Un Raspberry Pi Zero W, une carte SD de 16 Go, et quarante euros tout rond : c’est tout ce qu’il m’a fallu pour arrêter de faire confiance à des VPN commerciaux dont je ne saurais jamais vraiment ce qu’ils font de mes données. Héberger son propre serveur VPN à la maison, c’est techniquement accessible, et le résultat dépasse largement ce qu’on imagine au départ.
À retenir
- Un Raspberry Pi Zero W et 40 € suffisent pour héberger un serveur VPN personnel fonctionnel
- WireGuard offre une sécurité supérieure à OpenVPN avec une installation simplifiée par PiVPN
- Contrairement aux VPN commerciaux, vous contrôlez totalement vos données et la chaîne de confiance
Pourquoi se donner cette peine quand les VPN payants existent ?
La question est légitime. Les services VPN commerciaux pullulent, avec leurs promesses de « zéro log » et leurs prix agressifs. Sauf que « zéro log », ça reste une promesse marketing. Vous ne vérifiez pas. Vous faites confiance. Et la confiance aveugle en matière de vie privée numérique, c’est une posture un peu fragile.
Avec un serveur maison, la chaîne de confiance se réduit à vous-même, votre FAI, et votre routeur. Ce n’est pas la parfaite anonymisation façon James Bond, mais pour chiffrer sa connexion depuis un café, accéder à son réseau domestique en déplacement, ou simplement garder la main sur ses données de navigation, c’est redoutablement efficace. En bonus : zéro abonnement mensuel à renouveler.
Le matériel et la logique de l’installation
Le boîtier en question, c’est un mini-ordinateur ARM sous Linux, le genre de chose qu’on trouve facilement pour une quarantaine d’euros selon les modèles et les boutiques spécialisées. Un Raspberry Pi suffit amplement, mais n’importe quel petit SBC (Single Board Computer) avec une puce Wi-Fi fait l’affaire. L’idée est simple : cette machine tourne 24h/24 chez vous, consomme quelques watts (autour de 2 à 5W selon le modèle), et sert de point d’entrée chiffré vers votre réseau domestique depuis n’importe où dans le monde.
La solution logicielle la plus accessible aujourd’hui, c’est WireGuard. Oubliez OpenVPN si vous débutez : WireGuard est plus rapide, plus simple à configurer, et son code source est tellement compact qu’il a été audité bien plus facilement que ses concurrents. Il est intégré au noyau Linux depuis 2020, ce qui n’est pas anodin pour un projet de sécurité.
Pour ne pas se battre avec les fichiers de configuration à la main, il existe des scripts d’installation automatisée (PiVPN étant le plus connu) qui transforment l’opération en quelques questions/réponses dans un terminal. Même sans être développeur, on s’en sort.
Les étapes concrètes, sans mystère
Première chose : flasher une image Linux légère sur votre carte SD. Raspberry Pi OS Lite (sans interface graphique) est parfaitement adapté. On branche le boîtier, on se connecte en SSH depuis son ordinateur principal, et on commence.
Mettre à jour le système en premier :
sudo apt update && sudo apt upgrade -yEnsuite, lancer l’installateur PiVPN avec une seule commande :
curl -L https://install.pivpn.io | bashL’assistant vous guide : choix du protocole (WireGuard), numéro de port, configuration DNS. Comptez quinze à vingt minutes pour un utilisateur calme. Une fois installé, ajouter un profil client se fait avec :
pivpn addÇa génère un fichier de configuration (ou un QR code, pratique pour les mobiles) que vous importez dans l’application WireGuard sur votre téléphone ou votre laptop. Dernier point technique incontournable : la redirection de port sur votre box. Vous devez indiquer à votre routeur que les connexions entrantes sur le port WireGuard (par défaut UDP 51820) doivent être redirigées vers l’adresse locale de votre boîtier. Chaque FAI a son interface, mais la manipulation reste la même partout.
Petit piège classique : l’adresse IP publique de votre box change régulièrement. Pour s’y connecter depuis l’extérieur sans avoir à la chercher à chaque fois, un service de DNS dynamique (DuckDNS est gratuit et fonctionne très bien) associe un nom de domaine fixe à votre adresse changeante. Cinq minutes de configuration, un cron job pour mettre à jour l’adresse automatiquement, et le problème disparaît.
Ce que ça change vraiment au quotidien
La première connexion depuis l’étranger, ou même depuis un réseau Wi-Fi public, a quelque chose de satisfaisant qu’on ne ressent pas en activant une appli VPN achetée en promo. Vous savez exactement par où passe votre trafic. Vous savez ce qui tourne sur ce serveur. Vous avez les logs si vous en voulez, ou pas du tout si vous préférez.
La vitesse, pour être honnête, dépend de votre connexion montante à domicile. Si votre débit upload est limité (les offres ADSL notamment), ça se ressentira. Avec une fibre correcte, WireGuard sur ce type de matériel gère facilement des vitesses confortables pour streamer, naviguer ou travailler à distance. Le chiffrement léger de WireGuard est pour beaucoup dans ces performances.
Ce setup permet aussi des usages moins évidents : accéder à son NAS depuis n’importe où, piloter ses appareils domotiques en déplacement sans les exposer directement à internet, ou encore donner un accès temporaire et sécurisé à quelqu’un de confiance sur votre réseau. Un boîtier, plusieurs usages.
Le vrai luxe de cette approche, c’est peut-être ça : transformer un objet qui aurait pu rester un projet de tiroir en infrastructure personnelle qui tourne discrètement, sans se plaindre, en consommant moins qu’une ampoule LED. La prochaine étape logique serait d’y ajouter un serveur DNS local avec filtrage publicitaire intégré, mais ça, c’est une autre histoire.