Shadowsocks : configuration et connexion en 2026

Si vous avez reçu une configuration de votre fournisseur ou trouvé des instructions dans le chat, mais que vous ne comprenez toujours pas où insérer quoi — ce matériel est pour vous. Shadowsocks : configuration et connexion en pratique s'avèrent plus simples qu'il n'y paraît, mais il y a plusieurs endroits où les gens se bloquent régulièrement. Détaillons tout dans l'ordre : de la structure de la configuration au diagnostic, lorsque la connexion est établie mais que les sites ne s'ouvrent pas.

Qu'est-ce que Shadowsocks et pourquoi est-il nécessaire pour contourner les blocages

Shadowsocks n'est pas un VPN au sens classique. C'est un proxy chiffré basé sur SOCKS5, qui masque le trafic sous un HTTPS ordinaire. Du point de vue du fournisseur et de l'équipement DPI — c'est juste une requête web quelconque, rien de suspect.

C'est pourquoi il est si difficile de le bloquer par protocole. Le Roskomnadzor peut bloquer une adresse IP spécifique du serveur, mais détecter « c'est Shadowsocks » pour une inspection approfondie du trafic est beaucoup plus difficile que d'attraper OpenVPN ou WireGuard.

En quoi Shadowsocks diffère-t-il d'un VPN classique

Un VPN crée un tunnel chiffré pour tout le trafic de l'appareil au niveau du réseau. Shadowsocks fonctionne différemment — comme un proxy. Cela signifie que seules les applications capables de travailler avec SOCKS5 ou HTTP-proxy passeront automatiquement par lui. Sur les clients mobiles, cela se résout via une interface TUN, sur le bureau — via un proxy système.

Conséquence pratique : si vous avez lancé Shadowsocks sur Windows en mode PAC, votre client torrent ou Teams peuvent passer directement, sans passer par le proxy. Ce n'est pas un bug — c'est ainsi que fonctionne l'architecture.

Comment Shadowsocks masque le trafic et contourne le DPI

Le HTTPS standard ressemble à un flux de bytes chiffrés avec un handshake TLS. Shadowsocks avec le chiffrement chacha20-ietf-poly1305 génère une image similaire — un flux de données apparemment aléatoire sans en-têtes caractéristiques des protocoles VPN. Le DPI ne voit pas de signatures évidentes, donc il n'y a rien à bloquer.

Mais en 2026, les fournisseurs en Russie ont appris à identifier le trafic « ressemblant à Shadowsocks » de manière heuristique — par l'entropie du flux et les motifs de connexion. Sans plugin d'obfuscation, SS est de plus en plus coupé. Plus de détails ci-dessous.

Quand Shadowsocks fonctionne mieux que WireGuard et OpenVPN

Le OpenVPN pur est détecté en un rien de temps — il a un handshake TLS caractéristique avec des certificats et ports connus. WireGuard a également des motifs UDP reconnaissables, bien qu'il soit plus difficile à détecter. Shadowsocks sans obfuscation passe mieux que les deux face à un DPI moyen.

Mais VLESS/XRay avec Reality et Amnezia avec obfuscation — c'est un niveau supérieur. Dans des conditions de blocages agressifs en 2026, ils sont plus résistants. SS est une bonne solution pour la plupart des tâches, mais ce n'est pas une panacée. Des services comme NvoVPN proposent plusieurs protocoles à la fois, et si SS commence à avoir des problèmes avec un fournisseur spécifique, vous pouvez changer sans chercher un nouveau service.

Ce qu'il faut préparer avant la configuration

Avant d'ouvrir le client, il faut comprendre ce que vous avez entre les mains. La configuration de Shadowsocks se compose de quatre paramètres obligatoires : l'adresse du serveur, le port, la méthode de chiffrement et le mot de passe. C'est tout.

Où trouver une configuration fonctionnelle (ss:// lien, QR-code, JSON)

Si vous utilisez un service VPN payant, la configuration est fournie dans votre espace personnel. En général, c'est soit un lien ss://, soit un QR-code (qui est la même chose, juste sous une forme différente), soit un fichier JSON pour une importation manuelle.

Le lien ressemble à peu près à ceci :ss://[email protected]:8388#MyServer. La partie avant @ est constituée des méthodes de chiffrement et du mot de passe encodés, après — l'adresse du serveur et le port, après # — le nom du profil.

Le QR-code est le même lien, juste sous forme d'image. La plupart des clients mobiles savent le lire avec la caméra directement depuis l'interface.

Quels paramètres sont importants : serveur, port, méthode de chiffrement, mot de passe

La méthode de chiffrement est ce sur quoi les gens se trompent le plus souvent. Je recommandechacha20-ietf-poly1305 — fonctionne très bien sur les appareils mobiles, efficace en termes de ressources processeur. Sur le bureau, cela fonctionne normalementaes-256-gcm.

Évitez rc4-md5, table et d'autres anciennes méthodes. Elles ne sont pas sécurisées, résistent mal aux attaques, et les DPI modernes savent les détecter mieux que les nouveaux chiffres AEAD.

Le port est une histoire à part. Si le fournisseur bloque les ports non standards (typique pour les réseaux d'entreprise et mobiles), seul le 443 fonctionnera. Choisissez un serveur ou une configuration avec support du 443, si vous êtes souvent dans des réseaux restreints.

Choix du plugin : simple-obfs et v2ray-plugin contre le DPI

Les plugins d'obfuscation sont une couche supplémentaire de masquage au-dessus de Shadowsocks. Simple-obfs imite le trafic HTTP ou TLS. V2ray-plugin est plus avancé, capable de faire WebSocket + TLS, ce qui est pratiquement indistinguable d'un site HTTPS ordinaire.

En Russie en 2026, sans plugin, SS fonctionne de manière instable chez de nombreux fournisseurs — en particulier chez les « grands trois ». Si la configuration sans obfuscation ne fonctionne pas ou fonctionne de manière instable — cherchez immédiatement un serveur avec v2ray-plugin en mode websocket+tls. Simple-obfs est déjà considéré comme une solution obsolète.

Configuration de Shadowsocks sur Android

Sur Android, c'est le plus simple — il existe plusieurs bons clients, et ils sont gratuits.

Installation du client (shadowsocks-android / v2rayNG)

Le client principal —shadowsocks-android de l développeur «Max Lv». Cherchez sur Google Play ou téléchargez l'APK depuis GitHub (répertoire shadowsocks/shadowsocks-android). La version au moment de l'écriture est — 5.3.x.

Si vous avez besoin d'un seul client pour SS et VLESS/XRay — prenezv2rayNG. Il prend en charge Shadowsocks au même titre que d'autres protocoles. Pratique si vous avez plusieurs configurations de différents types.

Importation de la configuration via ss:// et QR-code

Dans shadowsocks-android : appuyez sur «+» dans le coin inférieur droit → «Scanner le QR-code» ou «Importer depuis le presse-papiers». Si vous avez un lien ss:// — copiez-le, ouvrez l'application et appuyez sur importer depuis le presse-papiers. L'application reconnaîtra automatiquement le format.

Pour une saisie manuelle : «+» → «Entrer manuellement» → remplissez les champs Serveur, Port distant, Mot de passe, Méthode de cryptage. Le reste peut rester par défaut.

Après avoir ajouté le profil, appuyez dessus pour le sélectionner comme actif, puis appuyez sur l'icône de l'avion dans le coin inférieur droit. L'application demandera l'autorisation de connexion VPN — acceptez.

Configuration du plugin d'obfuscation et vérification de la connexion

Si la configuration utilise un plugin : dans les paramètres du profil, trouvez le champ «Plugin» → choisissez v2ray-plugin ou simple-obfs → entrez les paramètres du plugin (généralement une chaîne de typeobfs=websocket;host=example.com).

Après la connexion, vérifiez l'IP via le navigateur — allez sur 2ip.ru ou whoer.net. Si l'adresse du serveur s'affiche et non votre adresse domestique — tout fonctionne.

Configuration de Shadowsocks sur iPhone et iOS

C'est ici que commence la douleur. Il n'y a pas de client gratuit normal pour Shadowsocks dans l'App Store russe. C'est un fait, pas une opinion.

Quels clients sont disponibles dans l'App Store (Shadowrocket, Potatso)

Shadowrocket — la meilleure option. Il coûte 2,99 $, prend en charge SS, VLESS, Trojan et encore plein d'autres protocoles. Il s'achète une seule fois, fonctionne sans abonnement. Le problème est qu'il n'est pas disponible dans l'App Store russe en raison des blocages.

Potatso Lite — gratuit, mais plus limité. S'il est disponible dans votre région — essayez-le d'abord. Il prend en charge les configurations SS de base.

Pour installer Shadowrocket, vous avez besoin d'un Apple ID avec une région américaine ou européenne. Le moyen le plus simple est de créer un Apple ID séparé pour une autre région, sans changer le principal. Le partage familial ne fonctionne pas pour les applications achetées dans une autre région.

Importation de la configuration et gestion des restrictions régionales de l'App Store

Après avoir installé Shadowrocket : appuyez sur «+» dans le coin supérieur droit → choisissez le type «SS» → collez le lien ss:// dans le champ URI ou remplissez les champs manuellement. Le QR-code se scanne via le bouton du scanner à côté du champ URI.

Si vous avez un lien ss:// dans le presse-papiers — Shadowrocket propose généralement de l'importer au démarrage. C'est plus pratique que la saisie manuelle.

Activation du profil VPN et des autorisations iOS

Lors de la première connexion, iOS affichera une demande d'ajout de configuration VPN. Appuyez sur «Autoriser» et entrez le code d'accès de l'appareil. Sans cette autorisation, le proxy ne fonctionnera pas.

Après la connexion, une icône VPN apparaîtra dans la barre d'état. Dans les paramètres iOS (Réglages → VPN et gestion de l'appareil), vous pouvez voir la connexion active et la gérer indépendamment de l'application.

Configuration de Shadowsocks sur Windows et Mac

Sur le bureau, SS fonctionne comme un proxy local. Cela diffère d'un VPN — il est important de comprendre dès le départ.

Shadowsocks pour Windows : client et proxy système

Téléchargez le client officiel depuis GitHub (répertoire shadowsocks/shadowsocks-windows). Aucune installation n'est requise — il suffit de décompresser et de lancer Shadowsocks.exe.

Après le lancement, une icône apparaîtra dans la zone de notification. Clic droit → «Serveurs» → «Ajouter un serveur» → remplissez les champs. Ou : «Importer l'URL depuis le presse-papiers», si vous avez un lien ss://.

Pour activer : clic droit sur l'icône → «Proxy système» → activez. Cela configurera automatiquement le proxy système de Windows. Les navigateurs (Chrome, Edge) le détecteront immédiatement. D'autres applications — cela dépend de leur capacité à lire les paramètres de proxy système.

Comme alternative —v2rayN, qui prend en charge à la fois SS et VLESS dans une seule interface.

ShadowsocksX-NG pour macOS

ShadowsocksX-NG — client standard pour Mac. Téléchargez depuis GitHub (shadowsocks/ShadowsocksX-NG), installez comme une application ordinaire. Lors du premier lancement, macOS demandera l'autorisation de démarrer — autorisez dans les Préférences Système → Confidentialité et sécurité.

Ajout d'un serveur : icône dans la barre de menu → «Ouvrir ShadowsocksX-NG» → «Serveurs» → «Préférences du serveur» → bouton «+». Ou importation via «Importer l'URL du serveur depuis le presse-papiers».

Mode proxy global et mode par règles (PAC)

Mode global — tout le trafic passe par le proxy. Mode PAC — seulement les sites de la liste. Le PAC est plus pratique pour un usage quotidien : les sites russes passent directement, les bloqués — via SS.

Mais le PAC a un inconvénient : les applications qui n'utilisent pas le proxy système (de nombreuses applications macOS natives, certains jeux, clients torrent) passeront directement indépendamment du mode. Si vous devez encapsuler tout le trafic — utilisez Global ou configurez via Proxifier.

Contourner les blocages de YouTube, Instagram, Telegram et d'autres services

C'est la raison pour laquelle la plupart configurent Shadowsocks. Voyons ce qui fonctionne réellement.

Contourner le ralentissement de YouTube via Shadowsocks

YouTube en Russie est ralenti au niveau du fournisseur — ce n'est pas un blocage complet, mais le chargement en 480p avec mise en mémoire tampon. SS résout le problème, car le trafic passe par un serveur externe, contournant le DPI «intelligent» du fournisseur.

Pour le streaming, la vitesse du serveur lui-même est importante. Chacha20-ietf-poly1305 fonctionne plus vite que aes-256-gcm sur les appareils sans accélération matérielle AES — les mobiles en premier lieu. Pour le 4K YouTube, il faut une connexion stable de 25+ Mbit/s depuis le serveur.

Accès à Instagram, Facebook, Twitter/X

Instagram et Facebook (Meta) sont bloqués par décision de justice depuis 2022. Twitter/X fonctionne de manière instable. Avec Shadowsocks configuré, ils s'ouvrent dans un navigateur ordinaire ou des applications natives — le trafic passe par un serveur externe qui ne voit pas ces blocages.

Nuance : sur Android et iOS, les applications mobiles Instagram et Facebook utilisent le proxy système, donc il suffit d'activer le client SS. Sur Windows en mode PAC, vérifiez que les domaines meta.com et instagram.com figurent dans la liste des règles.

Stabilité de Telegram et WhatsApp via proxy

Telegram en Russie est parfois coupé par certains fournisseurs — pas complètement, mais avec des retards et des problèmes de médias. SS stabilise la connexion. WhatsApp fonctionne sans blocages, mais via SS, il est plus rapide chez certains opérateurs mobiles avec un QoS agressif.

Si SS avec obfuscation ne parvient pas à gérer un fournisseur spécifique — c'est un signal pour passer à VLESS/XRay avec Reality ou Amnezia. Là, il y a un autre niveau de masquage.

Que faire si Shadowsocks ne se connecte pas

La question la plus fréquente. Décomposons étape par étape.

La connexion est là, mais les sites ne s'ouvrent pas

La première chose à vérifier — la méthode de chiffrement. Si le config indique aes-256-cfb, et que le serveur est configuré sur chacha20-ietf-poly1305, la connexion sera formellement établie, mais le trafic sera corrompu. Le client ne le signale pas toujours clairement.

Liste de contrôle dans ce cas :

• La méthode de chiffrement dans le client correspond exactement à celle du serveur
• Le mot de passe est copié correctement (sans espaces supplémentaires)
• Sur Windows/Mac, le proxy système est activé (le client n'est pas simplement lancé)
• Le navigateur n'utilise pas ses propres paramètres de proxy qui remplacent les paramètres système

Le fournisseur bloque le port ou le DPI coupe le trafic

Si SS ne se connecte pas du tout — essayez d'abord le port 443. Il est rarement bloqué, car tout l'internet HTTPS fonctionne dessus. Si le service prend en charge différents ports, 443 est le premier choix pour les réseaux problématiques.

Si ça se connecte, mais se coupe après quelques minutes — c'est le DPI en action. Le fournisseur identifie le trafic de manière heuristique et réinitialise la connexion. La solution est unique : un plugin d'obfuscation. V2ray-plugin en mode websocket+tls sur le port 443 — c'est un trafic pratiquement invisible pour la plupart des systèmes DPI.

Si cela ne fonctionne pas non plus — il est temps de passer à VLESS/XRay (Reality) ou Amnezia. Certains fournisseurs bloquent déjà tout trafic «suspect» indépendamment de l'obfuscation.

Vitesse lente et coupures de connexion

Une vitesse lente — dans 90% des cas, c'est un problème du serveur lui-même ou du chemin jusqu'à lui, et non des paramètres du client. Vérifiez le ping vers le serveur via le test intégré dans le client ou via le terminal.

Les coupures sur Internet mobile sont souvent liées à la commutation entre les tours ou au passage Wi-Fi ↔ LTE. Activez l'option «keepalive» ou «heartbeat» dans les paramètres du client, si elle existe. Dans shadowsocks-android, c'est le paramètre «TCP Fast Open» et «UDP Relay» — essayez de les désactiver s'il y a de l'instabilité.

Cas particulier — Smart TV et Apple TV. Il n'y a pas de client SS natif pour eux. La seule option fonctionnelle est la configuration sur le routeur via OpenWrt ou des analogues avec le paquet shadowsocks-libev. C'est un sujet de matériel séparé, mais il est important de savoir que contourner le routeur ne résoudra pas le problème.