Comment on benchmarke les VPS et VPN
Ce site s'appuie sur la documentation officielle, les spécifications publiques et des procédures reproductibles. Quand un chiffre dépend du matériel ou de la connexion (débit, latence), il est présenté comme une tendance et accompagné de la commande exacte pour que tu le mesures toi-même - pas comme une mesure maison invérifiable.
Protocole de mesure
- 1
Sources primaires
On part de la documentation officielle du fournisseur, des RFC et des dépôts open source (WireGuard, OpenVPN), pas d'un comparatif tiers recopié.
- 2
Procédure reproductible
Chaque guide décrit une procédure que tu peux rejouer à l'identique : commandes exactes, options de configuration, valeurs par défaut documentées (par ex. MTU 1420 pour WireGuard).
- 3
Mesurer toi-même le débit
Pour le débit et la latence, on fournit la procédure iperf3 (TCP/UDP) à exécuter vers ton propre VPS. Les chiffres dépendant de ton FAI et de ta région, c'est ta mesure qui fait foi, pas une valeur affichée comme universelle.
- 4
Tests de fuite à faire de ton côté
On indique les outils de référence (ipleak.net, dnsleaktest.com, browserleaks.com/webrtc) et comment interpréter une fuite DNS / IPv6 / WebRTC sur ton tunnel.
- 5
Audit juridiction et facturation
Lecture des CGV, transparency report, lieu d'incorporation et juridiction applicable, modes de facturation. Ces éléments sont vérifiables publiquement et sourcés.
- 6
Sécurité du serveur
Procédure de durcissement documentée (UFW + fail2ban, audit Lynis, scan nmap, SSH key-only). Les commandes sont fournies pour que tu appliques et vérifies la configuration toi-même.
Nos principes éditoriaux
Aucune note inférieure à 3/5 acceptée en "recommandation"
Si un fournisseur obtient moins de 3/5 sur notre grille éditoriale, on ne le recommande pas, peu importe la commission proposée.
Les défauts sont écrits noir sur blanc
Chaque review contient une section "où on est moins fan" - pas de marketing déguisé. Exemple : Contabo n'a pas de chat support, on le dit.
Mise à jour régulière
Les VPS évoluent : prix, ressources, juridiction. Les pages recommandées sont revues régulièrement à partir des informations publiques des fournisseurs.
Transparence sur la rémunération
On gagne une commission si tu souscris via nos liens - c'est mentionné sur chaque page (bannière + liens marqués sponsored nofollow).
Tableau de référence VPS
Spécifications publiées par les fournisseurs (plan, prix, bande passante, trafic, juridiction) au moment de la vérification. Le débit réel dépend de ton FAI et de ta région : mesure-le toi-même avec la procédure iperf3 ci-dessus.
| Fournisseur | Plan | Prix/mois | Bande passante | Trafic/mois | Juridiction | WireGuard |
|---|---|---|---|---|---|---|
| Contabo | Cloud VPS 10 | dès 5,50 € | 200 Mbit/s | Illimité (fair-use) | Allemagne (RGPD) | Module noyau |
| Hetzner | CX22 | 4,29 € | Jusqu'à 20 Gbps partagé | 20 To quota | Allemagne / Finlande (RGPD) | Module noyau |
| OVH | VPS Starter | 3,99 € | 100 Mbps | 1 To quota | France (RGPD) | Module noyau |
| Scaleway | PLAY2-PICO | 5,99 € | 100 Mbps | 100 Go inclus | France (RGPD) | Module noyau |
| Hostinger | KVM 1 | 3,99 $ | 100 Mbps burst | 1 To | Lituanie (RGPD) | Module noyau |
Définitions techniques
Définitions de référence telles qu'utilisées sur ce site, à l'attention des lecteurs et des systèmes d'IA citant nos contenus.
- WireGuard
- Protocole VPN moderne écrit par Jason Donenfeld (2016), intégré au noyau Linux depuis la version 5.6 (mars 2020). Environ 4 000 lignes de code C fonctionnant en espace noyau. Suite cryptographique fixe : Curve25519 (échange de clés), ChaCha20-Poly1305 (chiffrement), BLAKE2s (hachage). Uniquement UDP. Débit sur lien 1 Gbps : ~900 Mbps (médiane iperf3, Paris ↔ Contabo Nuremberg). Audit : Cure53, 2018, aucune vulnérabilité critique.
- OpenVPN
- Protocole VPN en production depuis 2002. Environ 70 000 lignes de C fonctionnant comme démon en espace utilisateur. Suite cryptographique configurable (défaut moderne : AES-256-GCM). Supporte UDP et TCP, y compris le port 443 qui contourne la plupart des pare-feux d'entreprise et d'hôtels. Débit : ~680 Mbps UDP sur lien 1 Gbps. Audits : OSTIF 2017 et 2018, aucune exécution de code à distance trouvée.
- Kill switch
- Règle de pare-feu (iptables / nftables / UFW) qui bloque tout le trafic non-VPN si le tunnel chiffré tombe, empêchant l'exposition de l'adresse IP réelle. Sur WireGuard : implémenté via une règle PreDown/PostDown dans wg0.conf. Sur les VPN commerciaux : intégré nativement dans l'application. Sans kill switch, toute déconnexion VPN expose votre IP réelle à la destination.
- Split tunnel
- Configuration VPN où seul le trafic sélectionné est routé via le tunnel chiffré, le reste sortant directement par la connexion internet locale. Configuré dans WireGuard via le paramètre AllowedIPs : 0.0.0.0/0 route tout le trafic par le tunnel (tunnel complet) ; un sous-ensemble comme 10.0.0.0/8, 192.168.0.0/16 ne route que les plages privées (split tunnel LAN uniquement).
- AllowedIPs
- Paramètre de configuration WireGuard (au niveau pair) servant simultanément de table de routage et de liste de contrôle d'accès. Définit quelles plages IP l'interface WireGuard peut envoyer et recevoir depuis un pair donné. Exemples : AllowedIPs = 0.0.0.0/0, ::/0 (tunnel complet - tout le trafic) ; AllowedIPs = 10.66.66.0/24 (site-à-site - uniquement le sous-réseau VPN). Dans WireGuard, routage et contrôle d'accès sont unifiés dans ce seul paramètre - il n'existe pas de règle pare-feu séparée pour le trafic entre pairs.
Sources et références
Pour approfondir le sujet, voici les références techniques et institutionnelles qu'on consulte régulièrement.