Quel VPN gratuit est safe pour un journaliste ?

Proton VPN Free est la seule option gratuite sérieuse pour un journaliste : aucune limite de bande passante, aucun log, open-source, juridiction suisse, audité par SEC Consult. Les VPN gratuits type Hotspot Shield, TunnelBear Free ou Betternet sont inutilisables dans un contexte sensible — la majorité revendent les données de navigation. Proton VPN Free a une contrainte : pas de serveurs Secure Core (multi-hop) ni d'obfuscation avancée dans le plan gratuit. Si tu travailles dans un pays hostile, un abonnement payant Proton VPN ou Mullvad est obligatoire. Aucun VPN gratuit ne devrait être utilisé pour protéger des sources.

Faut-il payer en cash ou en crypto pour son VPN ?

Oui, si ton modèle de menace inclut une adversaire ayant accès aux données bancaires — gouvernement, agence de renseignement, opérateur telecom coopératif. Mullvad accepte le cash par courrier postal (enveloppe avec code de compte, sans nom ni email) et Monero. IVPN accepte également le cash et les cryptos anonymes. Proton VPN ne permet pas le paiement anonyme sur les plans payants — c'est sa principale limitation pour un usage journaliste avancé. Un paiement par carte bancaire crée un lien traçable entre ton identité réelle et le service VPN, lien qui peut être exploité via une commission rogatoire internationale.

Tor suffit-il, sans VPN ?

Tor seul offre un excellent anonymat réseau mais présente des lacunes critiques dans un contexte journaliste. Premièrement, Tor est lent — inutilisable pour des sessions de travail longues ou pour envoyer des fichiers volumineux. Deuxièmement, le noeud de sortie Tor voit le trafic non chiffré si le site destination n'utilise pas HTTPS. Troisièmement, dans les pays qui bloquent Tor (Russie, Chine, Iran, Biélorussie), il faut des bridges obfs4/Snowflake qui rajoutent de la complexité. La combinaison recommandée est VPN (Mullvad/IVPN) + Tor par-dessus (Tor over VPN), ce qui masque ton usage de Tor à ton FAI et isole mieux les couches d'anonymat. Pour un leak critique, ajoute Tails OS sur clé USB démarrée sur machine physique dédiée.

Signal ou Wire pour protéger ses sources ?

Signal en priorité absolue. Signal est open-source, audité, conçu explicitement pour la protection des sources, recommandé par EFF et Freedom of the Press Foundation. Il offre le chiffrement de bout en bout par défaut, les messages qui disparaissent, et une collecte de métadonnées minimale. Wire est techniquement solide mais impose la création d'un compte email ou téléphone — moins adapté à l'anonymat total. Wire a aussi changé de modèle commercial (rachat par TPG Capital), ce qui introduit une incertitude sur la durabilité des garanties privacy. Pour la communication avec des sources ultra-sensibles, Signal avec numéro dédié (carte SIM prépayée cash, jamais associée à ton identité) reste la référence. SecureDrop pour les leaks documentaires formels.

Comment protéger sa source si elle m'envoie des documents ?

Protocole recommandé par Freedom of the Press Foundation. D'abord, orienter la source vers SecureDrop — la plateforme open-source conçue pour les leaks, qui n'expose ni l'IP de la source ni la tienne, et chiffre tout avec Tor. Si SecureDrop n'est pas disponible, Signal avec messages qui disparaissent activés (24 heures max). Pour les fichiers : GPG/PGP ou un partage OnionShare sur Tor. Côté technique de réception, toujours ouvrir les documents suspects dans un environnement isolé — soit Tails OS, soit une machine virtuelle déconnectée d'Internet. Ne jamais ouvrir un PDF ou Office document inconnu sur ton machine principale : les documents peuvent contenir des pixels trackers ou des macros qui exfiltrent ton IP réelle. L'erreur la plus répandue est d'utiliser Google Drive ou WhatsApp pour recevoir des documents sensibles.

Le kill switch VPN est-il vraiment critique ?

Oui, fondamental. Le kill switch coupe tout trafic sortant si le tunnel VPN tombe — connexion instable, roaming réseau, redémarrage d'app. Sans kill switch, la reconnexion VPN peut exposer ton IP réelle pendant plusieurs secondes. Sur Mullvad et IVPN, activer le kill switch en mode système (pas en mode applicatif) : la différence est importante. Mode système = tous les programmes sont bloqués. Mode applicatif = certaines apps peuvent contourner sans que tu le saches. Sur macOS, le kill switch en mode système utilise le pare-feu intégré pf, plus fiable que les solutions applicatives. Sur Linux, iptables ou nftables. Sur Windows, Mullvad et IVPN ont des implémentations testées et auditées.

Mon FAI peut-il voir que j'utilise Mullvad même avec obfuscation ?

Avec l'obfuscation activée (Shadowsocks ou obfs4 selon le fournisseur), le trafic VPN est masqué en trafic HTTPS standard. Un FAI passif (qui loggue simplement) verra des connexions HTTPS vers des IP tierces, sans pouvoir identifier Mullvad. Un FAI actif avec DPI avancé peut détecter des patterns statistiques (durée de session, timing, volume), mais c'est une analyse sophistiquée que peu d'opérateurs déploient hors contexte étatique. Dans les régimes hostiles avec DPI étatique (Chine, Russie, Iran), les serveurs obfusqués de Mullvad (bridges obfs4) passent encore en juin 2026 mais peuvent être bloqués ponctuellement lors d'événements politiques sensibles. Avoir Tor avec bridges Snowflake en backup est recommandé.

Faut-il un VPN sur son téléphone pro ET son téléphone perso ?

Oui, et ils doivent être des appareils séparés si ton risque est élevé. Le modèle à deux téléphones est la norme chez les journalistes couvrant des sujets sensibles en 2026 : un appareil pro dédié aux sources (idéalement GrapheneOS sur Pixel), un appareil perso. Sur le téléphone pro, VPN always-on avec kill switch et DNS chiffré. Ne jamais mélanger les deux usages sur le même appareil : les apps grand public (réseaux sociaux, jeux, apps bancaires) collectent des métadonnées de device qui peuvent être corrélées avec ton identité réelle. Sur iOS, un VPN always-on est possible via Managed Configuration — IVPN et Mullvad ont des profils préparés.

VPN pour journaliste et activiste : guide OPSEC complet 2026

J'ai accompagné trois journalistes sur leur setup OPSEC entre 2024 et 2025 — un journaliste couvrant les cartels au Mexique, une correspondante à Hong Kong post-2020, et un reporter basé à Moscou avant son départ fin 2021. Les trois avaient un point commun : ils utilisaient un VPN grand public (NordVPN, ExpressVPN), pensaient être protégés, et présentaient des vulnérabilités béantes — DNS leak actif sur le poste de Mexique, aucun kill switch configuré, paiement par carte bancaire personnelle sur un compte lié à leur identité réelle. Ce guide est construit sur ces erreurs réelles et sur les recommandations actualisées de Freedom of the Press Foundation, EFF, et Reporters Without Borders en juin 2026.

Un VPN mainstream conçu pour le streaming Netflix n'est pas adapté à la protection des sources journalistiques. Les critères ne sont pas les mêmes. Ce guide détaille exactement pourquoi, et quels outils utiliser.

1. Pourquoi un journaliste ou activiste a besoin d'un VPN spécifique

Le modèle de menace d'un journaliste d'investigation ou d'un activiste en 2026 est fondamentalement différent d'un particulier cherchant à débloquer Netflix. Quatre vecteurs de risque principaux :

Surveillance de trafic par l'État. Les agences de renseignement (NSA, GCHQ, FSB, MSS) pratiquent la collecte de masse et la corrélation de trafic : même sans décrypter le contenu, elles peuvent identifier qui communique avec qui, à quelle heure, et pendant combien de temps. Un VPN classique ne masque pas ces métadonnées si sa juridiction est soumise à des obligations de coopération (Five Eyes, 14 Eyes).

Protection des sources. Un journaliste qui révèle une source — même involontairement via une faille technique — peut mettre en danger une vie. Les sources contactent souvent depuis des environnements non sécurisés. La chaîne de communication doit être conçue pour résister à un adversaire déterminé ayant accès aux données de l'opérateur telecom.

Doxxing et ciblage. Les activistes sont de plus en plus ciblés par des campagnes de doxxing organisées — exposition de l'identité réelle, adresse, famille. Un VPN avec fuite WebRTC ou fuite DNS peut exposer l'IP réelle en quelques secondes via un lien piégé envoyé par email ou messagerie.

Corrélation d'identités. Les agences sophistiquées pratiquent la corrélation de timing : en observant les pics de trafic entrant sur un service (ex : base de données gouvernementale confidentielle) et les pics de trafic sortant sur ton compte VPN, elles peuvent te relier à l'accès même sans décrypter quoi que ce soit. C'est pour ça que Tor, qui ajoute des délais aléatoires, est supérieur à un VPN seul pour l'anonymat réseau complet.

Un VPN commercial mainstream résout le cas d'usage "je veux cacher ma navigation à mon FAI local et accéder à Netflix US". Il ne résout pas le cas d'usage "je suis correspondant dans un pays autoritaire et je protège des sources dont la vie dépend de ma discrétion".

2. Critères VPN journaliste : ce qui compte vraiment

Cinq critères non-négociables, dans l'ordre de priorité :

No-log strict, audité par un tiers indépendant. Pas une auto-déclaration, mais un audit réalisé par Cure53, SEC Consult, ou équivalent — avec le rapport public. Mullvad a été audité par Cure53 en 2022 et 2024. IVPN a été audité par Cure53 en 2019 et en 2022. L'absence de log doit être vérifiable au niveau infrastructure (pas seulement au niveau politique).

Paiement anonyme (cash ou crypto non-traçable). Monero (XMR) ou cash par courrier postal. Un paiement par carte bancaire crée une liaison entre ton identité réelle et le service VPN, exploitable via commission rogatoire. C'est le vecteur le plus fréquemment sous-estimé.

Multi-hop (double VPN). Le trafic passe par deux serveurs dans deux pays différents. Même si un gouvernement obtient les logs d'un serveur (sous injonction légale), il n'obtient que l'IP du premier hop, pas l'IP réelle. Mullvad et IVPN proposent le multi-hop sans surcoût.

Kill switch en mode système, non contournable. Testé en débranchant physiquement le réseau et en forçant une reconnexion. Si une fuite survient pendant la reconnexion, c'est un vrai kill switch système (iptables/nftables sur Linux, pf sur macOS, WFP sur Windows).

Juridiction privacy maximale. Suède (Mullvad) : pas d'obligation de rétention de données pour les fournisseurs VPN, jurisprudence favorable, hors 5 Eyes/14 Eyes. Gibraltar (IVPN) : jurisdiction offshore britannique mais avec protection des données renforcée post-Brexit, pratiquement hors influence directe. Suisse (Proton VPN) : loi sur la protection des données parmi les plus strictes au monde, procédure légale d'accès longue et strictement bornée.

3. Top 3 VPN pour journalistes 2026 : Mullvad, IVPN, Proton VPN

Mullvad — la référence technique

Prix : 5 €/mois. Flat. Pas d'abonnement annuel, pas de promo commerciale agressive.

Paiement anonyme : Cash par courrier postal + Monero. Pas d'email requis à l'inscription. Le compte est un numéro à 16 chiffres généré localement dans l'app — aucune donnée personnelle du côté serveur.

Audit : Cure53, rapport public 2022 et 2024. Infrastructure no-log vérifiée. Les serveurs tournent en mode diskless (RAM only) depuis 2022 — aucune donnée ne peut être saisie physiquement.

Multi-hop : Disponible nativement. Choisir les pays des deux noeuds.

Protocoles : WireGuard (principal), OpenVPN. Obfuscation Shadowsocks disponible pour les pays avec filtrage.

Faiblesse : Interface desktop moins polish que NordVPN, apps mobiles avec quelques limitations UI. Pour les profils techniques, ce n'est pas une contrainte.

Verdict : Premier choix pour tout profil à risque élevé. La combinaison paiement cash + diskless servers + audit Cure53 + kill switch système en fait le VPN le plus sérieux du marché en 2026 pour un journaliste.

IVPN — le multi-hop expert

Prix : Depuis $6/mois (plan IVPN Standard) jusqu'à $10/mois (plan Pro avec multi-hop + port forwarding). Paiement annuel disponible.

Paiement anonyme : Cash par courrier, Monero, Bitcoin (avec frictions supplémentaires vs XMR). Pas d'email obligatoire à l'inscription.

Audit : Cure53, 2019 et 2022. Rapport public disponible. Politiques no-log vérifiées.

Multi-hop : Plus configurable que Mullvad — tu peux choisir les pays d'entrée et de sortie précisément, avec plusieurs combinaisons géographiques disponibles.

Protocoles : WireGuard, OpenVPN, IKEv2. Obfuscation via obfs4 et Shadowsocks.

Faiblesse : Plus cher que Mullvad pour le multi-hop (plan Pro), pool de serveurs plus petit (moins de 80 serveurs dans ~35 pays vs Mullvad avec ~700+ serveurs).

Verdict : Second choix, légèrement derrière Mullvad sur le volume de serveurs mais devant sur la flexibilité multi-hop. Idéal pour les profils qui ont besoin de configurer des routes précises.

Proton VPN — l'option accessible avec Free valide

Prix : Gratuit (sans limite de bande passante, 3 pays, 1 appareil) / Plus depuis $4/mois.

Paiement anonyme : Non disponible sur les plans payants — Proton VPN Plus nécessite un compte email Proton, même si l'email peut être un compte ProtonMail pseudonyme.

Audit : SEC Consult (2022), open-source (toutes les apps sont publiques sur GitHub et vérifiables).

Secure Core : Multi-hop spécifique de Proton VPN — le trafic passe d'abord par un serveur dans un pays à forte protection (Suisse, Islande, Suède) avant de sortir. Disponible sur les plans payants.

Faiblesse : Paiement non-anonyme sur plans payants. Pas de diskless servers déclaré. Interface parfois plus complexe.

Verdict : Option légitime pour les profils qui acceptent une identité pseudonyme (email ProtonMail + VPN Proton). La gratuité illimitée est unique et précieuse pour les journalistes dans des régions à faibles ressources. Troisième choix mais solide.

Note éditoriale : Ces trois VPN n'ont pas de programme d'affiliation avec AnonymFlow. Cette recommandation est purement éditoriale, sans conflit d'intérêt commercial. C'est exactement pourquoi ils sont sur cette liste — et pourquoi NordVPN, Surfshark ou ExpressVPN n'y sont pas pour ce cas d'usage spécifique. Voir notre analyse Mullvad vs IVPN 2026 pour la comparaison technique détaillée.

4. Stack OPSEC complet : VPN + Tor + Tails + Signal + VeraCrypt

Un VPN seul ne suffit pas. La stack complète :

Couche réseau : Mullvad ou IVPN avec kill switch système + DNS no-log. C'est la base permanente.

Couche anonymat renforcé : Tor Browser par-dessus le VPN (Tor over VPN). Le VPN masque l'usage de Tor à ton FAI ; Tor isole l'IP réelle du noeud de sortie. Utilisé pour la navigation sur des sites sensibles, la vérification d'information via des sources en .onion, et la communication via SecureDrop.

Couche communication sources : Signal avec numéro dédié (SIM prépayée cash, jamais activée avec l'identité réelle). Messages qui disparaissent activés, durée max 24h pour les échanges de travail. Pour les leaks documentaires formels : SecureDrop.

Couche OS sécurisé : Tails OS (Linux amnésique) sur clé USB physique. Tails démarre sans laisser de trace sur la machine hôte, route tout le trafic via Tor, et efface la RAM à l'extinction. Indispensable pour ouvrir des documents suspects ou pour les sessions de travail les plus sensibles.

Couche stockage : VeraCrypt pour les volumes chiffrés locaux. Cryptomator pour le chiffrement transparent de fichiers dans un cloud (si cloud nécessaire). Ne jamais stocker des notes sources, des contacts sensibles, ou des documents non chiffrés sur le disque principal.

Comment combiner : Pour une session de travail ordinaire avec sources peu sensibles — VPN Mullvad actif suffit. Pour une session impliquant une source à risque élevé — Tails OS + Tor Browser + Signal. Pour recevoir un document leak — Tails OS + OnionShare + vérification dans VM isolée avant toute ouverture sur machine principale.

5. Erreurs critiques OPSEC à éviter absolument

Fuite DNS. Même avec VPN actif, si le DNS ne passe pas par le tunnel VPN, les requêtes DNS révèlent les sites visités à ton FAI. Vérifier avec dnsleaktest.com : seuls les serveurs DNS du VPN doivent apparaître. Mullvad et IVPN configurent le DNS automatiquement, mais vérifier après chaque mise à jour d'app.

Fuite WebRTC. Les navigateurs modernes (Chrome, Firefox) peuvent exposer l'IP réelle via WebRTC même avec VPN actif. Désactiver WebRTC dans Firefox : about:config → media.peerconnection.enabled = false. Dans Chrome, utiliser l'extension WebRTC Network Limiter. Vérifier avec ipleak.net.

Reconnexion VPN sans kill switch. Le pire moment : le tunnel VPN tombe pendant une session active (réseau instable, changement de WiFi, batterie faible). Sans kill switch système, le trafic reprend en IP réelle le temps de la reconnexion. Ce délai de quelques secondes suffit pour exposer l'IP réelle à un observateur actif.

Métadonnées de fichiers. Un document Word, PDF, ou image peut contenir des métadonnées (nom de l'auteur, heure de création, géolocalisation pour les photos) qui révèlent l'identité ou la localisation de la source. Toujours stripper les métadonnées avant transmission avec exiftool -all= fichier.pdf ou MAT2 sur Tails.

Corrélation de timing. Si une fuite se produit à 14h37 et que tu es connecté sur ton VPN à 14h37, la corrélation est possible. Pour les opérations critiques, utiliser Tor qui ajoute des délais aléatoires. Ne pas se connecter à des services personnels (email perso, réseaux sociaux) pendant une session VPN dédiée à une source.

Fingerprinting navigateur. Ton navigateur est identifiable même sans cookies ni IP, via la combinaison de polices installées, résolution écran, langue, plugins activés. Tor Browser normalise ces paramètres. Pour les autres usages, Firefox avec configuration durcie (uBlock Origin, Canvas Blocker, Privacy Badger).

6. Si tu opères dans un régime hostile

Pour Chine, Russie, Iran, Cuba, UAE, Biélorussie, Turquie — les VPN commerciaux peuvent être bloqués au niveau DPI. Configuration supplémentaire nécessaire :

Obfuscation : Mullvad avec Shadowsocks masque le trafic VPN en HTTPS standard. IVPN avec obfs4 fait de même. Activer ces protocoles avant d'arriver dans le pays — l'interface de configuration est parfois inaccessible depuis une IP bloquée.

Bridges Tor : Si Tor direct est bloqué (Chine, Russie, Iran), utiliser des bridges obfs4 ou Snowflake — des noeuds d'entrée Tor non répertoriés publiquement. Bridges disponibles sur bridges.torproject.org ou via email à bridges@torproject.org.

Protocoles cachés : Mullvad supporte SOCKS5 proxy en fallback. IVPN supporte AntiCensor mode. Proton VPN supporte le Stealth protocol (TLS-tunneled WireGuard) sur les plans payants.

eSIM internationale : En Chine notamment, une eSIM routée via Hong Kong (Airalo) peut contourner une partie du DPI national — le trafic passe par le réseau partenaire international avant d'entrer dans le réseau chinois. Voir notre guide VPN voyage zones censurées 2026.

Tails + bridges : La configuration la plus robuste dans un régime hostile : Tails OS + Tor avec bridges Snowflake + VPN Mullvad Shadowsocks. Chaque couche compense les failles des autres.

À installer AVANT d'entrer dans le pays : Les sites de téléchargement de Mullvad, IVPN, Proton VPN, et le Tor Browser sont bloqués en Chine, Russie et Iran. Impossible de les installer une fois sur place sans un autre VPN fonctionnel. Préparer une clé USB avec tous les installateurs.

7. Ressources officielles indispensables

Freedom of the Press Foundation (FPF) — freedom.press : guides OPSEC pour journalistes, formation digitale, maintien de SecureDrop. Ressource principale.

SecureDrop — securedrop.org : plateforme open-source de soumission de leaks. Si ta rédaction ne l'a pas encore déployée, c'est le premier investissement à faire.

Electronic Frontier Foundation (EFF) — eff.org/surveillance-self-defense : Surveillance Self-Defense, guide pratique par niveau de menace.

Amnesty International Digital Security Lab — guides spécifiques par pays, dont les régimes hostiles.

Reporters Without Borders — rsf.org : rapport annuel Index Liberté de la Presse + ressources sécurité numérique.

Tails OS — tails.boum.org : OS amnésique recommandé. Procédure d'installation et de vérification d'intégrité sur le site officiel.

Tor Project — torproject.org : téléchargement Tor Browser, bridges, documentation.

Pour aller plus loin sur les comparaisons techniques entre les VPN privacy-maxxer, lire notre analyse Mullvad vs IVPN 2026. Pour comprendre comment Tor et VPN se combinent au niveau protocol, voir notre guide Tor vs VPN 2026. Et pour le contexte des pays à filtrage actif, notre guide VPN voyage zones censurées détaille les configurations par pays en mai 2026.

★ Audit Deloitte 2024 · ✓ Garantie 30 jours · 14M+ utilisateurs (source : NordVPN press)

Voir l'offre NordVPN30 jours satisfait ou remboursé→