Split Tunneling VPN en 2026 : le contrôle granulaire
Tous les utilisateurs VPN finissent par se poser la même question : “Pourquoi mon app bancaire ne marche plus quand mon VPN est activé ?” ou “Comment garder ma vitesse maximale sur Steam tout en protégeant le reste ?”. La réponse s’appelle split tunneling — une fonctionnalité présente dans tous les VPN premium qui vous permet de choisir, app par app, ce qui passe par le tunnel VPN et ce qui passe en direct.
Cet article explique en profondeur, montre la configuration sur les 5 VPN principaux, et clarifie les cas d’usage + les limites (notamment iOS impossible).
Le split tunneling : 3 modes, 1 principe
Le principe de base
Sans split tunneling, c’est tout ou rien :
- VPN OFF → tout passe par votre FAI direct
- VPN ON → tout passe par le tunnel VPN
Avec split tunneling, vous choisissez par app :
- App A (ex: Netflix) → VPN
- App B (ex: banque) → direct
- App C (ex: Steam) → direct
- App D (ex: navigateur) → VPN
Une seule connexion Internet, mais routage différencié selon l’app.
Mode 1 — Classic / Blacklist (apps exclues)
Configuration : “Toutes les apps passent par VPN sauf celles dans la liste”.
Cas d’usage : usage VPN par défaut, mais exclure quelques apps spécifiques (banque, jeu compétitif, app domotique locale).
Mode 2 — Inverse / Whitelist (apps incluses)
Configuration : “Aucune app ne passe par VPN sauf celles dans la liste”.
Cas d’usage : usage Internet normal par défaut, mais router une app spécifique via VPN (ex: uTorrent uniquement).
Mode 3 — URL-based (par site web)
Configuration : routage par domaine (netflix.com via VPN, banque.com en direct).
Avantage : granularité au-delà de l’app (utile pour navigateur web qui visite plein de sites).
Disponible sur : Surfshark Bypasser (URL), ExpressVPN (limité), pas chez tous.
Les 5 cas d’usage killer
1. Banking — éviter l’alerte fraude
Le problème : votre banque détecte connexion depuis IP étrangère (VPN US, UK, Suisse) → alerte anti-fraude → compte bloqué temporairement → appel obligatoire pour débloquer.
La solution split tunneling : exclure l’app bancaire du VPN. Elle continue à se connecter via votre IP française, sans déclencher l’alerte.
Configuration NordVPN exemple :
- App NordVPN > Paramètres > Split Tunneling
- Désactiver VPN pour les apps sélectionnées
- Ajouter
MaBanqueApp.exe(Windows) ou app mobile bancaire - Sauvegarder
2. Gaming compétitif — latence minimale
Le problème : VPN ajoute 5-15 ms de latence. Critique en FPS competitive (Valorant, Warzone, CS, Apex).
La solution : exclure le jeu du VPN (ping minimal) tout en gardant VPN + Threat Protection sur le reste (navigateur, Discord, Steam download).
Bonus : pour streamers, garder VPN actif sur OBS (anti-DDoS) tout en excluant le jeu pour ping.
3. Streaming sélectif — choix par service
Le problème : vous voulez Netflix US (VPN US) MAIS Disney+ France sans VPN (catalogue local) MAIS Spotify direct.
La solution : split tunneling URL-based ou app-based :
netflix.com→ VPN USdisneyplus.com→ direct- App Spotify → direct
- App Chrome → VPN US par défaut
4. Réseau local — imprimante, Chromecast, NAS
Le problème : VPN actif → impossible d’imprimer (l’imprimante locale n’est plus sur “votre” réseau du point de vue du PC), Chromecast inaccessible, NAS Synology coupé.
La solution : split tunneling exclut app imprimante + navigateur Chromecast + app NAS → accès local rétabli + VPN actif sur le reste.
5. P2P sélectif — VPN uniquement sur torrent
Le problème : vous téléchargez via qBittorrent (besoin VPN obligatoire pour Hadopi/BREIN) mais vous voulez vitesse max sur le navigateur normal.
La solution inverse split tunneling : whitelist qBittorrent.exe → seul le torrent passe par VPN. Navigateur, Steam, Spotify directs.
Avantage : kill switch protège uniquement qBittorrent (si VPN tombe, qBittorrent stoppe). Le reste continue normalement.
Avertissement iOS : impossible techniquement
Sandboxing Apple : iOS interdit aux apps VPN de gérer le routage par application. C’est une limite OS, pas un manque des VPN.
Tous les VPN ont la même limitation :
- ❌ NordVPN iOS : pas de split tunneling
- ❌ ExpressVPN iOS : pas de split tunneling
- ❌ Surfshark iOS : pas de split tunneling
- ❌ CyberGhost iOS : pas de split tunneling
- ❌ PureVPN iOS : pas de split tunneling
Workarounds iOS :
- VPN routeur : router toute la maison via VPN, exclure manuellement IoT/TV via DNS overrides
- Multi-profils VPN : créer 2 profils dans réglages iOS (one ON / one OFF), basculer manuellement
- App-based routing via Shortcuts iOS (très technique, peu fiable)
Sur Android, Mac, Windows, Linux : split tunneling fonctionne (avec quelques restrictions Mac).
Limites par OS
| OS | Split Tunneling | Notes |
|---|---|---|
| Windows | ✅ Complet | Tous VPN supportent |
| Android | ✅ Complet | Tous VPN supportent |
| macOS | ⚠️ Limité | Apple restreint depuis 2020. NordVPN, Surfshark partiel. ExpressVPN abandonné Mac split tunneling Big Sur+. |
| iOS / iPadOS | ❌ Impossible | Sandboxing OS interdit |
| Linux | ✅ CLI | NordVPN, Surfshark CLI |
| Routeur | ⚠️ Selon firmware | OpenWrt, AsusWRT-Merlin OK, basique routeur ISP non |
Setup pas à pas par VPN
NordVPN — Split Tunneling complet
Windows / Android :
- App NordVPN > Paramètres (icône engrenage)
- Split Tunneling
- Activer
- Choisir mode :
- Désactiver VPN pour les apps sélectionnées (blacklist)
- Activer VPN uniquement pour les apps sélectionnées (whitelist)
- Ajouter applications depuis liste
- Sauvegarder
macOS : Split tunneling NordVPN limité depuis Big Sur (Apple restrictions). Fonctionne pour apps majeures.
Surfshark Bypasser — flexible
Windows / Android :
- App Surfshark > Paramètres > Bypasser
- Choisir mode :
- Bypass VPN (apps exclues)
- Route via VPN (apps incluses uniquement)
- App-based (sélectionner par app installée)
- OU URL-based (par domaine — ex: bypass
banque.com) - Sauvegarder
Avantage Surfshark : URL-based natif (rare), connexions illimitées (utile en split family).
ExpressVPN — Split Tunneling
Windows :
- App ExpressVPN > Hamburger menu > Options
- Onglet General > Split Tunneling > Activer
- Settings :
- Do not allow selected apps to use the VPN (blacklist)
- Only allow selected apps to use the VPN (whitelist)
- Sélectionner apps
- OK
macOS : ExpressVPN a désactivé split tunneling sur Mac depuis Big Sur (limites Apple).
Android : disponible.
CyberGhost Smart Rules
CyberGhost utilise Smart Rules (plus avancées qu’un simple split tunneling) :
- App CyberGhost > Smart Rules
- Onglet Application Protection
- Ajouter app + choisir comportement (toujours via VPN, jamais via VPN, demander)
- Onglet Wi-Fi Protection : règles par réseau Wi-Fi (ex: VPN auto sur Wi-Fi café, OFF sur Wi-Fi maison)
- Sauvegarder
PureVPN Split Tunneling
Windows / Android :
- App PureVPN > Paramètres > Split Tunneling
- Activer
- Inverse split tunneling disponible
- Ajouter apps
- Sauvegarder
Note : PureVPN split tunneling plus basique que NordVPN/Surfshark mais fonctionnel.
Stratégies par profil utilisateur
Profil “Banking + streaming”
Setup recommandé :
- VPN par défaut (Threat Protection, Wi-Fi public sécurisé)
- Exclure : app bancaire mobile, BankID/MitID/eID si Nordics, app trading
- Inclure VPN : Netflix, navigateur, Discord, Spotify, etc.
VPN reco : NordVPN (split clair).
Profil “Gamer compétitif streamer”
Setup recommandé :
- VPN par défaut (anti-DDoS pour OBS streaming)
- Exclure : Valorant.exe, Warzone.exe, fortnite.exe, csgo.exe (latence)
- Inclure VPN : OBS, Discord, navigateur, Steam download
- Bonus : IP dédiée pour éviter Vanguard flag
VPN reco : NordVPN avec IP dédiée.
Profil “P2P privacy paranoïaque”
Setup recommandé :
- VPN OFF par défaut (vitesse maximale navigation)
- Inverse split tunneling : whitelist UNIQUEMENT qBittorrent.exe
- Kill switch app-level sur qBittorrent
- Si VPN tombe → qBittorrent stoppe (IP P2P jamais exposée)
VPN reco : Surfshark Bypasser (whitelist mode clair).
Profil “Famille multi-utilisateurs”
Setup recommandé :
- VPN sur PC parents (split par app)
- VPN routeur Wi-Fi maison (toute la famille couverte)
- Smart DNS sur TV/console (4K)
- Apps enfants (Roblox, Minecraft) restent VPN protégées
VPN reco : Surfshark (illimité famille) + Bypasser.
Limites et risques à connaître
Risque #1 — Apps exclues exposées
Apps exclues du VPN = trafic en clair, IP réelle visible. Si vous excluez par erreur une app sensible sur Wi-Fi public, vol données possible.
Solution : ne JAMAIS exclure : navigateur principal, app email, app messenger sensible. Exclure uniquement apps à fonction limitée (jeu, banking app sandbox).
Risque #2 — DNS leak côté apps exclues
Apps exclues peuvent leaker DNS vers votre FAI même si VPN actif sur le reste. Votre FAI voit “Utilisateur a résolu pornhub.com” même si le navigateur passe par VPN.
Solution : tester avec notre outil fuite DNS après setup. Forcer DNS Cloudflare 1.1.1.1 / Quad9 9.9.9.9 si fuite détectée.
Risque #3 — Kill switch ne protège QUE le VPN
Le kill switch coupe Internet pour les apps qui passent par VPN si tunnel tombe. Apps exclues continuent normalement — elles n’ont jamais été dans le tunnel.
Conséquence : si vous mettez qBittorrent en exclu (par erreur) et VPN tombe, qBittorrent continue avec votre IP réelle exposée → ARCOM/Hadopi peut identifier.
Solution : qBittorrent toujours en inclu / VPN-only (whitelist mode), jamais exclu.
Risque #4 — Confusion mode classic vs inverse
Mode classic (apps exclues) : VPN par défaut. Mode inverse (apps incluses) : direct par défaut.
Erreur fréquente : penser être en classic alors qu’on est en inverse → trafic principal en clair sans le savoir.
Solution : toujours vérifier après setup sur whatismyip — si IP réelle visible alors qu’on pense que VPN actif, c’est une fuite.
Tableau comparatif final
| VPN | Windows | Mac | Android | iOS | Linux | URL-based | Mode whitelist |
|---|---|---|---|---|---|---|---|
| NordVPN | ✅ | ⚠️ | ✅ | ❌ | ✅ CLI | ❌ | ✅ |
| Surfshark Bypasser | ✅ | ⚠️ | ✅ | ❌ | ✅ CLI | ✅ | ✅ |
| ExpressVPN | ✅ | ❌ Big Sur+ | ✅ | ❌ | ⚠️ Aircove | ⚠️ | ✅ |
| CyberGhost Smart Rules | ✅ | ⚠️ | ✅ | ❌ | ❌ | ⚠️ | ✅ |
| PureVPN | ✅ | ⚠️ | ✅ | ❌ | ⚠️ | ❌ | ✅ |
Ce qu’il NE faut PAS faire
- ❌ Exclure le navigateur principal du VPN sur Wi-Fi public — risque sniffing
- ❌ Penser que le kill switch protège tout — il ne protège QUE le tunnel VPN
- ❌ Exclure qBittorrent par erreur en mode classic — IP P2P exposée immédiatement
- ❌ Compter sur split tunneling iOS — ça n’existe pas, sandboxing
- ❌ Setup split tunneling sans tester ensuite — toujours vérifier IP/DNS leak après config
Stack sécurité complémentaire
Split tunneling est un outil de flexibilité, pas un substitut aux protections de base :
- Kill switch activé sur tunnel VPN
- DNS leak protection activée
- WebRTC blocked sur navigateur
- 2FA partout (Google Authenticator)
- NordPass mots de passe forts uniques
Verdict
Pour 95 % des utilisateurs : prenez NordVPN à 3,09 €/mois. Split tunneling complet (Windows, Android, Linux, Mac partiel), apps faciles, modes clairs.
Pour URL-based avancé : Surfshark Bypasser — split par domaine + apps + connexions illimitées.
Pour règles par Wi-Fi (auto) : CyberGhost Smart Rules — VPN auto sur cafés, OFF maison.
Premium tech : ExpressVPN — Lightway + split Windows/Android stable.
Budget : PureVPN à 1,99 €/mois — split basique fonctionnel.
Setup standard recommandé :
- NordVPN par défaut tout passe via VPN
- Exclure : app bancaire mobile, jeu compétitif, app imprimante locale
- Tester sur whatismyip (apps incluses = IP NordVPN, apps exclues = IP réelle)
- Vérifier zero DNS leak
Voir aussi : WireGuard vs OpenVPN, Kill switch VPN, Fuite DNS, Smart DNS vs VPN, Tor vs VPN.