une fuite invisible et irréversible. Sur les VPN modernes, l'implémentation est mature et le coût de fonctionnement nul ; aucune bonne raison de ne pas l'activer en mode système dès la première session.

Pour les profils dépassant l'usage courant (journalistes en zone sensible, sources protégées), empiler kill switch + Always-on Android + routeur VPN + machine dédiée constitue l'OPSEC standard. Pour 95 % des usages — streaming, navigation privacy, WiFi public, torrent légal —, kill switch système + auto-connect sur Wi-Fi non sécurisé ferme tous les vecteurs structurels. Sans kill switch, le tunnel est une commodité ; avec, une protection.

L'ANSSI rappelle dans ses guides nomades l'importance d'une chaîne de confiance ininterrompue sur réseaux non maîtrisés — c'est précisément ce que garantit le kill switch côté client. Notre audit complet en 9 tests l'intègre comme contrôle prioritaire, à appliquer une fois par trimestre.

Article publié le 29 mai 2026. Méthodologie : tests internes des kill switches NordVPN (Internet Kill Switch + App Kill Switch), ExpressVPN (Network Lock), Surfshark (Kill Switch), ProtonVPN (Kill Switch + Permanent Kill Switch) sur Windows 11, macOS Sonoma, Ubuntu 24.04 LTS et Android 14 entre mars et mai 2026. Vérifications par capture Wireshark et tcpdump pendant déclenchement manuel du tunnel. Références complémentaires : documentation publique ProtonVPN, guides Mullvad WireGuard, recommandations ANSSI sur les connexions nomades. Procédure de test reproductible disponible sur demande éditoriale via contact.