Retour au blog

Proxy pour Threema en entreprise : configuration, sécurité et contournement des blocages

Nous examinons pourquoi une entreprise a besoin d'un proxy pour Threema, comment le configurer correctement et quel type de proxy choisir pour la sécurité d'entreprise.

📅26 juin 2026
```html

Threema est l'un des rares messagers qui a été réellement conçu avec un accent sur la sécurité d'entreprise : cryptage de bout en bout, minimum de métadonnées, serveurs en Suisse. Mais même lui a un point vulnérable : le niveau réseau. Si votre fournisseur bloque le trafic, le service informatique de l'entreprise limite les connexions ou si vous devez cacher le fait même d'utiliser le messager, un proxy est indispensable.

Dans cet article, nous allons examiner comment connecter un proxy à Threema Work et à la version standard, quel type de proxy convient aux tâches d'entreprise, et comment ne pas compromettre la sécurité lors de la configuration.

Pourquoi Threema a besoin d'un proxy : scénarios d'entreprise réels

Beaucoup pensent que puisque Threema crypte tout avec un cryptage de bout en bout, un proxy est superflu. En pratique, ce n'est pas le cas. Le cryptage protège le contenu des messages, mais ne cache pas le fait de se connecter aux serveurs Threema. C'est précisément au niveau réseau que la plupart des problèmes d'entreprise surviennent.

Examinons des situations concrètes où un proxy devient une nécessité :

Scénario 1 : Blocages régionaux

Dans certains pays et réseaux d'entreprise, le trafic vers les serveurs Threema est bloqué au niveau du pare-feu. Cela est particulièrement pertinent pour les entreprises ayant des bureaux dans des pays avec une réglementation Internet stricte. Un employé ouvre Threema Work et voit une erreur de connexion. Dans ce cas, le proxy agit comme un nœud intermédiaire : le trafic ne va pas directement aux serveurs Threema, mais passe par une adresse IP dans une juridiction autorisée.

Scénario 2 : Contrôle informatique d'entreprise

Les grandes entreprises dirigent souvent tout le trafic des employés via un serveur proxy d'entreprise — pour la surveillance, le filtrage et la journalisation. Si Threema Work n'est pas configuré pour fonctionner via ce proxy, il ne se connectera tout simplement pas sur le réseau de bureau. Les administrateurs informatiques doivent explicitement définir le proxy dans la configuration de l'application, sinon le messager sera inaccessible sur les appareils de travail.

Scénario 3 : Renseignement concurrentiel et anonymat des négociations

Pour la direction et les départements juridiques, il est important non seulement de connaître le contenu des négociations, mais aussi les métadonnées : depuis quelles IP la communication a lieu, dans quelle région se trouvent les participants. Un proxy permet de masquer l'adresse IP réelle du bureau d'entreprise ou d'un employé spécifique — surtout lors des négociations M&A, où même le fait de communiquer avec une certaine partie peut être une information sensible.

Scénario 4 : Travail des employés à distance

Les employés travaillant à distance depuis différents pays rencontrent des connexions instables aux serveurs Threema. Un proxy avec des serveurs dans la région appropriée aide à réduire la latence et à garantir une connexion stable — surtout pour les équipes en Asie, en Amérique latine et en Afrique, où la connexion directe aux serveurs suisses de Threema peut être instable.

Il est important de comprendre :

Un proxy ne remplace pas le cryptage de Threema — il fonctionne à un autre niveau. Ensemble, ils offrent une double couche de protection : le contenu est crypté et la source du trafic est masquée.

Threema Work vs Threema standard : quelle est la différence pour les entreprises

Avant de passer à la configuration, il est important de comprendre avec quelle version vous travaillez. Cela détermine comment le proxy est configuré.

Paramètre Threema (personnelle) Threema Work (entreprise)
Gestion Utilisateur Administrateur IT via MDM
Configuration du proxy Via les paramètres système de l'appareil Via le profil MDM ou le fichier de configuration
Support SOCKS5 Dépend des paramètres système Supporté via la configuration
Politiques de sécurité Non Politiques centralisées
Public cible Particuliers Entreprises à partir de 10 personnes

Pour la plupart des scénarios d'entreprise, c'est Threema Work qui est utilisé — il permet à l'administrateur IT de gérer centralement les paramètres, y compris le proxy, via un système MDM (Mobile Device Management) — par exemple, Jamf, Microsoft Intune ou VMware Workspace ONE.

Si vous utilisez Threema standard, le proxy est configuré via les paramètres système de l'appareil (proxy Wi-Fi sur iOS ou proxy global sur Android). C'est moins flexible, mais c'est une option fonctionnelle pour les petites équipes.

Quel type de proxy choisir pour Threema

Tous les proxies ne conviennent pas également à un messager d'entreprise. Examinons les principaux types et leur applicabilité à Threema.

Proxies résidentiels

Les proxies résidentiels utilisent des adresses IP de véritables utilisateurs domestiques. C'est le type le plus discret : le trafic provenant de cette IP ressemble à celui d'un utilisateur Internet normal, et non à celui d'un serveur d'entreprise. Pour Threema, cela est important dans les cas où il est nécessaire de contourner un blocage par type d'adresse IP — de nombreux pare-feu bloquent précisément les IP des centres de données, tandis que les adresses résidentielles sont acceptées.

L'inconvénient des proxies résidentiels pour un messager d'entreprise est la rotation des IP. Si le proxy change d'adresse toutes les quelques minutes, cela peut poser des problèmes d'autorisation dans Threema. Par conséquent, pour cette tâche, il faut choisir des proxies résidentiels avec des sessions collantes — une IP fixe pendant une longue période (de 10 minutes à 24 heures).

Proxies mobiles

Les proxies mobiles fonctionnent via des adresses IP de fournisseurs de services mobiles (3G/4G/5G). C'est le type de trafic le plus fiable du point de vue de tout système de filtrage — les IP mobiles sont rarement ajoutées aux listes de blocage. Pour Threema, les proxies mobiles sont particulièrement bons si les employés utilisent l'application sur des smartphones : le trafic s'intègre naturellement dans le modèle mobile.

Les proxies mobiles coûtent plus cher que les résidentiels, mais pour la sécurité d'entreprise, cela représente des dépenses justifiées — surtout pour la direction et les départements juridiques, où l'anonymat des négociations est crucial.

Proxies de centre de données

Les proxies de centre de données sont l'option la plus rapide et la plus abordable. Ils conviennent bien pour contourner les pare-feu d'entreprise à l'intérieur de l'entreprise, lorsque l'administrateur IT configure lui-même le serveur proxy pour router le trafic Threema. Cependant, si l'objectif est de cacher le trafic d'entreprise des observateurs externes, les IP des centres de données sont plus faciles à identifier comme "non domestiques".

Type de proxy Vitesse Anonymat Meilleur scénario pour Threema
Résidentiels Moyenne Élevée Contourner les blocages régionaux
Mobiles Moyenne Maximale Anonymat de la direction
Centre de données Élevée Moyenne Serveur proxy d'entreprise

Configuration du proxy dans Threema sur Android

Sur Android, il existe deux façons de connecter un proxy à Threema : via les paramètres système Wi-Fi ou via une application proxy (par exemple, ProxyDroid ou Shadowsocks). La première méthode est plus simple, la seconde est plus flexible.

Méthode 1 : Via les paramètres Wi-Fi (proxy HTTP)

Cette méthode fonctionne si votre proxy prend en charge le protocole HTTP/HTTPS. Étapes :

  1. Ouvrez Paramètres → Wi-Fi sur votre appareil.
  2. Appuyez et maintenez le réseau connecté — sélectionnez « Modifier le réseau ».
  3. Développez « Options avancées ».
  4. Dans le champ « Proxy », sélectionnez « Manuel ».
  5. Entrez Hôte du proxy (adresse IP de votre serveur proxy) et Port.
  6. Si le proxy nécessite une authentification, indiquez le nom d'utilisateur et le mot de passe dans les champs correspondants (disponible sur Android 10+).
  7. Appuyez sur « Enregistrer » et redémarrez Threema.

Vérifiez la connexion : dans Threema, allez dans Paramètres → À propos de Threema et appuyez sur la version pour envoyer un diagnostic — si la connexion est établie, l'application affichera un statut vert.

Méthode 2 : Via SOCKS5 (pour utilisateurs avancés)

Android ne prend pas en charge SOCKS5 au niveau système directement. Pour faire fonctionner SOCKS5 avec Threema, utilisez l'application ProxyDroid (nécessite un accès root) ou configurez un tunnel via SSH. Pour les utilisateurs d'entreprise, il est plus simple d'utiliser un VPN d'entreprise en conjonction avec le proxy — c'est une solution plus gérable.

Conseil pour le déploiement en entreprise :

Si vous gérez les appareils des employés via MDM (par exemple, Microsoft Intune), la configuration du proxy peut être appliquée de manière centralisée à tous les appareils Android d'entreprise via un profil de configuration. Cela évite d'avoir à configurer chaque appareil manuellement.

Configuration du proxy dans Threema sur iPhone (iOS)

Sur iOS, Threema utilise les paramètres système de proxy — il n'y a pas de paramètre distinct à l'intérieur de l'application. Le proxy doit être configuré au niveau du réseau Wi-Fi ou via un profil MDM.

Configuration via Wi-Fi

  1. Ouvrez Paramètres → Wi-Fi.
  2. Appuyez sur l'icône (i) à côté du réseau connecté.
  3. Faites défiler vers le bas jusqu'à la section « Proxy HTTP ».
  4. Sélectionnez « Manuel ».
  5. Entrez Serveur (adresse IP du proxy) et Port.
  6. Si une authentification est requise, activez le commutateur « Authentification » et entrez le nom d'utilisateur et le mot de passe.
  7. Appuyez sur « Terminé » — iOS appliquera automatiquement les paramètres à toutes les applications, y compris Threema.

Configuration via un fichier PAC

Pour un usage d'entreprise, il est plus pratique d'utiliser un fichier PAC (Proxy Auto-Configuration) — il permet de définir des règles : quel trafic passe par le proxy et quel trafic passe directement. Par exemple, vous pouvez diriger uniquement le trafic Threema via le proxy, laissant le reste du trafic inchangé.

  1. Dans la section « Proxy HTTP », sélectionnez « Automatiquement ».
  2. Entrez l'URL du fichier PAC fourni par votre service informatique.
  3. iOS téléchargera la configuration et l'appliquera automatiquement.

Configuration via MDM (Jamf, Intune)

La méthode d'entreprise consiste à déployer un profil de configuration via MDM. Dans Jamf Pro, cela se fait via Configuration Profiles → Network → Proxy. Le profil est automatiquement appliqué à tous les iPhone d'entreprise des employés sans leur intervention. C'est l'approche la plus appropriée pour les entreprises avec un parc d'appareils à partir de 20 unités.

Configuration du proxy dans Threema sur ordinateur (Windows/Mac)

Threema Desktop (version pour ordinateurs) utilise également les paramètres système de proxy du système d'exploitation. Il n'y a pas de configuration de proxy distincte à l'intérieur de l'application — c'est une décision architecturale délibérée des développeurs pour simplifier la gestion.

Windows 10/11

  1. Ouvrez Paramètres → Réseau et Internet → Serveur proxy.
  2. Dans la section « Configuration manuelle du proxy », activez le commutateur « Utiliser un serveur proxy ».
  3. Entrez Adresse (IP du proxy) et Port.
  4. Si vous devez exclure les adresses locales, cochez la case « Ne pas utiliser de serveur proxy pour les adresses locales ».
  5. Appuyez sur « Enregistrer » et redémarrez Threema Desktop.

macOS

  1. Ouvrez Préférences Système → Réseau.
  2. Sélectionnez la connexion réseau active (Wi-Fi ou Ethernet) et cliquez sur « Avancé ».
  3. Allez à l'onglet « Proxy ».
  4. Activez le type de proxy souhaité : « Proxy Web (HTTP) » ou « Proxy Web sécurisé (HTTPS) ».
  5. Entrez l'adresse et le port du serveur proxy. Si nécessaire, le nom d'utilisateur et le mot de passe.
  6. Appuyez sur « OK » et « Appliquer ». Redémarrez Threema Desktop.

Vérification du fonctionnement du proxy :

Après la configuration, ouvrez un navigateur et allez sur whatismyip.com — si l'IP de votre proxy s'affiche au lieu de l'IP réelle du bureau, la configuration est correcte. Ensuite, lancez Threema Desktop et vérifiez le statut de la connexion.

Sécurité d'entreprise : ce qu'il faut prendre en compte lors du déploiement

L'utilisation d'un proxy avec Threema dans un environnement d'entreprise n'est pas seulement une tâche technique, mais aussi organisationnelle. Voici les aspects clés à travailler avant de commencer le déploiement.

1. Choix de la juridiction du serveur proxy

Les serveurs Threema sont situés en Suisse. Pour une latence minimale, choisissez un proxy avec des serveurs en Europe de l'Ouest. Si les employés travaillent depuis l'Asie, recherchez un proxy avec des points de présence à Singapour ou à Hong Kong. Il est important de s'assurer que la juridiction du fournisseur de proxy ne l'oblige pas à conserver et transmettre des journaux de trafic — cela est critique pour la confidentialité d'entreprise.

2. Politique de journalisation du fournisseur de proxy

Demandez au fournisseur de proxy sa politique de journalisation (No-logs policy). Pour les communications d'entreprise via Threema, il est crucial que le fournisseur ne conserve pas de métadonnées : qui, quand et depuis quelle IP s'est connecté. Bien que le contenu des conversations soit crypté au niveau de Threema, les métadonnées de connexion peuvent être sensibles.

3. Protocole : HTTP vs SOCKS5

Pour Threema, il est recommandé d'utiliser SOCKS5, si cela est techniquement possible. SOCKS5 fonctionne à un niveau plus bas et ne modifie pas les en-têtes des requêtes — ce qui est important pour le bon fonctionnement des notifications push et la synchronisation des messages. Le proxy HTTP fonctionne également, mais peut créer des délais lors de la transmission de données binaires (fichiers, messages vocaux).

4. Authentification du proxy : liste blanche IP vs nom d'utilisateur/mot de passe

Pour un usage d'entreprise, il est préférable d'utiliser l'authentification par liste blanche IP (IP-whitelist) — elle ne nécessite pas de conserver des mots de passe sur les appareils des employés et est plus facile à gérer. Si les employés travaillent avec des IP dynamiques (par exemple, depuis chez eux), utilisez l'authentification par nom d'utilisateur et mot de passe avec une rotation des identifiants tous les trimestres.

5. Surveillance et proxy de secours

Pour des communications d'entreprise critiques, configurez la surveillance de la disponibilité du serveur proxy. Utilisez au moins deux proxies dans différents centres de données — un principal et un de secours. Si le proxy principal n'est pas disponible, les employés doivent savoir comment passer au proxy de secours sans perdre l'accès à Threema Work.

Erreurs courantes lors de l'utilisation d'un proxy avec Threema

En pratique, la plupart des problèmes avec Threema via un proxy proviennent de plusieurs erreurs typiques. Examinons-les en détail pour que vous ne tombiez pas dans les mêmes pièges.

Erreur 1 : Utilisation de proxies gratuits

Les proxies gratuits représentent une menace directe pour la sécurité d'entreprise. Ils enregistrent souvent tout le trafic qui passe, peuvent injecter du code malveillant, et sont souvent déjà bloqués au niveau des serveurs Threema. Pour un messager d'entreprise que vous utilisez précisément pour sa sécurité, un proxy gratuit annule complètement les avantages de Threema.

Erreur 2 : Proxies avec rotation d'IP sans sessions collantes

Si votre proxy change d'IP toutes les 1 à 5 minutes, Threema perdra constamment la connexion et demandera une nouvelle autorisation. Pour le messager, des sessions collantes sont nécessaires — une IP fixe pendant au moins 30 minutes. Lors du choix d'un fournisseur de proxy, assurez-vous de demander la durée maximale des sessions collantes.

Erreur 3 : Proxy uniquement pour certains appareils

Situation fréquente : le proxy est configuré sur les ordinateurs portables d'entreprise, mais pas sur les smartphones des employés. En conséquence, le même compte Threema Work se connecte soit via le proxy, soit directement — depuis des IP différentes. Cela peut susciter des soupçons des systèmes de sécurité et entraîner le blocage du compte. Configurez le proxy de manière uniforme sur tous les appareils d'un employé spécifique.

Erreur 4 : Ignorer les fuites DNS

Même avec un proxy configuré, les requêtes DNS peuvent contourner celui-ci — allant directement au serveur DNS du fournisseur. Cela s'appelle une fuite DNS. En conséquence, malgré le proxy, la localisation réelle du bureau peut être révélée. Vérifiez la présence de fuites DNS sur le site dnsleaktest.com après la configuration du proxy. Pour remédier à cela, utilisez DNS-over-HTTPS (DoH) ou configurez un proxy avec prise en charge du proxy DNS (SOCKS5 avec DNS distant).

Erreur 5 : Proxy sans support WebSocket

Threema utilise WebSocket pour maintenir une connexion permanente avec le serveur (notifications push, livraison rapide des messages). Certains proxies HTTP ne prennent pas en charge WebSocket ou bloquent les connexions persistantes. Avant de choisir un fournisseur, vérifiez le support de WebSocket — sinon, les notifications arriveront avec du retard ou ne viendront pas du tout.

Erreur 6 : Absence de tests avant déploiement

Avant de déployer le proxy sur tous les appareils d'entreprise, testez la configuration sur 2 à 3 appareils pendant une semaine. Vérifiez : la stabilité de la connexion, la vitesse de livraison des messages, le fonctionnement des appels vocaux et le transfert de fichiers. Ce n'est qu'après des tests réussis que vous devez passer au déploiement de masse.

Conclusion et recommandations

Threema est un outil puissant pour les communications d'entreprise, mais sa sécurité peut être considérablement renforcée en ajoutant un proxy au niveau réseau. Le proxy résout des tâches que le cryptage à lui seul ne couvre pas : contournement des blocages régionaux, masquage de l'IP d'entreprise, routage du trafic via le pare-feu d'entreprise et garantie d'une connexion stable pour les employés à distance.

Points clés de l'article :

  • Pour contourner les blocages régionaux, utilisez des proxies résidentiels avec des sessions collantes.
  • Pour une anonymité maximale de la direction — des proxies mobiles.
  • Pour le déploiement d'entreprise, configurez le proxy via MDM (Jamf, Intune), et non manuellement.
  • Vérifiez toujours les fuites DNS après la configuration.
  • Exigez du fournisseur un support WebSocket et des sessions collantes d'au moins 30 minutes.
  • N'utilisez jamais de proxies gratuits pour les communications d'entreprise.

Si vous recherchez une solution fiable pour protéger les communications d'entreprise via Threema, nous vous recommandons d'envisager des proxies résidentiels — ils offrent un niveau élevé d'anonymat, un risque minimal de blocages et un support de sessions collantes, nécessaires pour le bon fonctionnement du messager. Pour les tâches où l'anonymat maximal des négociations est critique, les proxies mobiles seront le choix optimal — leur trafic semble le plus naturel pour tous les systèmes de filtrage.

```