Guide : Comprendre et utiliser un VPN en Afrique

Pourquoi comprendre le Dark Web (et pas seulement en avoir peur) ?

Le Dark Web n’est pas qu’un repaire criminel : c’est aussi l’environnement utilisé par les journalistes, lanceurs d’alerte, dissidents et utilisateurs en pays autoritaires. Pour un professionnel de la cybersécurité au Sénégal, comprendre Tor permet (1) de surveiller si vos identifiants entreprise apparaissent sur des marchés noirs (credential stuffing), (2) de détecter si votre marque est usurpée, et (3) d’évaluer l’exposition réelle après une fuite. La connaissance vaut mieux que l’évitement.

Le VPN : votre tunnel sécurisé sur internet

Un VPN (Virtual Private Network) crée un tunnel chiffré entre votre appareil et un serveur distant. Tout votre trafic internet passe par ce tunnel, invisible pour votre FAI, votre employeur ou les hackers sur le même Wi-Fi.

Comment fonctionne un VPN

1. Votre appareil chiffre tout le trafic internet
2. Le trafic chiffré est envoyé au serveur VPN
3. Le serveur VPN déchiffre et transmet la requête au site web
4. La réponse revient par le même tunnel chiffré

Types de VPN

Type	Usage	Exemples
VPN personnel	Protection individuelle	NordVPN, ProtonVPN, Mullvad
VPN d’entreprise	Accès distant au réseau interne	OpenVPN, WireGuard, Cisco AnyConnect
VPN site-à-site	Connecter 2 bureaux	IPSec, OpenVPN

Choisir un VPN personnel

Critères essentiels

• Politique no-log : le fournisseur ne conserve pas vos données
• Chiffrement : AES-256 ou WireGuard
• Vitesse : impact minimal sur votre connexion
• Serveurs en Afrique : pour une meilleure latence
• Kill switch : coupe internet si le VPN se déconnecte

VPN gratuits recommandés

• ProtonVPN : gratuit sans limite de données (vitesse limitée), basé en Suisse
• Windscribe : 10 Go/mois gratuit

Configurer un VPN d’entreprise avec WireGuard

Ce qu’un VPN ne fait PAS

Exercice pratique

Erreurs fréquentes (Dark Web)

1. Confondre Deep Web et Dark Web

Cause : on parle de « Dark Web » pour désigner toute page non-indexée par Google. C’est faux : le Deep Web (90 % du web) inclut votre webmail, votre intranet, votre Drive — pas illégal. Le Dark Web nécessite un client spécifique (Tor, I2P) pour les domaines .onion.

Solution : Surface Web (Google indexable) → Deep Web (auth requise) → Dark Web (Tor/I2P). Trois couches distinctes.

2. Visiter le Dark Web depuis un PC quotidien

Cause : on installe Tor Browser sur son PC habituel « par curiosité ». L’OS conserve des traces (cache, logs, plugins), et un site malveillant peut exploiter une faille du navigateur.

Solution : utilisez Tails OS (live USB amnésique, conçu pour cela) ou une VM isolée (Whonix). Jamais depuis le PC quotidien.

3. Acheter quoi que ce soit sur le Dark Web

Cause : 80 % des marchés Dark Web sont des arnaques (paiement Bitcoin sans livraison) ou des opérations sous couverture des forces de l’ordre. Les arrestations massives (Operation Bayonet, SpecTor) ont révélé ces opérations.

Solution : ne JAMAIS rien acheter sur le Dark Web. Outre l’illégalité (loi 2008-11 sénégalaise), vous risquez extorsion, malware, ou poursuites internationales.

4. Penser que Tor garantit l’anonymat absolu

Cause : Tor masque votre IP, mais ne masque pas votre comportement (style d’écriture, fuseau horaire, métadonnées EXIF des photos). Les corrélations traffic analysis + erreurs OPSEC ont fait tomber de nombreux utilisateurs.

Solution : si l’anonymat est critique (journaliste, lanceur d’alerte), formez-vous sérieusement à l’OPSEC : Tails + comptes dédiés + jamais d’info personnelle + accès depuis WiFi public anonyme.

5. Surveillance Dark Web sans outil dédié

Cause : on tente de fouiller manuellement les forums pour vérifier si la marque est exposée. Inefficace, dangereux, et chronophage.

Solution : utilisez des services de Dark Web monitoring : HIBP (gratuit, breaches), Recorded Future, ou Searchlight Cyber (entreprise).

Pour creuser ce sujet (vraies ressources Dark Web)

• Le chiffrement de bout en bout expliqué — base technique de Tor.
• Protéger vos données personnelles en ligne — pour limiter l’exposition.
• Créer des mots de passe inviolables — premier rempart contre le credential stuffing.
• Détecter et éviter les arnaques en ligne — beaucoup d’arnaques s’achètent sur les marchés Dark Web.
• Référence officielle : The Tor Project et Tails OS (recommandé Snowden).
• Surveillance fuites : Have I Been Pwned et Flare (essai entreprise).

Étape 1 — Définir votre cas d’usage réel avant de payer

Un VPN n’est pas un produit magique : c’est un tunnel chiffré qui déplace votre point de sortie sur Internet. Avant de souscrire, posez votre besoin par écrit. Trois profils dominent en Afrique de l’Ouest francophone : le freelance dakarois qui doit accéder à un Stripe ou un Wise réservé à l’Europe, le développeur abidjanais qui veut un débit stable malgré les coupures Orange/MTN ou Mixx by Yas, et le journaliste ou activiste qui a besoin d’anonymat réel face à une coupure réseau ordonnée par l’État.

Chaque profil impose un VPN différent. Pour le premier, prenez un fournisseur avec serveurs en France ou aux Pays-Bas. Pour le deuxième, privilégiez un protocole moderne (WireGuard) et des serveurs proches (Casablanca, Marseille, Johannesburg). Pour le troisième, exigez un audit indépendant récent et la juridiction hors-cinq-yeux.

Étape 2 — Comparer les fournisseurs sur des critères vérifiables

Ignorez les classements YouTube sponsorisés. Les seuls critères qui comptent en 2026 sont : protocole WireGuard natif, kill switch fonctionnel, audit no-logs publié dans les 24 derniers mois, paiement crypto ou Mobile Money accepté, et pas de DNS leak. Voici un tarif réaliste sur 24 mois (1 EUR = 655,957 FCFA) :

Mullvad        : 5 EUR/mois fixe (3280 FCFA)  -- audit 2024, paiement cash possible
Proton VPN Plus: 4,50 EUR/mois sur 24 mois    -- siege Suisse
IVPN Pro       : 6 USD/mois (3700 FCFA)       -- audit 2025
NordVPN        : 3,40 USD/mois sur 24 mois    -- audit 2024 PwC

Évitez les « VPN gratuits » : leur modèle économique repose sur la revente des données ou l’injection de publicités. Si votre budget est de zéro, montez plutôt votre propre serveur WireGuard sur un VPS Hetzner à 4,51 EUR par mois (étape 8).

Étape 3 — Installer le client sur Windows 11

Téléchargez l’installeur officiel directement depuis le site du fournisseur, jamais depuis un agrégateur. Vérifiez la signature SHA-256 si elle est publiée. Lancez l’installation puis ouvrez une invite PowerShell pour confirmer que le service tourne.

Get-Service -Name "WireGuardTunnel*"
ipconfig /all | findstr "Tunnel"

Vous devez voir un statut « Running » et une nouvelle interface réseau de type Tunnel avec une adresse IP en 10.x ou 100.x. Si rien n’apparaît, le service n’a pas démarré : redémarrez la machine puis ré-ouvrez le client.

Activez ensuite, dans les paramètres du client, deux options non négociables : « Kill switch » et « DNS du fournisseur ». La première coupe Internet si le tunnel tombe, la deuxième empêche votre FAI de voir vos requêtes DNS.

Étape 4 — Configurer Android sans drainer la batterie

Sur un Tecno, un Itel ou un Samsung milieu de gamme courant à Dakar ou Bamako, l’application officielle suffit. Installez-la depuis le Play Store, connectez-vous, choisissez le serveur le plus proche (Casablanca pour l’Afrique de l’Ouest, Paris en deuxième choix), puis activez le mode « Always-on VPN » dans les paramètres système.

Paramètres > Réseau et Internet > VPN > [votre VPN] > engrenage
> Activer "Toujours actif" + "Bloquer connexions sans VPN"

Vous devez voir une icône de clé permanente dans la barre d’état. Si la batterie chute brutalement, basculez le protocole sur WireGuard (rubrique « Protocole » dans l’app) : il consomme 30 à 40 % de moins qu’OpenVPN. Vérifiez l’autonomie sur 24 heures avant de juger.

Étape 5 — Tester l’absence de fuite DNS et IPv6

Un VPN actif n’est utile que si rien ne fuit. Trois tests en deux minutes suffisent. Ouvrez successivement, dans le navigateur connecté au tunnel : https://ipleak.net, https://dnsleaktest.com (lancez le « Extended test »), https://ipv6-test.com.

Vous devez voir, sur ipleak.net, une seule adresse IP correspondant à votre serveur VPN, et aucune mention de votre vraie IP fournie par Sonatel, Orange CI ou Moov. Sur dnsleaktest, tous les serveurs DNS doivent appartenir au fournisseur VPN. Si votre FAI apparaît, modifiez les DNS dans le client (réglages avancés) ou désactivez l’IPv6 dans Windows.

# Désactiver IPv6 sur Windows
Disable-NetAdapterBinding -Name "Ethernet" -ComponentID ms_tcpip6

Étape 6 — Contourner les coupures réseau locales

En cas de blocage de WhatsApp, Signal ou Telegram décidé par un opérateur (situation rencontrée au Sénégal en juin 2023, au Niger en juillet 2023, au Tchad plus récemment), un VPN classique peut lui-même être bloqué par DPI (deep packet inspection). Activez alors un protocole d’obfuscation : « Stealth » chez Proton, « Bridges » chez Mullvad, « Obfuscated servers » chez NordVPN.

Si tous les ports sortants sont fermés sauf 443 (HTTPS), forcez votre VPN à utiliser ce port. Sur WireGuard ce n’est pas natif : passez sur OpenVPN TCP/443 le temps de la coupure, le débit baissera mais la connexion passera.

Étape 7 — Installer le VPN au niveau du routeur

Un routeur compatible (Asus AX55 vendu autour de 110 EUR, MikroTik hAP ax² à 80 EUR) protège tous les appareils du foyer ou du bureau d’un coup, y compris la TV connectée et la console. Sur un Asus, allez dans VPN > VPN Client, importez le fichier .conf WireGuard fourni par votre VPN, puis activez la règle.

Vous devez voir, en haut à droite de l’interface, une icône WireGuard verte et une nouvelle entrée dans Logs > General Log mentionnant « handshake completed ». Testez ensuite depuis n’importe quel appareil connecté en Wi-Fi : votre IP publique sur ipleak.net doit être celle du serveur VPN.

Étape 8 — Monter votre propre VPN WireGuard sur VPS

Pour 4,51 EUR par mois (environ 2960 FCFA) chez Hetzner CX22 ou 5,17 USD chez Vultr, vous avez votre propre serveur, sans logs par construction. Provisionnez un Ubuntu 24.04 LTS, puis exécutez :

curl -O https://raw.githubusercontent.com/angristan/wireguard-install/master/wireguard-install.sh
chmod +x wireguard-install.sh
sudo ./wireguard-install.sh

Le script vous pose cinq questions (port, DNS, nom du client). À la fin, vous obtenez un QR code à scanner depuis l’app WireGuard mobile, ou un fichier .conf à importer sur Windows. Vous devez voir, en moins d’une minute, votre client connecté avec une latence de 30 à 80 ms vers Frankfurt.

Limite à connaître : un seul utilisateur par profil, débit borné par votre VPS (1 Gbps mutualisé chez Hetzner, largement suffisant pour usage perso).

Étape 9 — Auditer mensuellement et renouveler

Un VPN se contrôle comme tout autre service de sécurité. Chaque début de mois, vérifiez trois points : le fournisseur a-t-il publié un transparency report récent, la version du client est-elle à jour, et un test ipleak.net + dnsleaktest passe-t-il toujours sans fuite. Mettez aussi à jour votre serveur si vous l’avez monté vous-même :

sudo apt update && sudo apt upgrade -y
sudo systemctl restart wg-quick@wg0
sudo wg show

La commande wg show doit afficher chaque pair avec un « latest handshake » récent (moins de 3 minutes). Pour approfondir, lisez notre guide pour installer WireGuard sur un VPS pas à pas ou notre comparatif des VPN adaptés à l’Afrique francophone. Votre VPN n’a de valeur que si vous le testez : ne le laissez jamais en pilote automatique.