Tout comprendre du « VPN » proposé par Microsoft : activer Edge Secure Network (Cloudflare), savoir quand l’utiliser, configurer un vrai VPN sous Windows 11 et résoudre l’erreur d’autorisation qui empêche d’enregistrer sur le Bureau.
Activer et utiliser le « VPN » proposé par Microsoft
De quoi parle‑t‑on ?
Windows 11 n’intègre pas de service VPN complet. Il fournit un client VPN (dans Paramètres ▸ Réseau & Internet ▸ VPN) qui se connecte à un serveur déjà existant : celui de votre entreprise, de votre fournisseur d’accès distant, ou d’un service commercial. Autrement dit, Windows sait “utiliser” un VPN mais n’en “héberge” pas.
Depuis fin 2023, Microsoft a toutefois ajouté dans Microsoft Edge une fonction baptisée Microsoft Edge Secure Network (technologie Cloudflare). Elle chiffre automatiquement le trafic de vos onglets dans Edge uniquement lorsqu’un risque est détecté :
- vous êtes connecté à un Wi‑Fi public non sécurisé (cafés, hôtels, aéroports, trains, etc.) ;
- vous consultez un site sans HTTPS (HTTP).
Il s’agit d’une protection de circonstance (anti‑espionnage local sur réseaux douteux), pas d’un VPN « classique » pensé pour l’anonymat global, la sélection de pays ou le routage de tout l’OS.
Procédure d’activation dans Edge
- Mettez Edge à jour : Canary/Beta ≥
v121ou Stable ≥v120. - Ouvrez le panneau Browser Essentials (icône en forme de cœur ou de bouclier à droite de la barre d’adresse) puis activez Secure Network.
- Lors de la première activation, connectez‑vous à votre compte Microsoft (nécessaire pour suivre la consommation de données).
- C’est tout : la fonction se déclenche et se coupe automatiquement selon le contexte. Aucun réglage manuel à refaire au quotidien.
Ce que vous verrez dans Edge
- Un indicateur d’état (dans Browser Essentials) précisant si la connexion sécurisée est active.
- Un compteur de données consommées sur le mois.
- Des notifications lorsque la protection s’active sur un Wi‑Fi ouvert ou un site non‑HTTPS.
Limites, bonnes pratiques et cas d’usage
| Caractéristique | Détail |
|---|---|
| Volume gratuit | 5 Go/mois (remis à zéro chaque mois). |
| Portée | Seul le trafic du navigateur Edge est chiffré. Les autres applications (Outlook, Steam, Teams, etc.) ne passent pas par ce tunnel. |
| Vitesse | Légère baisse possible sur réseaux très rapides (coût du chiffrement et détour réseau). |
| Anonymat | Non visé. Votre adresse IP de sortie peut changer et, techniquement, Microsoft/Cloudflare peuvent corréler l’usage à votre compte pour la gestion du quota. |
| Kill switch | Non. Si la protection se coupe, la navigation revient au direct sans blocage automatique des connexions. |
| Split tunneling | Sans objet (couvre Edge uniquement). |
| Quand l’utiliser ? | Wi‑Fi publics non chiffrés (hôtels, cafés, aéroports), portails captifs, sites HTTP. Peu utile sur un site HTTPS de confiance à domicile. |
| Quand ne pas l’utiliser seul ? | Si vous avez besoin d’un tunnel permanent pour toutes les apps, d’un choix de pays, d’un kill switch ou de politiques réseau avancées. |
Alternatives gratuites similaires
- Cloudflare WARP (client Windows) : couvre tout le système, sans quota, philosophie « privacy‑lite » (protection du transport, pas d’anonymat complet).
- Proton VPN Free / Windscribe Free : quotas mensuels plus généreux, serveurs limités mais vrai VPN au niveau OS, avec application dédiée.
| Solution | Couvre tout l’OS | Quota | Choix de pays | Kill switch | Idéal pour |
|---|---|---|---|---|---|
| Edge Secure Network | Non (Edge uniquement) | 5 Go/mois | Non | Non | Wi‑Fi publics, sites HTTP |
| Cloudflare WARP | Oui | Illimité | Non (optimisation, pas géo) | Basique selon client | Protection transport système |
| Proton VPN Free | Oui | Limité | Serveurs gratuits | Oui (app) | VPN OS gratuit fiable |
| Windscribe Free | Oui | Limité | Serveurs gratuits | Oui (app) | Usage régulier multi‑apps |
À retenir : Edge Secure Network est une couche d’appoint utile et discrète. Pour un besoin « VPN » au sens strict (tunnel global, pays, politiques), installez un client dédié.
Configurer un véritable VPN sous Windows 11
Si vous disposez d’un serveur VPN (entreprise, auto‑hébergé, service commercial), le client Windows sait s’y connecter. Voici la marche à suivre, puis des conseils de sécurité et de dépannage.
Création d’une connexion VPN (GUI)
- Ouvrez Paramètres ▸ Réseau & Internet ▸ VPN puis cliquez sur Ajouter un VPN.
- Renseignez :
- Fournisseur : Windows (intégré).
- Nom de connexion : un libellé parlant (« Bureau‑Paris », « MonFournisseur », etc.).
- Adresse du serveur : FQDN ou IP fournie par votre service.
- Type de VPN : PPTP (déconseillé), L2TP/IPsec, IKEv2. OpenVPN et WireGuard nécessitent l’application de l’éditeur.
- Méthode d’authentification : mot de passe, certificat, EAP selon la politique de votre service.
- Enregistrez, puis utilisez l’icône Réseau de la barre des tâches pour établir/rompre la connexion.
Remarque : la plupart des fournisseurs commerciaux recommandent leur logiciel maison (sélecteur de pays, kill switch, split tunneling, blocage DNS/trackers, etc.).
Exemples PowerShell (admin)
Vous préférez le script ? Voici des bases solides pour documenter et reproduire une configuration.
# Créer une connexion IKEv2 nommée "MonVPN"
Add-VpnConnection -Name "MonVPN" `
-ServerAddress "vpn.exemple.com" `
-TunnelType IKEv2 `
-AuthenticationMethod EAP `
-SplitTunneling $false `
-RememberCredential
# Définir des serveurs DNS quand le VPN est actif
Set-DnsClientServerAddress -InterfaceAlias "VPN - MonVPN" -ServerAddresses ("10.0.0.53","10.0.0.54")
# Forcer l'usage du VPN pour tout le trafic (pas de split)
Set-VpnConnection -Name "MonVPN" -SplitTunneling $false
# Supprimer proprement la connexion
Remove-VpnConnection -Name "MonVPN" -Force Bonnes pratiques de sécurité
- Privilégiez IKEv2 ou OpenVPN/WireGuard via l’application du fournisseur ; évitez PPTP.
- Activez le kill switch (via l’app du fournisseur) pour bloquer le trafic en cas de coupure VPN.
- Vérifiez le DNS : utilisez les DNS de l’entreprise/fournisseur lorsque le tunnel est établi pour éviter les fuites.
- Split tunneling : laissez‑le désactivé si la politique sécurité exige que tout passe par le tunnel ; sinon, ouvrez finement ce qui doit sortir localement (imprimantes, TV, etc.).
- Authentification forte : EAP‑TLS (certificats) ou MFA si disponible.
Dépannage rapide (symptômes fréquents)
| Symptôme | Piste | Action |
|---|---|---|
| Erreur de connexion aléatoire (ex. IKEv2) | Filtrage NAT/pare‑feu | Autoriser UDP 500/4500, IPSec NAT‑T. Tester un autre réseau (4G) pour isoler le problème. |
| Connecté mais pas d’accès Internet | Routes/DNS | Contrôler la passerelle par défaut, le split tunneling et les DNS configurés. |
| Application ne « voit » pas le VPN | App en bac à sable | Vérifier les règles pare‑feu locales et privilégier l’app du fournisseur si nécessaire. |
| Débit très lent | Chiffrement, distance, saturation | Changer de point de sortie/pays, protocole (IKEv2 ↔ OpenVPN/WireGuard), désactiver provisoirement l’inspection SSL de certains antivirus. |
Gestion des droits administrateur et impossibilité de sauvegarder sur le Bureau
Le constat
Vous appartenez au groupe Administrators (et Users), mais un message s’affiche à la sauvegarde : « Vous n’avez pas l’autorisation d’enregistrer dans cet emplacement » lorsque vous ciblez le Bureau.
Les causes les plus fréquentes
- Contrôle de compte d’utilisateur (UAC) : l’application (Word, WordPad, etc.) s’exécute en contexte standard. L’écriture dans certains emplacements nécessite l’élévation.
- Accès contrôlé aux dossiers (Controlled Folder Access) de Sécurité Windows : la protection anti‑ransomware bloque les modifications du Bureau si l’application n’est pas autorisée.
- Autorisations NTFS : après une migration de profil, un clonage ou un déplacement, le dossier
Desktoppeut avoir perdu l’héritage/l’identité du propriétaire. - OneDrive & “Sauvegarde des dossiers” (KFM) : si le Bureau est redirigé vers OneDrive, un conflit de droits/synchronisation peut empêcher l’écriture locale.
Solutions pas‑à‑pas
| Étape | Action | Où / Comment |
|---|---|---|
| 1 | Vérifier l’appartenance à Administrators | Ouvrez netplwiz (ou lusrmgr.msc en Édition Pro/Entreprise) et confirmez que votre compte est dans Administrateurs. |
| 2 | Essayer en mode administrateur | Clic droit sur l’application ► Exécuter en tant qu’administrateur. Si la sauvegarde réussit, le blocage était dû à l’UAC. |
| 3 | Vérifier l’anti‑ransomware | Paramètres ▸ Confidentialité & sécurité ▸ Sécurité Windows ▸ Protection contre les virus et menaces ▸ Gérer la protection contre les ransomwares. Autorisez l’application concernée ou désactivez temporairement la fonction (moins sûr). |
| 4 | Réparer les droits NTFS du Bureau | Ouvrez PowerShell (Admin) et exécutez :icacls "$Env:USERPROFILE\Desktop" /inheritance:e /grant:r "$Env:USERNAME:(OI)(CI)F" /T Explications : /inheritance:e réactive l’héritage, /grant:r remplace les entrées, (OI)(CI)F accorde un contrôle total aux fichiers/dossiers enfants. Redémarrez ensuite. |
| 5 | Reprendre la propriété si besoin | En PowerShell (Admin) :takeown /f "$Env:USERPROFILE\Desktop" /r /d y icacls "$Env:USERPROFILE\Desktop" /setowner "$Env:USERNAME" /T Puis relancez la commande icacls précédente. |
| 6 | Contrôler OneDrive (KFM) | Dans OneDrive ► Paramètres ▸ Synchronisation et sauvegarde, vérifiez si le Bureau est redirigé. Désactivez et réactivez la sauvegarde des dossiers si nécessaire, laissez OneDrive resynchroniser. |
| 7 | Compte corrompu ? | Créez un nouveau compte local ► passez‑le Admin ► testez la sauvegarde. Si tout fonctionne, migrez vos données et supprimez l’ancien profil. |
Bonnes pratiques supplémentaires
- Évitez d’exécuter vos apps en permanence « en admin » ; utilisez l’élévation à la demande pour réduire la surface d’attaque.
- Conservez un point de restauration avant toute manipulation profonde de droits.
- Si votre poste est rejoint à un domaine/Intune, vérifiez les GPO/stratégies de sécurité qui peuvent verrouiller le Bureau.
Important : inutile de « se reconnecter » à un compte administrateur distinct pour bénéficier des droits ; votre session Admin les possède déjà. En revanche, certaines opérations exigent explicitement une élévation UAC.
Foire aux questions supplémentaires
Dois‑je payer Norton VPN si Edge Secure Network existe ?
Pas forcément. Pour une navigation occasionnelle sur Wi‑Fi public, l’option d’Edge suffit souvent. Si vous avez besoin d’un tunnel permanent, d’un quota supérieur à 5 Go/mois, d’un kill switch ou du choix d’un pays, un abonnement externe sera préférable.
Edge Secure Network chiffre‑t‑il mes e‑mails dans Outlook ou dans d’autres navigateurs ?
Non. Seuls les onglets Edge sont protégés. Pour couvrir tout le système et toutes les applis, installez le client d’un fournisseur VPN.
Puis‑je augmenter le quota de 5 Go/mois ?
À ce jour, non. Microsoft n’a pas annoncé d’offre payante pour étendre la capacité d’Edge Secure Network.
Le VPN de Windows bloque‑t‑il les traceurs publicitaires ?
Un VPN chiffre le transport, mais ne remplace pas un bloqueur de contenu. Combinez‑le avec un outil côté navigateur (ex. prévention du suivi d’Edge, uBlock Origin, listes filtrantes) pour réduire cookies et traqueurs.
Edge Secure Network change‑t‑il ma géolocalisation ?
Il peut modifier l’IP publique perçue par certains sites, mais ce n’est pas un service de géolocalisation maîtrisée : vous ne pouvez pas choisir un pays, et des mécanismes comme l’API de localisation ou les données de l’appareil peuvent toujours trahir votre position approximative.
Mon entreprise exige un VPN toujours actif : Edge Secure Network suffit‑il ?
Non. Utilisez le client VPN d’entreprise (IKEv2/OpenVPN/WireGuard), avec politiques DNS, kill switch et inspection conformes à la sécurité interne.
Résumé express
- Edge Secure Network : chiffrement opportuniste (5 Go/mois) qui s’active sur Wi‑Fi public et sites HTTP. Simple et automatique, limité à Edge, pas un VPN « classique ».
- Client VPN Windows : nécessite un serveur externe. Préférez IKEv2/OpenVPN/WireGuard via l’app du fournisseur pour les fonctions avancées.
- Erreur d’autorisation sur le Bureau : testez l’élévation UAC, vérifiez l’Accès contrôlé aux dossiers, corrigez les droits NTFS avec
icacls, puis envisagez la création d’un nouveau profil si besoin.
Annexe : glossaire éclair
- VPN : tunnel chiffré entre votre appareil et un serveur, qui peut transporter tout le trafic réseau.
- Client VPN : logiciel qui établit la connexion vers le serveur (Windows en fournit un basique).
- Edge Secure Network : tunnel opportuniste intégré à Edge (selon le contexte), non destiné à l’anonymat global.
- Kill switch : coupe‑circuit réseau qui bloque tout trafic si le VPN tombe.
- Split tunneling : permet de choisir quelles apps passent ou non par le VPN.
- UAC : mécanisme d’élévation des privilèges sous Windows.
- Accès contrôlé aux dossiers : protection anti‑ransomware qui verrouille certains dossiers sensibles (Documents, Images, Bureau…).
- NTFS : système de fichiers de Windows avec un modèle de permissions détaillé.