Selon la documentation dans default.settings.php, et j'ai vu des descriptions similaires ailleurs, "Without "Vary:Cookie", authenticated users would also be served the anonymous page from the cache."
Cependant, il $conf['omit_vary_cookie'] = TRUE;
est recommandé avec Varnish dans Drupal 7 et ne semble pas empêcher les utilisateurs de passer de sessions anon à des sessions authentifiées. Est-ce un en-tête dont Varnish ne se soucie pas vraiment?