Comment créer un VPN personnel avec WireGuard et un serveur VPS ?

Posted by par Sébastien Meunier 9 février 2026

Vous utilisez peut-être un VPN commercial comme NordVPN ou Surfshark. Ces services promettent de protéger votre vie privée. Mais en réalité, vous confiez tout votre trafic internet à une entreprise privée. Vous n’avez aucune garantie sur ce qu’elle fait de vos données.

La solution existe. Vous pouvez créer votre propre VPN. Vous gardez le contrôle total. Personne d’autre que vous n’a accès à vos données de navigation.

Dans ce guide complet, je vous explique pas à pas comment créer un VPN personnel. De la location du serveur jusqu’à la configuration sur votre smartphone. Même si vous n’avez jamais touché un terminal Linux, vous pouvez y arriver.

Pourquoi créer son propre VPN plutôt qu’utiliser un VPN commercial ?

Le problème des VPN commerciaux

Les VPN commerciaux centralisent le trafic de millions d’utilisateurs. Ce modèle pose plusieurs problèmes concrets.

Premièrement, vous devez faire confiance à l’entreprise. Elle affirme ne pas conserver de logs. Mais vous n’avez aucun moyen de le vérifier. Plusieurs fournisseurs VPN ont été pris en flagrant délit de partage de données avec des autorités.

Deuxièmement, ces entreprises sont souvent domiciliées dans des juridictions peu favorables à la vie privée. Beaucoup sont enregistrées dans des pays membres de l’alliance Five Eyes, Nine Eyes ou Fourteen Eyes. Ces alliances de renseignement organisent le partage de données entre états.

Troisièmement, le modèle économique repose parfois sur la revente de données de navigation. Un VPN gratuit se rémunère forcément d’une manière ou d’une autre.

Les avantages de créer un VPN personnel

Avec votre propre VPN, la situation change complètement.

Vous êtes le seul utilisateur du serveur. Aucun tiers n’a accès à votre trafic. Vous choisissez la juridiction du serveur. Vous contrôlez les logs. Vous pouvez même les désactiver entièrement.

Le coût est souvent inférieur à un abonnement VPN commercial. Un serveur VPS adapté coûte entre 3 et 5 euros par mois. C’est comparable à un abonnement NordVPN ou Surfshark, mais avec un niveau de contrôle incomparable.

Étape 1 : choisir un hébergeur VPS respectueux de la vie privée pour créer un VPN

Le choix du serveur VPS est la décision la plus importante. C’est lui qui hébergera votre VPN. Deux critères doivent guider votre choix.

Le critère de la juridiction

La juridiction détermine quelles lois s’appliquent à vos données. Certains pays offrent une protection bien supérieure à d’autres.

La Suisse est l’une des meilleures juridictions au monde pour la protection des données. Le pays n’est membre ni de l’Union européenne, ni des alliances de renseignement Five Eyes ou Fourteen Eyes. La loi fédérale sur la protection des données (LPD) impose des standards très élevés.

L’Islande est également une excellente option. Le pays dispose de lois très strictes sur la liberté d’expression et la protection de la vie privée numérique.

Les Pays-Bas offrent un bon compromis en Europe. Bien qu’ils soient membres de l’UE, leur législation sur la vie privée numérique est considérée comme favorable.

À l’inverse, évitez les hébergeurs situés aux États-Unis, au Royaume-Uni, en Australie, au Canada ou en Nouvelle-Zélande. Ces cinq pays forment le cœur de l’alliance Five Eyes et pratiquent une surveillance de masse documentée.

Le critère du prix pour créer un VPN

Pour un VPN personnel, vous n’avez pas besoin d’un serveur puissant. Un VPS avec 1 CPU, 1 à 2 Go de RAM et 20 Go de stockage suffit largement. WireGuard est très léger et consomme peu de ressources.

Comparatif des hébergeurs VPS orientés vie privée pour créer un VPN

Voici les principaux hébergeurs à considérer pour créer votre VPN personnel.

Infomaniak (Suisse) propose un VPS à 3,60 € TTC par mois pour 1 CPU, 2 Go de RAM et 20 Go de stockage. Les datacenters sont en Suisse. L’entreprise est engagée dans le respect de la vie privée et la souveraineté numérique. C’est un acteur indépendant, ce qui est un gage supplémentaire de confiance. C’est l’hébergeur que nous avons choisi pour ce tutoriel.

1984 Hosting (Islande) est un hébergeur islandais militant pour la liberté numérique. Les prix commencent autour de 5 € par mois. L’Islande offre une juridiction très protectrice. L’hébergeur accepte les paiements en Bitcoin pour plus d’anonymat.

Njal.la (Suède) a été fondé par l’un des cofondateurs de The Pirate Bay. L’approche est radicalement orientée vie privée. Njal.la se positionne comme intermédiaire entre vous et le serveur. Les prix démarrent autour de 15 € par mois, ce qui est plus élevé mais justifié par le niveau de protection.

Hetzner (Allemagne/Finlande) est un excellent choix pour le rapport qualité-prix. Les VPS démarrent à 4,51 € par mois. L’Allemagne dispose de lois strictes sur la protection des données grâce au RGPD. Les datacenters finlandais offrent une alternative géographique intéressante.

OVH (France) est le géant européen de l’hébergement. Les prix sont compétitifs avec des VPS à partir de 3,50 € par mois. La juridiction française offre la protection du RGPD. Cependant, OVH est une entreprise de très grande taille, ce qui peut poser question en termes de confidentialité pour certains utilisateurs.

Pourquoi nous avons choisi Infomaniak pour créer un VPN

Notre choix s’est porté sur Infomaniak pour plusieurs raisons.

Le prix est très compétitif à 3,60 € TTC par mois. La juridiction suisse est l’une des meilleures au monde. L’entreprise est indépendante et engagée sur les questions de souveraineté numérique. L’interface d’administration est claire et en français. Le support technique est réactif.

Pour ce tutoriel, nous avons commandé un VPS avec la configuration suivante. 1 CPU, 2 Go de RAM, 20 Go de stockage SSD, système d’exploitation Debian 12.

Étape 2 : choisir entre WireGuard et OpenVPN pour créer un VPN

Deux protocoles VPN dominent le marché. WireGuard et OpenVPN. Les deux sont open source et fiables. Mais ils présentent des différences importantes.

OpenVPN – le vétéran

OpenVPN existe depuis 2001. C’est le protocole VPN le plus utilisé au monde. Il a fait ses preuves en termes de sécurité. Son code a été audité de nombreuses fois.

Cependant, OpenVPN est lourd. Le code source fait environ 600 000 lignes. La configuration est complexe avec de nombreux fichiers de certificats à gérer. Les performances sont inférieures à WireGuard, surtout sur mobile.

WireGuard – la nouvelle génération

WireGuard est un protocole VPN moderne créé par Jason A. Donenfeld. Il a été intégré au noyau Linux en mars 2020. C’est une reconnaissance majeure de sa qualité.

Le code source ne fait qu’environ 4 000 lignes. C’est 150 fois moins qu’OpenVPN. Un code plus court signifie moins de surface d’attaque et une auditabilité bien meilleure.

Le protocole WireGuard utilise des algorithmes cryptographiques modernes. ChaCha20 pour le chiffrement symétrique. Curve25519 pour l’échange de clés. BLAKE2s pour le hachage. Poly1305 pour l’authentification des messages.

Les performances sont nettement supérieures. WireGuard offre un débit plus élevé et une latence plus faible. La connexion s’établit quasi instantanément, ce qui est particulièrement appréciable sur smartphone.

Pourquoi avons-nous choisi WireGuard ?

WireGuard est plus léger, plus rapide, plus simple à configurer et utilise une cryptographie plus moderne. Pour un VPN personnel, c’est le choix évident. C’est le protocole que nous allons utiliser dans ce tutoriel.

Étape 3 : se connecter au serveur VPS en SSH depuis Windows

Une fois votre VPS commandé chez Infomaniak (ou un autre hébergeur), vous recevez les informations de connexion par email. Vous disposez d’une adresse IP, d’un nom d’utilisateur et d’un mot de passe.

Ouvrir PowerShell sur Windows

Sur Windows 10 et 11, le client SSH est intégré nativement. Vous n’avez pas besoin d’installer PuTTY ou un autre logiciel.

Faites un clic droit sur le menu Démarrer. Cliquez sur « Terminal Windows » ou « PowerShell ». Une fenêtre de commande s’ouvre.

Se connecter au serveur

Tapez la commande suivante en remplaçant les valeurs par les vôtres.

ssh debian@ADRESSE_IP_DE_VOTRE_SERVEUR

Notez bien que chez Infomaniak, l’utilisateur par défaut est debian et non root. Vous ne pouvez pas vous connecter directement en root. Cette restriction est une bonne pratique de sécurité.

Lors de la première connexion, un message vous demande de confirmer l’empreinte du serveur. Tapez « yes » et appuyez sur Entrée.

Entrez ensuite votre mot de passe. Les caractères ne s’affichent pas quand vous tapez, c’est normal. Validez avec Entrée.

Vous êtes maintenant connecté à votre serveur distant.

Passer en mode administrateur

Pour installer et configurer WireGuard, vous avez besoin des droits administrateur. Tapez la commande suivante.

sudo su

Entrez votre mot de passe quand il est demandé. L’invite de commande change pour indiquer que vous êtes maintenant root. Vous resterez en root pour toute la suite de la configuration.

Étape 4 : installer WireGuard sur le serveur

Mettre à jour le système

Avant toute installation, mettez à jour les paquets de votre serveur Debian 12.

apt update && apt upgrade -y

Installer WireGuard

Installez WireGuard avec la commande suivante.

apt install wireguard -y

L’installation ne prend que quelques secondes. WireGuard est très léger.

Activer le routage IP

Pour que votre VPN fonctionne correctement, le serveur doit transmettre le trafic réseau. Activez le forwarding IP.

echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p

La seconde commande applique le changement immédiatement sans redémarrer le serveur.

Étape 5 – Générer les clés de chiffrement

WireGuard utilise un système de clés publiques et privées. Chaque appareil qui se connecte au VPN a sa propre paire de clés. Nous allons générer trois paires de clés. Une pour le serveur, une pour votre ordinateur et une pour votre smartphone.

Créer le dossier des clés

mkdir -p /etc/wireguard/keys
chmod 700 /etc/wireguard/keys
cd /etc/wireguard/keys

Générer les clés du serveur

wg genkey | tee server_private.key | wg pubkey > server_public.key

Générer les clés du client ordinateur

wg genkey | tee client_private.key | wg pubkey > client_public.key

Générer les clés du client smartphone

wg genkey | tee smartphone_private.key | wg pubkey > smartphone_public.key

Vérifier les clés générées

Affichez chaque clé pour les noter. Vous en aurez besoin dans les étapes suivantes.

cat server_private.key
cat server_public.key
cat client_private.key
cat client_public.key
cat smartphone_private.key
cat smartphone_public.key

Chaque clé est une chaîne de caractères encodée en base64. Gardez les clés privées secrètes. Ne les partagez jamais.

Sécuriser les fichiers de clés privées

chmod 600 /etc/wireguard/keys/*_private.key

Étape 6 : configurer le serveur WireGuard

Identifier l’interface réseau

Avant de créer le fichier de configuration, identifiez le nom de votre interface réseau principale.

ip route show default

Notez le nom de l’interface qui apparaît après « dev ». C’est généralement eth0 ou ens3 selon les hébergeurs.

Créer le fichier de configuration

Ouvrez l’éditeur nano pour créer le fichier de configuration du serveur.

nano /etc/wireguard/wg0.conf

Collez le contenu suivant en remplaçant les valeurs entre crochets par vos propres clés et le nom de votre interface réseau.

[Interface]
PrivateKey = [CONTENU DE server_private.key]
Address = 10.0.0.1/24
ListenPort = 51820
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o [INTERFACE] -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o [INTERFACE] -j MASQUERADE

[Peer]
# Ordinateur
PublicKey = [CONTENU DE client_public.key]
AllowedIPs = 10.0.0.2/32

[Peer]
# Smartphone
PublicKey = [CONTENU DE smartphone_public.key]
AllowedIPs = 10.0.0.3/32

Remplacez [INTERFACE] par le nom de votre interface réseau identifié précédemment (par exemple eth0 ou ens3).

Pour sauvegarder dans nano, appuyez sur Ctrl+O puis Entrée. Pour quitter, appuyez sur Ctrl+X.

Comprendre la configuration

La section [Interface] configure le serveur lui-même. L’adresse 10.0.0.1 est l’IP du serveur dans le réseau VPN. Le port 51820 est le port par défaut de WireGuard. Les règles PostUp et PostDown gèrent le routage du trafic vers internet.

Chaque section [Peer] représente un appareil autorisé à se connecter. L’ordinateur reçoit l’IP 10.0.0.2 et le smartphone l’IP 10.0.0.3.

Protéger le fichier de configuration

chmod 600 /etc/wireguard/wg0.conf

Démarrer WireGuard

Activez et démarrez le service WireGuard.

systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0

Vérifiez que tout fonctionne.

wg show

Cette commande affiche l’état de l’interface WireGuard. Vous devez voir le serveur en écoute sur le port 51820 avec les deux peers configurés.

Étape 7 : ouvrir le port WireGuard sur le firewall Infomaniak

C’est une étape critique qui peut bloquer toute la configuration. Si vous ne l’effectuez pas, votre VPN ne se connectera pas.

Chez Infomaniak, en plus du firewall système (iptables), il existe un firewall au niveau du panneau d’administration. Ce firewall bloque par défaut le port utilisé par WireGuard.

Accéder au firewall Infomaniak

Connectez-vous à votre espace d’administration Infomaniak. Accédez à la section de gestion de votre VPS. Recherchez les paramètres de firewall ou de sécurité réseau.

Ajouter la règle pour WireGuard

Créez une nouvelle règle avec les paramètres suivants.

Type — UDP

Port — 51820

Source (IP/Hôte) — 0.0.0.0/0 (ou laissez vide pour accepter toutes les sources)

Description — WireGuard VPN

Statut — Activé

Enregistrez la règle. Le changement est généralement appliqué immédiatement.

Pourquoi cette étape est indispensable pour créer un VPN ?

Sans cette règle, le firewall Infomaniak bloque les paquets UDP sur le port 51820 avant même qu’ils n’atteignent votre serveur. WireGuard utilise exclusivement le protocole UDP. Si ce port est bloqué, la connexion VPN est tout simplement impossible.

Si vous utilisez un autre hébergeur, vérifiez également qu’un firewall externe ne bloque pas le port 51820 en UDP.

Étape 8 : configurer le client WireGuard sur votre ordinateur Windows

Télécharger le client WireGuard

Rendez-vous sur le site officiel de WireGuard à l’adresse wireguard.com. Téléchargez le client pour Windows. Installez-le en suivant les instructions.

Créer la configuration du tunnel

Ouvrez l’application WireGuard. Cliquez sur « Ajouter un tunnel » puis « Ajouter un tunnel vide » (ou utilisez le raccourci Ctrl+N).

Remplacez le contenu par la configuration suivante.

[Interface]
PrivateKey = [CONTENU DE client_private.key]
Address = 10.0.0.2/24
DNS = 1.1.1.1, 9.9.9.9

[Peer]
PublicKey = [CONTENU DE server_public.key]
Endpoint = [ADRESSE_IP_DE_VOTRE_SERVEUR]:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Donnez un nom à votre tunnel, par exemple « Mon-VPN ». Cliquez sur « Enregistrer ».

Comprendre la configuration client

L’adresse 10.0.0.2 correspond à l’IP assignée à votre ordinateur dans le réseau VPN. Les DNS 1.1.1.1 (Cloudflare) et 9.9.9.9 (Quad9) sont des serveurs DNS respectueux de la vie privée. Vous pouvez les remplacer par d’autres si vous préférez.

Le paramètre AllowedIPs = 0.0.0.0/0 signifie que tout votre trafic internet passe par le VPN. Le PersistentKeepalive maintient la connexion active en envoyant un paquet toutes les 25 secondes.

Activer le VPN

Cliquez sur « Activer » dans l’application WireGuard. La connexion s’établit en quelques secondes.

Vérifier que le VPN fonctionne

Ouvrez votre navigateur et allez sur le site ipleak.net. Votre adresse IP affichée doit être celle de votre serveur VPS, et non celle de votre box internet.

Vérifiez également que vos requêtes DNS ne fuient pas. Le site ipleak.net affiche les serveurs DNS utilisés. Vous devez voir les serveurs que vous avez configurés (Cloudflare ou Quad9), et non ceux de votre fournisseur d’accès internet.

Étape 9 : créer un VPN sur Android

Installer l’application Wireguard

Ouvrez le Google Play Store sur votre smartphone Android. Recherchez « WireGuard » et installez l’application officielle développée par WireGuard.

Générer le QR code depuis le serveur

La méthode la plus simple pour transférer la configuration sur votre smartphone est d’utiliser un QR code. Revenez sur votre serveur en SSH.

Installez l’outil de génération de QR codes.

apt install qrencode -y

Créez le fichier de configuration pour le smartphone.

nano /etc/wireguard/smartphone.conf

Collez le contenu suivant.

[Interface]
PrivateKey = [CONTENU DE smartphone_private.key]
Address = 10.0.0.3/24
DNS = 1.1.1.1, 9.9.9.9

[Peer]
PublicKey = [CONTENU DE server_public.key]
Endpoint = [ADRESSE_IP_DE_VOTRE_SERVEUR]:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Générez le QR code dans le terminal.

qrencode -t ansiutf8 < /etc/wireguard/smartphone.conf

Un QR code s’affiche directement dans votre terminal.

Scanner le QR code

Ouvrez l’application WireGuard sur votre smartphone. Appuyez sur le bouton « + » pour ajouter un tunnel. Sélectionnez « Scanner depuis un QR code ». Scannez le QR code affiché dans votre terminal.

Donnez un nom au tunnel et activez la connexion.

Supprimer le fichier de configuration sensible

Une fois le QR code scanné, supprimez le fichier de configuration du smartphone qui contient la clé privée.

rm /etc/wireguard/smartphone.conf

Vérifier la connexion sur smartphone

Ouvrez le navigateur de votre smartphone et allez sur ipleak.net. Vérifiez que l’adresse IP affichée est bien celle de votre serveur VPS.

Étape 10 : Sécuriser et optimiser votre VPN

Configurer le firewall du serveur avec iptables

Ajoutez des règles de firewall sur votre serveur pour renforcer la sécurité.

# Autoriser le trafic SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# Autoriser le trafic WireGuard
iptables -A INPUT -p udp --dport 51820 -j ACCEPT

# Autoriser le trafic établi
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Autoriser le loopback
iptables -A INPUT -i lo -j ACCEPT

# Bloquer tout le reste
iptables -A INPUT -j DROP

Pour rendre ces règles persistantes après un redémarrage, installez iptables-persistent.

apt install iptables-persistent -y
netfilter-persistent save

Choisir des DNS respectueux de la vie privée

Les DNS que vous configurez dans vos clients WireGuard déterminent qui peut voir les sites que vous visitez. Voici les options les plus fiables.

Quad9 (9.9.9.9) est une fondation suisse à but non lucratif. Quad9 ne conserve aucune donnée personnelle et bloque les domaines malveillants.

Cloudflare (1.1.1.1) s’engage à ne pas vendre vos données et à supprimer les logs DNS dans les 24 heures. C’est l’un des résolveurs DNS les plus rapides au monde.

Mullvad DNS (100.64.0.2) est fourni par Mullvad VPN. Il ne conserve aucun log et bloque les publicités et trackers.

Vous pouvez combiner deux fournisseurs différents dans la configuration de vos clients pour plus de résilience.

Surveiller les connexions

À tout moment, vous pouvez vérifier l’état de votre VPN depuis le serveur.

wg show

Cette commande affiche les peers connectés, la quantité de données échangées et la date du dernier handshake. Si un handshake date de plus de quelques minutes alors que vous êtes connecté, il y a probablement un problème.

Ce que votre VPN personnel ne fait pas

Créer un VPN personnel améliore considérablement votre vie privée en ligne. Mais il est important de comprendre ses limites.

Votre VPN ne vous rend pas anonyme. Votre hébergeur connaît votre identité puisque vous avez payé le serveur. En cas de réquisition judiciaire suisse (dans le cas d’Infomaniak), vos données pourraient théoriquement être transmises.

Votre VPN ne protège pas contre le fingerprinting de votre navigateur. Les sites web peuvent vous identifier par les caractéristiques uniques de votre navigateur, votre résolution d’écran, vos polices installées et d’autres paramètres.

Votre VPN ne remplace pas de bonnes pratiques de sécurité. Utilisez des mots de passe forts. Activez l’authentification à deux facteurs partout où c’est possible. Maintenez vos logiciels à jour.

Si vous avez besoin d’un anonymat plus poussé, tournez-vous vers le réseau Tor. Pour une utilisation quotidienne visant à protéger votre vie privée, votre VPN personnel est la solution idéale.

Résumé des coûts pour créer un VPN

Voici ce que coûte un VPN personnel avec la configuration décrite dans ce guide.

Le VPS Infomaniak coûte 3,60 € TTC par mois. Le logiciel WireGuard est gratuit et open source. Le client WireGuard pour Windows est gratuit. L’application WireGuard pour Android est gratuite.

Le coût total est donc de 3,60 € par mois. C’est comparable ou inférieur à la plupart des VPN commerciaux, avec un contrôle total sur vos données.

Créer un VPN personnel, un geste de souveraineté numérique

Créer un VPN personnel demande environ une heure de configuration. Une fois en place, il fonctionne de manière transparente sur tous vos appareils. Vous profitez d’une connexion chiffrée sans dépendre d’un tiers de confiance.

La démarche va au-delà de la simple protection de la vie privée. C’est un acte de souveraineté numérique. Vous reprenez le contrôle sur vos données de navigation. Vous comprenez comment fonctionne la technologie que vous utilisez. Et vous ne faites plus confiance aveuglément à une entreprise pour protéger votre vie privée.

WireGuard rend cette démarche accessible à tous. Le protocole est simple, rapide et sécurisé. Combiné à un hébergeur suisse comme Infomaniak, vous disposez d’une infrastructure de protection de la vie privée solide pour moins de 4 euros par mois.

Lire plus d’articles sur DigiTechnologie :
– Le basculement de Windows vers Linux, cliquez-ici
– Les cyberattaques via injection de prompt, cliquez-ici
– Émuler un passe de parking avec le Flipper Zero, cliquez-ici

Tags: