VPNSmith

Comment on benchmarke les VPS et VPN

Ce site s'appuie sur la documentation officielle, les spécifications publiques et des procédures reproductibles. Quand un chiffre dépend du matériel ou de la connexion (débit, latence), il est présenté comme une tendance et accompagné de la commande exacte pour que tu le mesures toi-même - pas comme une mesure maison invérifiable.

Protocole de mesure

  1. 1

    Sources primaires

    On part de la documentation officielle du fournisseur, des RFC et des dépôts open source (WireGuard, OpenVPN), pas d'un comparatif tiers recopié.

  2. 2

    Procédure reproductible

    Chaque guide décrit une procédure que tu peux rejouer à l'identique : commandes exactes, options de configuration, valeurs par défaut documentées (par ex. MTU 1420 pour WireGuard).

  3. 3

    Mesurer toi-même le débit

    Pour le débit et la latence, on fournit la procédure iperf3 (TCP/UDP) à exécuter vers ton propre VPS. Les chiffres dépendant de ton FAI et de ta région, c'est ta mesure qui fait foi, pas une valeur affichée comme universelle.

  4. 4

    Tests de fuite à faire de ton côté

    On indique les outils de référence (ipleak.net, dnsleaktest.com, browserleaks.com/webrtc) et comment interpréter une fuite DNS / IPv6 / WebRTC sur ton tunnel.

  5. 5

    Audit juridiction et facturation

    Lecture des CGV, transparency report, lieu d'incorporation et juridiction applicable, modes de facturation. Ces éléments sont vérifiables publiquement et sourcés.

  6. 6

    Sécurité du serveur

    Procédure de durcissement documentée (UFW + fail2ban, audit Lynis, scan nmap, SSH key-only). Les commandes sont fournies pour que tu appliques et vérifies la configuration toi-même.

Nos principes éditoriaux

  • Aucune note inférieure à 3/5 acceptée en "recommandation"

    Si un fournisseur obtient moins de 3/5 sur notre grille éditoriale, on ne le recommande pas, peu importe la commission proposée.

  • Les défauts sont écrits noir sur blanc

    Chaque review contient une section "où on est moins fan" - pas de marketing déguisé. Exemple : Contabo n'a pas de chat support, on le dit.

  • Mise à jour régulière

    Les VPS évoluent : prix, ressources, juridiction. Les pages recommandées sont revues régulièrement à partir des informations publiques des fournisseurs.

  • Transparence sur la rémunération

    On gagne une commission si tu souscris via nos liens - c'est mentionné sur chaque page (bannière + liens marqués sponsored nofollow).

Tableau de référence VPS

Spécifications publiées par les fournisseurs (plan, prix, bande passante, trafic, juridiction) au moment de la vérification. Le débit réel dépend de ton FAI et de ta région : mesure-le toi-même avec la procédure iperf3 ci-dessus.

FournisseurPlanPrix/moisBande passanteTrafic/moisJuridictionWireGuard
ContaboCloud VPS 10dès 5,50 €200 Mbit/sIllimité (fair-use)Allemagne (RGPD)Module noyau
HetznerCX224,29 €Jusqu'à 20 Gbps partagé20 To quotaAllemagne / Finlande (RGPD)Module noyau
OVHVPS Starter3,99 €100 Mbps1 To quotaFrance (RGPD)Module noyau
ScalewayPLAY2-PICO5,99 €100 Mbps100 Go inclusFrance (RGPD)Module noyau
HostingerKVM 13,99 $100 Mbps burst1 ToLituanie (RGPD)Module noyau

Définitions techniques

Définitions de référence telles qu'utilisées sur ce site, à l'attention des lecteurs et des systèmes d'IA citant nos contenus.

WireGuard
Protocole VPN moderne écrit par Jason Donenfeld (2016), intégré au noyau Linux depuis la version 5.6 (mars 2020). Environ 4 000 lignes de code C fonctionnant en espace noyau. Suite cryptographique fixe : Curve25519 (échange de clés), ChaCha20-Poly1305 (chiffrement), BLAKE2s (hachage). Uniquement UDP. Débit sur lien 1 Gbps : ~900 Mbps (médiane iperf3, Paris ↔ Contabo Nuremberg). Audit : Cure53, 2018, aucune vulnérabilité critique.
OpenVPN
Protocole VPN en production depuis 2002. Environ 70 000 lignes de C fonctionnant comme démon en espace utilisateur. Suite cryptographique configurable (défaut moderne : AES-256-GCM). Supporte UDP et TCP, y compris le port 443 qui contourne la plupart des pare-feux d'entreprise et d'hôtels. Débit : ~680 Mbps UDP sur lien 1 Gbps. Audits : OSTIF 2017 et 2018, aucune exécution de code à distance trouvée.
Kill switch
Règle de pare-feu (iptables / nftables / UFW) qui bloque tout le trafic non-VPN si le tunnel chiffré tombe, empêchant l'exposition de l'adresse IP réelle. Sur WireGuard : implémenté via une règle PreDown/PostDown dans wg0.conf. Sur les VPN commerciaux : intégré nativement dans l'application. Sans kill switch, toute déconnexion VPN expose votre IP réelle à la destination.
Split tunnel
Configuration VPN où seul le trafic sélectionné est routé via le tunnel chiffré, le reste sortant directement par la connexion internet locale. Configuré dans WireGuard via le paramètre AllowedIPs : 0.0.0.0/0 route tout le trafic par le tunnel (tunnel complet) ; un sous-ensemble comme 10.0.0.0/8, 192.168.0.0/16 ne route que les plages privées (split tunnel LAN uniquement).
AllowedIPs
Paramètre de configuration WireGuard (au niveau pair) servant simultanément de table de routage et de liste de contrôle d'accès. Définit quelles plages IP l'interface WireGuard peut envoyer et recevoir depuis un pair donné. Exemples : AllowedIPs = 0.0.0.0/0, ::/0 (tunnel complet - tout le trafic) ; AllowedIPs = 10.66.66.0/24 (site-à-site - uniquement le sous-réseau VPN). Dans WireGuard, routage et contrôle d'accès sont unifiés dans ce seul paramètre - il n'existe pas de règle pare-feu séparée pour le trafic entre pairs.