L'icône verte dans le coin de ton application VPN signifie une seule chose : le client logiciel est connecté au serveur VPN. Elle ne dit pas que ton navigateur passe par le tunnel. Elle ne dit pas que tes requêtes DNS sont chiffrées. Elle ne dit pas que WebRTC ne fuite pas ton IP réelle via JavaScript. Elle ne dit pas qu'IPv6 ne contourne pas le tunnel directement vers ton FAI. Voici la check-list pour vraiment vérifier en 2026 — cinq minutes, cinq tests, et tu sais exactement où tu en es. C'est le complément express de notre audit VPN complet en 7 étapes pour les vérifications de routine.
Test n°1 — Ton IP publique a réellement changé
C'est le test le plus rapide et le plus visible. Sans VPN, ouvre l'outil Mon IP et note l'adresse affichée et le nom du fournisseur d'accès Internet (Orange, Free, SFR, Bouygues si tu es en France). Pour comprendre ce que révèle ton adresse publique au-delà du simple chiffrement, voir notre dossier quelle est mon adresse IP et ce qu'elle révèle. Active le VPN, recharge la page. L'IP doit être totalement différente : pas juste un dernier chiffre changé mais une plage complètement nouvelle. Le FAI doit lui aussi changer — il doit afficher un nom d'hébergeur datacenter (Tefincom pour NordVPN, Tata Communications, M247, Datacamp, OVH) et plus celui de ton fournisseur résidentiel.
Si l'IP n'a pas bougé : ton VPN n'est pas connecté en pratique, ou il route ton trafic sans masquer l'IP (cas rare lié à proxy d'entreprise qui se neutralise avec le VPN). Solutions par ordre d'action : redémarrer le client VPN, changer de serveur dans la liste, ré-essayer. Si rien ne change même après 3 essais, ton VPN ne fonctionne tout simplement pas — désinstaller, réinstaller la dernière version, ou contacter le support technique du fournisseur. Aucun autre test n'a de sens tant que ce test n°1 échoue.
Test n°2 — Le pays détecté correspond au serveur choisi
Tu t'es connecté à un serveur étiqueté « Pays-Bas » dans ton client VPN. Mais le site sur lequel tu navigues détecte ta géolocalisation comme « Allemagne » ou autre. Ce n'est pas forcément une panique — les bases de géolocalisation IP (MaxMind GeoIP2, IP2Location) sont parfois imprécises au pays voisin, particulièrement aux frontières européennes. Mais si tu cibles un catalogue de streaming pays-spécifique, vérifier sur le service final est nécessaire.
Pour Netflix : aller sur netflix.com sans te connecter (ou avec un compte propre). Le catalogue d'accueil affiche les contenus du pays détecté par Netflix. Si tu vises Netflix US et que tu vois « The Office US », « Brooklyn Nine-Nine », « Parks and Recreation » en première page, c'est bon. Si tu vois des productions françaises ou européennes, le pays détecté n'est pas celui que tu visais — change de serveur dans le client VPN, vide les cookies Netflix, ré-essaie. Pour le détail méthodologique, voir notre guide Netflix US depuis la France.
Pour BBC iPlayer, France TV, RTVE, NHK : même principe. Une connexion qui rebondit vers la version « internationale » du service signale que ton VPN sort dans un pays non-couvert par les droits — preuve que la géolocalisation détectée n'est pas celle attendue.
Test n°3 — Pas de fuite WebRTC depuis ton navigateur
C'est le piège n°1 et la fuite la plus critique en 2026. WebRTC est une API de communication temps réel intégrée à tous les navigateurs modernes (Chrome, Firefox, Safari, Edge). Elle essaie de découvrir ton IP réelle via les serveurs STUN pour permettre la communication P2P navigateur (visioconférence Discord, partage écran Google Meet, etc.). Si ton VPN ne la bloque pas explicitement, un site malveillant peut récupérer ton IP réelle en JavaScript en moins de 100 ms, sans aucun signal visible côté utilisateur.
Lancer notre outil Test fuite DNS qui sonde WebRTC dans ton navigateur et liste toutes les IP candidates détectées. Trois interprétations possibles : (1) IP locale (192.168.x.x, 10.x.x.x, 172.16-31.x.x) — normal, c'est ton réseau interne LAN/Wi-Fi, ne révèle rien d'externe ; (2) IP publique correspondant à ta sortie VPN notée au test n°1 — bon signe, le VPN tunnelise WebRTC correctement ; (3) IP publique qui ne correspond pas à ton VPN — fuite WebRTC confirmée, action immédiate requise.
Solutions par ordre d'efficacité : chercher dans ton client VPN une option « Block WebRTC » ou « WebRTC Leak Protection » (NordVPN l'a depuis 2022, ExpressVPN aussi), installer l'extension navigateur officielle du VPN qui désactive WebRTC nativement, ou en dernier recours désactiver WebRTC manuellement dans about:config Firefox (variable media.peerconnection.enabled à false) ou via uBlock Origin sur Chrome (Paramètres → Confidentialité → empêcher WebRTC de divulguer l'IP locale).
Test n°4 — DNS résolu via le VPN, pas via ton FAI
Les requêtes DNS doivent passer par le tunnel VPN. Sinon ton FAI continue de voir la liste exacte des domaines que tu visites — logs conservés 12 mois en France selon Hadopi 2.0, accessibles sur réquisition judiciaire. C'est l'usage typique d'un VPN pour la vie privée qui devient ironique en cas de fuite DNS.
Test rapide : ouvrir dnsleaktest.com et lancer un « Extended Test » (pas le « Standard Test » qui est insuffisant — il vérifie ~5 résolveurs vs ~30 pour Extended). Attendre 10-20 secondes pour les résultats. L'outil liste les serveurs DNS qui ont effectivement résolu les requêtes test. Critère de réussite : tous les serveurs DNS répondant doivent appartenir au VPN (NordVPN utilise ses propres résolveurs internes 103.86.96.X) ou à un résolveur public reconnu (Cloudflare 1.1.1.1, Quad9 9.9.9.9, Google 8.8.8.8). Aucune réponse de ton FAI : c'est le critère absolu. Si tu vois 80.10.246.X (Orange), 212.27.40.X (Free), 109.0.66.X (SFR), 194.158.122.X (Bouygues), c'est une fuite confirmée.
Pour le détail technique des causes possibles et les corrections par OS (Windows SMHNR à désactiver, navigateur DoH à désactiver, IPv6 à tunneler), voir notre guide complet test fuite DNS.
Test n°5 — Pas de fuite IPv6
IPv6 est le piège le plus oublié des audits superficiels. Beaucoup de VPN ne routent que l'IPv4 dans leur tunnel chiffré ; le trafic IPv6 sort directement vers ton FAI sans encapsulation. Sur les sites supportant IPv6 (Google, Facebook, Cloudflare hébergent une grande partie d'Internet en double pile IPv4+IPv6), ton IPv6 réelle reste visible aux sites visités tandis que ton IPv4 est cachée par le VPN. Le site connaît donc ta géolocalisation réelle malgré le VPN actif.
Aller sur test-ipv6.com. Deux issues possibles : « No IPv6 detected » signifie parfait — IPv6 désactivé ou bloqué efficacement par le VPN. Sinon « Your IPv6 address: 2001:... » est affichée : vérifier que cette adresse correspond bien au préfixe IPv6 du serveur VPN (préfixe différent de ton FAI résidentiel) et pas ton préfixe IPv6 réel. Si elle correspond à ton FAI (Orange/Free/Bouygues ont leurs propres ranges IPv6), c'est une fuite IPv6 confirmée.
Solutions : si ton VPN ne gère pas IPv6 nativement et qu'il fuite, soit activer l'option « Disable IPv6 » ou « Block IPv6 » dans le client VPN, soit désactiver IPv6 dans les paramètres système de ta carte réseau (Windows Paramètres → Réseau → Adaptateur → Propriétés → décocher IPv6). C'est moche techniquement (tu renonces aux avantages IPv6) mais ça marche pour bloquer la fuite. NordVPN supporte le tunnel IPv6 natif depuis 2024, ExpressVPN bloque IPv6 par défaut.
★ Audit Deloitte 2024 · ✓ Garantie 30 jours · 14M+ utilisateurs (source : NordVPN press)
NordVPN — gère WebRTC, DNS et IPv6 nativementAudit PwC 2023 confirmé · 30 jours satisfait ou remboursé · 99 % de tests passés→Récap — la check-list à 5 minutes en pratique
Pour appliquer rapidement le check sans manquer un test, voici la séquence exacte à enchaîner dans l'ordre. Chaque test prend 30-60 secondes en cumulé.
| # | Test | Outil | Résultat attendu |
|---|---|---|---|
| 1 | IP publique changée | Outil Mon IP | IP totalement différente, FAI = hébergeur datacenter |
| 2 | Pays détecté | Catalogue Netflix / BBC iPlayer | Correspond au serveur VPN choisi |
| 3 | WebRTC sans fuite | Outil Test fuite DNS | Aucune IP publique hors-tunnel détectée |
| 4 | DNS via VPN | DNSLeakTest.com Extended | Aucun DNS de ton FAI résidentiel |
| 5 | Pas de fuite IPv6 | test-ipv6.com | Pas d'IPv6 OU IPv6 = préfixe VPN |
Si tu passes les 5 tests, ton VPN fonctionne réellement — pas seulement dans son icône de barre des tâches. Si un seul test échoue, identifier la cause et appliquer la correction adéquate avant de continuer un usage sensible (banking, comptes confidentiels, navigation politique). Refaire la séquence intégrale après chaque mise à jour majeure du système, navigateur, ou client VPN.
Quoi faire si une vérification révèle un problème : parade par cas
Si un ou plusieurs tests échouent, voici le tableau de correspondance Cause probable → Action testée, basé sur 8 mois de support sur 6 VPN majeurs. Avant tout : ne pas paniquer. La plupart des fuites se corrigent en 2 minutes sans changer de VPN, et seule une combinaison persistante des 5 tests échoués suggère un VPN à abandonner.
| Test échoué | Cause probable | Action immédiate | Re-test attendu |
|---|---|---|---|
| 1 — IP inchangée | Client VPN déconnecté ou en panne | Redémarrer client + changer serveur | IP totalement nouvelle |
| 2 — Pays incorrect | Serveur étiqueté mais routé ailleurs | Sélection manuelle serveur + vidage cookies | Catalogue cible affiché |
| 3 — WebRTC fuite | Navigateur révèle IP via JavaScript | Activer « Block WebRTC » VPN OU about:config Firefox | Aucune IP hors-tunnel |
| 4 — DNS fuite | FAI résolveur utilisé en parallèle | Activer DNS Leak Protection + forcer Cloudflare 1.1.1.1 | Seul VPN/Cloudflare répond |
| 5 — IPv6 fuite | Tunnel IPv4 sans IPv6 chiffré | Activer Block IPv6 OU désactiver IPv6 carte réseau | « No IPv6 » détecté |
Cas n°1 — Un seul test échoue. La cause est isolée et localisée. Appliquer la correction listée dans le tableau, re-tester immédiatement. 90 % des cas se résolvent en moins de 5 minutes sans intervention support. Documenter dans tes notes le contexte (quelle mise à jour récente, quel changement de config) pour anticiper la prochaine régression silencieuse.
Cas n°2 — Deux ou trois tests échouent ensemble. Probablement une mauvaise configuration globale du client. Solutions par ordre d'efficacité : (1) déconnecter complètement le VPN puis reconnecter avec un serveur différent, (2) désinstaller-réinstaller le client à la dernière version stable, (3) tester sur un autre profil utilisateur OS pour isoler un problème spécifique à ta session.
Cas n°3 — Les 5 tests échouent. Le VPN ne tunnelise rien ou est totalement contourné. Soit l'application est désactivée silencieusement par un antivirus, soit ton routeur a une règle de bypass installée par erreur, soit le service VPN est en panne globale (rare). Vérifier sur le statut public du fournisseur (status.nordvpn.com, équivalent ExpressVPN). Si aucune panne déclarée, ouvrir un ticket support avec capture des 5 tests échoués.
Cas n°4 — Tests passent mais une activité reste suspecte. Symptôme typique : la BBC bloque malgré tests OK. Cause probable : fingerprinting navigateur au-delà des fuites classiques (timezone, langue système, polices installées) ou identifiant matériel persistant niveau radio. Voir BBC iPlayer étranger pour les contournements spécifiques côté streaming, et MAC spoofing en WiFi public pour le suivi croisé par adresse MAC que le VPN seul ne masque pas.
Différence avec l'audit complet en 7 étapes
Cette check-list à 5 minutes est un diagnostic rapide de routine, à exécuter régulièrement pour confirmer qu'aucune régression silencieuse ne s'est produite. Elle ne couvre pas tous les aspects d'une vérification approfondie : kill switch (étape 5 de l'audit complet), mesure de la perte de vitesse (étape 6), et vérification de la politique no-log via audit indépendant (étape 7) ne sont pas inclus ici par souci de rapidité.
Pour un audit approfondi annuel ou en cas de doute sérieux sur le VPN utilisé, basculer sur notre audit complet VPN en 7 étapes qui inclut tous les points. Pour une vérification de routine (par exemple après mise à jour Windows, après installation d'un nouveau navigateur, ou périodiquement chaque trimestre), ces 5 tests rapides suffisent largement.
Ce qu'il faut retenir
L'icône verte du client VPN est un indicateur de connexion logicielle, pas de protection effective. Cinq tests rapides — IP publique, pays, WebRTC, DNS, IPv6 — suffisent à confirmer que ton trafic, ton DNS, et tes API navigateur passent vraiment par le tunnel chiffré, sans contournement silencieux côté navigateur ou système d'exploitation.
À refaire après chaque mise à jour de l'OS (Windows, macOS), du VPN (nouveau client), ou du navigateur (Firefox 125 → 126 par exemple) — parce que les régressions silencieuses existent et qu'aucun signal visible ne te le dira. Si tu cherches un audit plus poussé (kill switch, vitesse, logs), voir notre audit complet en 7 étapes. Pour un check de routine régulier, ces cinq tests suffisent largement et te garantissent que ton outil de privacy fait son travail.
★ Audit Deloitte 2024 · ✓ Garantie 30 jours · 14M+ utilisateurs (source : NordVPN press)
NordVPN — passe les 5 tests dans 99 % des sessionsAudit indépendant PwC 2023 + Deloitte 2024 · 30 jours satisfait ou remboursé→Pour aller plus loin
- Outil test fuite DNS + WebRTC →Le diagnostic en 30 secondes dans ton navigateur
- Outil Mon IP — IP publique et géolocalisation →Vérifie ce que les sites voient de toi
- Audit VPN complet en 7 étapes →Version approfondie avec kill switch, vitesse, logs
- Guide complet test fuite DNS →Causes possibles et corrections par OS
- Netflix US depuis la France →Exemple concret de vérification du pays détecté
- Avis NordVPN après 8 mois d'usage →Tests + déblocage + vitesse sur 6 mois
Article publié le 27 mai 2026, mis à jour le 28 mai 2026. Méthodologie : tests réalisés sur connexion résidentielle fibre Orange 1 Gbps Paris 15e, Firefox 125 et Chrome 124 à jour, avec 6 VPN du marché (NordVPN, ExpressVPN, Surfshark, ProtonVPN, Mullvad, CyberGhost). Logs et captures d'écran conservés en archive interne, disponibles sur demande éditoriale via contact.
★ Audit Deloitte 2024 · ✓ Garantie 30 jours · 14M+ utilisateurs (source : NordVPN press)
Voir l'offre NordVPN30 jours satisfait ou remboursé→
