AnonymFlow
voyage-censureINFO

VPN sur WiFi hôtel : pourquoi c'est non-négociable en voyage

Pourquoi un VPN est obligatoire sur le WiFi d'un hôtel en 2026 : anatomie du captive portal, sniffing par les autres clients, profilage commercial Cisco Meraki/Aruba, procédure étape par étape et risques par type d'hôtel.

Par Eric Gerard · Éditeur · AnonymFlow15 min de lecturePhoto : Unsplash

Le WiFi de l'hôtel est devenu une infrastructure invisible du voyage moderne - on s'y connecte par réflexe en arrivant, on coche les conditions, on consulte ses emails, on travaille parfois plusieurs heures dessus. Sauf que ce qui circule sur ce réseau partagé n'a pas changé de nature depuis dix ans : c'est toujours un médium observable par l'opérateur de l'hôtel, parfois activement manipulé, et systématiquement profilé par les solutions Cisco Meraki ou Aruba que les chaînes utilisent en interne. Le HTTPS aide mais ne ferme pas toutes les fuites. Pour un voyageur business avec données pro sensibles, un VPN actif avec kill switch en mode système n'est pas un luxe - c'est un prérequis opérationnel.

Ce guide synthétise les risques spécifiques du WiFi hôtel, la procédure exacte pour se connecter en sécurité, les variantes par type d'hôtel (low-cost, business, conférence), et la combinaison hotspot mobile + VPN pour les opérations critiques. C'est le compagnon pratique direct du pillar VPN voyage 2026 - focus exclusif hôtel.

Anatomie d'un WiFi hôtel en 2026

Pour comprendre les risques, il faut comprendre ce qui se passe techniquement entre le moment où tu te connectes au WiFi de la chambre et le moment où tu charges un site. Quatre étapes invisibles à l'utilisateur, observables ou exploitables par l'opérateur de l'hôtel ou par d'autres clients du réseau.

Étape 1 - Association et DHCP. Quand tu rejoins le WiFi hôtel, ton appareil envoie une requête DHCP en broadcast pour obtenir une adresse IP locale. Le serveur DHCP de l'hôtel répond avec une IP locale, un masque de sous-réseau, une passerelle par défaut, et - point critique - un ou plusieurs serveurs DNS. À ce moment précis, l'hôtel décide quel résolveur DNS ton OS va utiliser pour toutes les requêtes suivantes. C'est la première porte d'entrée du tracking - l'opérateur peut imposer ses propres résolveurs DNS et logger chaque requête.

Étape 2 - Captive portal et redirection. La majorité des WiFi hôteliers interceptent ta première requête HTTP et la redirigent vers une page d'accueil - soit pour validation des conditions (cliquer sur « J'accepte »), soit pour saisie d'identifiants (numéro de chambre + nom de famille). Techniquement, c'est de la manipulation active du trafic. Sur un captive portal légitime, ça se limite à la première session. Sur un compromis, ça peut continuer après l'authentification - injection de JavaScript, fingerprinting du navigateur, parfois redirection vers de faux sites de connexion (bancaire, Google) pour voler les credentials.

Étape 3 - Résolution DNS et profilage. Chaque fois que tu charges un site, ton OS demande au serveur DNS configuré (donc celui de l'hôtel par défaut) : « quelle est l'IP de gmail.com ? ». Par défaut, cette requête part en clair UDP port 53. L'hôtel voit donc passer chaque domaine consulté, horodaté à la seconde, classé par adresse MAC ou IP locale. Les solutions modernes type Cisco Meraki et Aruba intègrent des modules d'analytics qui croisent ces données avec le profil client (numéro de chambre, durée de séjour, fréquence de visite). Ces données sont revendues à des prestataires marketing dans la majorité des configurations standard.

Étape 4 - Connexion TCP/TLS. Pour chaque domaine résolu, ton OS établit une connexion TCP vers l'IP du serveur cible. Si c'est du HTTPS, le handshake TLS commence par envoyer un ClientHello contenant le nom du domaine cible en clair dans le champ SNI (Server Name Indication, RFC 6066). L'hôtel voit donc le domaine cible avant même que la session HTTPS ne soit chiffrée. ECH (Encrypted Client Hello) chiffre le SNI mais n'est pas généralisé en mai 2026. Le VPN reste la parade structurelle.

Schéma textuel. Sans VPN, l'hôtel voit : les domaines visités (DNS + SNI), les volumes échangés (timing et taille des paquets), les IPs de destination, les durées de session, l'adresse MAC de ton appareil. Avec un VPN actif, l'hôtel voit uniquement : un tunnel chiffré vers une IP unique (le serveur VPN), un volume agrégé sur toute la session. La différence est structurelle.

Captive portal et HTTPS : interactions précises

Le captive portal mérite un focus dédié parce qu'il pose une question technique subtile qui revient souvent en pratique.

Le problème. Avant la validation du captive portal, la sortie internet est bloquée par l'hôtel. Conséquence : le tunnel VPN ne peut pas s'établir entièrement parce que le serveur VPN distant est inaccessible. Si tu lances le VPN d'abord et rejoins le WiFi ensuite, le client VPN tente de monter le tunnel, échoue, et déclenche une boucle de retry.

La solution moderne. Les clients VPN du top 3 (NordVPN, ExpressVPN, Surfshark, ProtonVPN) détectent automatiquement la présence d'un captive portal et proposent une fenêtre de navigateur intégrée pour valider les conditions sans casser le tunnel principal. Procédure utilisateur : lancer le client VPN, rejoindre le WiFi, attendre la notification « captive portal détecté », valider dans la fenêtre intégrée, le tunnel se monte automatiquement après. Le tout prend moins de 30 secondes.

La solution manuelle (pour les VPN sans détection automatique). (1) Désactiver temporairement le VPN, (2) rejoindre le WiFi et valider le captive portal dans le navigateur standard, (3) relancer immédiatement le VPN. Risque pendant la fenêtre de 30-60 secondes : fuites DNS et SNI vers l'opérateur hôtelier. Avec un kill switch en mode système configuré, le risque est minimisé parce qu'aucune session applicative critique ne devrait s'ouvrir pendant le moment de bascule.

Cas particulier des captive portals demandant des credentials. Certains hôtels (notamment les chaînes business) demandent un numéro de chambre + nom de famille pour s'identifier sur le WiFi. C'est légitime du point de vue de l'hôtel (lier la session au client pour facturation et profilage), mais ouvre une zone grise - ces credentials peuvent être réutilisés par un autre client du même hôtel qui aurait sniffé la session. La règle : ne jamais saisir de credentials sensibles (Google, Microsoft 365, banque) sur un captive portal demandant plus que le simple click « J'accepte ». Si le portail demande email + mot de passe pour « se connecter », c'est presque toujours un piège à credentials.

Setup VPN AVANT connexion au WiFi hôtel : procédure complète

Une allée de salle des serveurs
Une allée de salle des serveurs

Procédure opérationnelle en 4 étapes, applicable en 3 minutes une fois la routine prise.

Étape 1 - Préparer le VPN sur le réseau cellulaire. À l'arrivée à l'hôtel, avant même de chercher le WiFi, lancer le client VPN sur la 4G/5G du téléphone (ou sur l'eSIM internationale si tu as suivi la préparation du pillar VPN voyage 2026). Le tunnel se monte sur le réseau cellulaire et reste actif. Vérifier visuellement que la connexion est établie (icône VPN active, notification de tunnel monté).

Étape 2 - Vérifier le kill switch en mode système. Pas en mode app (qui ne bloque que les apps configurées). En mode système, qui bloque tout trafic sortant si le tunnel tombe. Configuration : iOS Réglages → Général → VPN → On Demand. Android Réglages → Réseau → VPN → Always-On VPN + Block connections without VPN. Windows : dans le client NordVPN/ExpressVPN, Paramètres → Kill switch → Système. macOS : pareil. Sans kill switch système, une chute de tunnel pendant la transition WiFi suffit à fuiter SNI et DNS vers l'hôtel.

Étape 3 - Rejoindre le WiFi hôtel. Sélectionner le SSID légitime (vérifié auprès de la réception si doute), saisir le mot de passe partagé (typique des chaînes asiatiques) ou les credentials chambre (typique des chaînes business). Le captive portal s'affiche - laisser le client VPN moderne gérer automatiquement, ou valider manuellement la procédure décrite plus haut. Le tunnel se maintient pendant la transition.

Étape 4 - Tester les fuites immédiatement. Une fois connecté, ouvrir notre outil Test fuite DNS pour vérifier en 30 secondes que (a) l'IP visible est celle du serveur VPN (pas celle de l'hôtel), (b) les requêtes DNS passent bien par le résolveur VPN (pas celui de l'hôtel), (c) aucune fuite WebRTC ou IPv6 ne survient. Si tout est OK, la session est sécurisée. Si une fuite est détectée, basculer immédiatement sur 4G/5G mobile et investiguer la configuration VPN avant de reprendre une session sensible.

Cas d'erreur fréquent. Le VPN se déconnecte automatiquement après quelques minutes parce que l'OS détecte une « nouvelle connexion » et coupe le tunnel. La parade : activer l'option « toujours actif » dans le client VPN (NordVPN : Paramètres → Auto-connect → Toujours, ExpressVPN : Paramètres → Lancer au démarrage et connecter), et configurer le kill switch système qui empêche toute reconnexion sans tunnel.

Risques spécifiques par type d'hôtel

Tous les hôtels ne posent pas les mêmes risques. Voici la cartographie en mai 2026 par profil.

Hôtels low-cost et indépendants (auberges, B&B, petits hôtels). WiFi typiquement à mot de passe partagé pour tous les clients, affiché en réception. Risque #1 = sniffing par d'autres clients connectés au même réseau. Qualité technique généralement basse : pas de client isolation (chaque client peut tenter de se connecter aux autres clients en local), firmware routeur rarement mis à jour. Risque secondaire : durée de connexion souvent prolongée (utilisateurs qui travaillent plusieurs heures), fenêtre d'exposition large. Parade : VPN actif obligatoire, kill switch système, désactivation du partage de fichiers (Windows → profil réseau « Public », macOS → AirDrop sur Contacts uniquement).

Hôtels business et chaînes internationales (Marriott, Hilton, IHG, Accor, Hyatt). WiFi dédié par chambre généralement, client isolation activé (chaque chambre est une cellule réseau séparée). Qualité technique élevée : firmware à jour, monitoring de sécurité, certifications PCI-DSS pour le réseau de paiement. Mais profilage interne fort : solutions Cisco Meraki ou Aruba qui croisent les sessions avec le profil client (numéro de chambre, durée de séjour, fréquence de visite, programme de fidélité). Domaines visités logués au niveau DNS, données revendues à des régies marketing dans la majorité des configurations standard. Parade : VPN actif obligatoire pour fermer la fuite côté hôtelier.

Hôtels de conférence et événements professionnels. Double risque cumulé. Premièrement, WiFi conférence partagé par centaines de participants - risque de sniffing, Evil Twin, captive portal compromis. À DEF CON et BlackHat depuis des années, l'exercice « Wall of Sheep » montre publiquement les credentials interceptés sur le WiFi de la conférence elle-même. Deuxièmement, WiFi hôtel personnel - risque profilage commercial standard. La parade : VPN actif sur les deux réseaux, vérification du SSID auprès des organisateurs (souvent affiché sur le badge), refus de tout SSID alternatif détecté avec le même nom.

Hôtels en zone censurée (Chine, Russie, Iran, certains pays du Golfe). Double couche de filtrage : WiFi hôtel + filtrage national. La majorité des grands hôtels internationaux ne filtrent pas en plus du filtrage national, mais l'usage VPN nécessite une configuration spécifique (Obfuscated servers, protocoles d'obfuscation type NordWhisper ou Lightway masqué). Voir notre guide VPN Chine 2026 pour la procédure dédiée et le pillar VPN voyage 2026 pour les autres pays.

Choix éditorial
4.6 / 5

NordVPN sur WiFi hôtel - auto-connect réseau non sécurisé inclus

Kill switch système · Audit Deloitte 2024 · Captive portal géré automatiquement

Audit Deloitte 2024Garantie 30 jours14M+ utilisateurs
Voir l'offre

Cas pratique : voyage business avec mail pro et VPN d'entreprise

Scénario fréquent qui mérite un focus dédié : voyageur business avec mail professionnel sensible, VPN d'entreprise (Cisco AnyConnect, OpenVPN entreprise, Cloudflare Zero Trust) en plus du VPN commercial personnel.

Stack recommandé. Premier niveau : VPN commercial actif sur le device (NordVPN, ExpressVPN, Surfshark) qui chiffre tout le trafic à la sortie du device. Deuxième niveau (optionnel) : VPN d'entreprise par-dessus pour accéder aux ressources internes (intranet, fichiers partagés, base interne). Le double tunnel fonctionne sur la majorité des combinaisons modernes - VPN commercial sur la couche OS, VPN d'entreprise sur la couche application. Vérifier la compatibilité avec la politique IT de l'entreprise avant d'arriver.

Pourquoi le VPN d'entreprise seul ne suffit pas. Trois raisons. Premièrement, le VPN d'entreprise est typiquement « split tunnel » par défaut - seul le trafic vers les ressources internes passe par le tunnel, le trafic vers les services publics (Gmail, Office 365 personnel, navigation web) sort en direct. L'hôtel voit donc encore ce trafic. Deuxièmement, le VPN d'entreprise n'est généralement pas actif en permanence - il se monte à la demande quand l'utilisateur accède aux ressources internes, et la sortie en clair entre deux sessions reste observable. Troisièmement, le VPN d'entreprise n'a généralement pas de kill switch grand public - pas de protection contre les fuites lors d'un déclenchement intempestif.

Recommandation pragmatique. VPN commercial actif en permanence sur le device (couche 1), VPN d'entreprise déclenché à la demande pour les ressources internes (couche 2). Les deux peuvent coexister sans casser la connectivité. 2FA hardware ou TOTP obligatoire sur le compte mail principal. Ne jamais saisir de credentials critiques sur captive portal hôtelier - toujours passer par l'app native du service (Gmail app, Outlook app, banque app) qui valide le certificat TLS indépendamment du captive portal.

Combiner hotspot mobile + VPN si gros enjeu

Pour les opérations critiques (transaction bancaire, signature de contrat, mail pro avec données très sensibles), basculer sur hotspot mobile personnel est une pratique recommandée par les équipes IT enterprise sérieuses. Le détail technique justifie ce choix.

Avantages techniques du hotspot mobile. Premièrement, le chiffrement radio 4G/5G de bout en bout entre ton téléphone et l'antenne (NEA1/NEA2 sur 4G, 5G-EA sur 5G) - l'écoute passive est impossible pour un acteur sans accès au cœur opérateur. Pas d'équivalent du sniffing WiFi public possible. Deuxièmement, pas de partage de couche radio avec d'autres clients - chaque hotspot mobile est une cellule indépendante de l'antenne. Troisièmement, le hotspot mobile + VPN cumule les protections : chiffrement radio + tunnel chiffré applicatif. Quatrièmement, contournement potentiel du filtrage hôtelier - certains hôtels (notamment chaînes asiatiques) ralentissent ou bloquent certains services (VoIP, streaming), le hotspot mobile contourne cette discrimination.

Limites pratiques. Coût du forfait mobile, particulièrement en roaming international. Débit potentiellement inférieur au WiFi de l'hôtel (selon couverture cellulaire locale). Saturation possible du forfait sur les usages lourds (vidéo, sauvegarde cloud). Recommandation : usage standard sur WiFi hôtel + VPN commercial, basculement sur hotspot mobile pour les opérations critiques uniquement (15-30 minutes par jour typiquement, peu coûteux en data).

Setup recommandé. Téléphone secondaire ou box 4G dédiée (utile pour les voyageurs très réguliers) avec eSIM internationale type Airalo Europe ou GigSky Global. Activer le partage de connexion en WPA2-AES (pas WPA-TKIP obsolète) avec mot de passe fort spécifique. Connecter l'ordinateur portable au hotspot, lancer le VPN commercial. La combinaison est l'une des plus protectrices accessibles à un voyageur sans infrastructure entreprise dédiée. Détails complémentaires dans notre comparatif hotspot mobile vs WiFi public.

Pour aller plus loin

Le WiFi hôtel en 2026 reste un médium observable et systématiquement profilé par les chaînes hôtelières via Cisco Meraki ou Aruba. Le HTTPS a réduit la lisibilité du contenu mais laisse passer assez de métadonnées (SNI, DNS, IP destination) pour reconstruire ton activité à la seconde près. Un VPN du top 3 avec kill switch en mode système ferme la fuite côté hôtelier en chiffrant tout le trafic à la sortie du device - c'est la parade structurelle la plus efficace, et c'est non-négociable pour les voyageurs business avec données sensibles.

Pour les opérations critiques, ajouter le hotspot mobile personnel comme couche supplémentaire - le chiffrement radio 4G/5G de bout en bout neutralise les vecteurs de niveau radio que le VPN seul ne ferme pas. Pour les voyages en zone censurée (Chine, Russie, Iran), la configuration VPN nécessite des protocoles d'obfuscation spécifiques détaillés dans notre pillar VPN voyage 2026. L'EFF Surveillance Self-Defense et les ressources Freedom of the Press Foundation complètent utilement pour les voyageurs avec OPSEC plus élevé (journalistes, activistes, sources).

Choix éditorial
4.4 / 5

Surfshark - connexions illimitées pour la famille en voyage

NoBorders mode auto · Camouflage TLS · 30 jours satisfait ou remboursé

Audit Deloitte 2023Garantie 30 joursAppareils illimités
Voir l'offre

Pour aller plus loin. À lire aussi sur ces sujets : le risque de juice jacking aux bornes USB publiques, les VPN pour le télétravail et que faire quand votre IP est exposée.

Compléter le setup WiFi hôtel en voyage


Évaluation éditoriale indépendante fondée sur les capacités documentées des services, les audits indépendants publiés et les benchmarks publics, avec des vérifications via les outils standard (iperf3, dnsleaktest.com, browserleaks). Les liens commerciaux portent l'attribut rel="sponsored nofollow" ; une commission d'affiliation peut s'appliquer sans surcoût pour le lecteur et sans influence sur la note.

Choix éditorial
4.6 / 5

Reste connecté partout avec NordVPN

Serveurs obfusqués pour réseaux restrictifs · 60+ pays · 30 jours remboursé

Audit Deloitte 2024Garantie 30 jours14M+ utilisateurs
Voir l'offre
Tout ce qu'il faut savoir.

Questions fréquentes

Le WiFi de l'hôtel est-il sécurisé pour mes emails pro ?

Non, et c'est le réflexe d'erreur le plus coûteux du voyage business. Trois raisons techniques. Premièrement, les chaînes hôtelières utilisent massivement Cisco Meraki, Aruba ou Ruckus avec modules analytics qui loguent les domaines visités au niveau DNS et croisent ces données avec ton profil client (numéro de chambre, durée de séjour, fréquence). Données revendues à des prestataires marketing dans la majorité des cas. Deuxièmement, sur les hôtels avec WiFi à mot de passe partagé (typique des low-cost et de certains hôtels de chaîne asiatiques), tout autre client connecté au même réseau peut tenter du sniffing en mode promiscuous. Troisièmement, le captive portal peut être compromis - soit dès l'origine (Evil Twin) soit après une compromission firmware - et injecter du JavaScript ou voler des credentials saisis dessus. Pour des emails professionnels sensibles, la combinaison minimale est VPN du top 3 (NordVPN, ExpressVPN, Surfshark) avec kill switch en mode système + 2FA hardware ou TOTP sur le compte mail. Idéalement, transférer les opérations critiques (banque, signature de contrats) sur hotspot mobile personnel.

Comment activer un VPN AVANT de se connecter au WiFi hôtel ?

Procédure simple en 3 étapes pour éviter toute fenêtre d'exposition. Premièrement, lancer le VPN sur la 4G/5G mobile (avant la connexion WiFi) - le tunnel se monte sur le réseau cellulaire et reste actif pendant la transition. Si tu utilises une eSIM internationale type Airalo, l'activer en data only. Deuxièmement, vérifier que le kill switch est en mode système (pas en mode app) - il bloque tout trafic sortant si le tunnel tombe, ce qui évite la fuite de DNS et SNI pendant le moment du switch. Troisièmement, rejoindre le WiFi hôtel - le captive portal s'affiche pour validation des conditions, le client VPN moderne (NordVPN, ExpressVPN, Surfshark) gère automatiquement cette étape sans casser le tunnel. Quatrièmement (optionnel), tester immédiatement avec [notre outil Test fuite DNS](/fr/outils/test-fuite-dns) que l'IP visible est bien celle du serveur VPN et qu'aucune fuite DNS ne survient. Le tout prend moins de 3 minutes une fois la routine prise.

Quels sont les risques spécifiques à chaque type d'hôtel ?

Trois profils de risque distincts en mai 2026. Premièrement, hôtels low-cost et petits indépendants : WiFi typiquement à mot de passe partagé pour tous les clients, qualité technique basse (pas de client isolation, firmware routeur rarement mis à jour), risque #1 = sniffing par d'autres clients connectés au même réseau. Deuxièmement, hôtels business et chaînes internationales (Marriott, Hilton, IHG, Accor) : WiFi dédié par chambre généralement, client isolation activé, mais profilage interne fort via solutions Cisco Meraki/Aruba - les domaines visités sont logués et croisés avec le profil client, données revendues à des régies marketing. Troisièmement, hôtels de conférence et événements professionnels : double risque - WiFi conférence partagé par centaines de participants (sniffing, Evil Twin) + WiFi hôtel personnel. Quatrièmement, hôtels en zone censurée (Chine, Russie, Iran) : double couche WiFi hôtel + filtrage national, configuration VPN spécifique requise (Obfuscated servers + protocole d'obfuscation). La parade reste constante : VPN actif + kill switch système, indépendamment du type d'hôtel.

Que se passe-t-il avec le captive portal et le HTTPS ?

Le captive portal pose une question technique subtile parce qu'il intercepte les premières requêtes HTTP de la session pour rediriger vers la page d'acceptation des conditions. Avant la validation du captive portal, le tunnel VPN ne peut pas s'établir entièrement car la sortie vers internet est bloquée. Les clients VPN modernes (NordVPN, ExpressVPN, Surfshark, ProtonVPN) détectent automatiquement la présence d'un captive portal et proposent une fenêtre de navigateur intégrée pour valider les conditions sans casser le tunnel. Pour les VPN qui ne gèrent pas automatiquement, la procédure manuelle : (1) couper temporairement le VPN, (2) rejoindre le WiFi et valider le captive portal, (3) relancer le VPN immédiatement. Risque pendant cette fenêtre de 30-60 secondes : fuites DNS et SNI vers l'opérateur hôtelier. Avec un kill switch en mode système, le risque est minimisé parce qu'aucune session applicative ne s'ouvre pendant le moment de bascule. Le HTTPS reste actif pour les sites consultés mais ne chiffre pas les domaines (SNI en clair) - d'où l'importance critique du VPN.

Hotspot mobile + VPN, est-ce mieux que WiFi hôtel ?

Oui pour les usages à enjeu élevé, et c'est la pratique recommandée pour les voyageurs business avec données critiques. Trois avantages techniques. Premièrement, le hotspot mobile (4G/5G personnel via partage de connexion ou box 4G dédiée) bénéficie du chiffrement radio de bout en bout entre ton téléphone et l'antenne (NEA1/NEA2 sur 4G, 5G-EA sur 5G), ce qui rend l'écoute passive impossible pour un acteur sans accès au cœur opérateur. Pas d'équivalent du sniffing WiFi public possible. Deuxièmement, pas de partage de couche radio avec d'autres clients - chaque hotspot mobile est une cellule indépendante. Troisièmement, le hotspot mobile + VPN cumule les protections : chiffrement radio + tunnel chiffré applicatif. Limite : coût et débit. Le forfait mobile peut être saturé rapidement (vidéos, sauvegardes), et en roaming international les forfaits sont chers. Recommandation pragmatique : usage standard sur WiFi hôtel + VPN, basculement sur hotspot mobile pour les opérations critiques (banque, signature, mail pro avec données sensibles). Voir aussi [notre article hotspot mobile vs WiFi public](/fr/blog/hotspot-mobile-vs-wifi-public-securite).

Un VPN gratuit suffit-il sur le WiFi de l'hôtel ?

Mieux qu'aucun VPN, mais le modèle économique des VPN gratuits introduit ses propres risques. Le hotspot WiFi de l'hôtel ne voit plus que du trafic chiffré (déjà une amélioration nette), mais le fournisseur VPN gratuit peut logguer ton trafic ou monétiser les métadonnées de session - particulièrement les apps Android gratuites sans nom dont l'étude CSIRO 2017 documentait que 38 % contenaient du code malveillant ou de la télémétrie tierce. Deux exceptions honnêtes en mai 2026 : ProtonVPN Free (suisse, modèle freemium financé par les abonnés payants, audit Securitum) et Windscribe Free (canadien, 10 Go/mois, modèle freemium honnête). Tous les autres VPN gratuits sont à éviter par défaut pour des données sensibles. Alternative plus protectrice : l'essai 30 jours satisfait ou remboursé d'un VPN du top 3 (NordVPN, ExpressVPN, Surfshark) donne accès à l'infrastructure complète pendant un mois avec remboursement sans questions. Voir [notre vérité sur l'essai gratuit VPN](/fr/blog/essai-gratuit-vpn-verite) pour la comparaison détaillée.