Les promesses « sans logs » des VPN : entre marketing et réalité

Imaginez que vous écriviez une lettre confidentielle et que vous la remettiez à une entreprise de courrier en vous demandant : « Allez-vous lire ma lettre ? En garderez-vous une copie ? » L'entreprise vous répond : « Non, nous ne gardons aucun log. » Vous la croyez sur parole. Mais comment le sauriez-vous vraiment ? Comment pourriez-vous vérifier ? C'est exactement la question que se posent les utilisateurs de VPN quand ils lisent des promesses de « zéro logs ». Ce message apparaît sur des centaines de sites, des publicités, des pages marketing. Mais qu'est-ce que cela signifie réellement ? Et comment faire la différence entre une affirmation publicitaire et une vérité vérifiable ? La différence entre une affirmation et une preuve Quand une entreprise de VPN dit « nous ne gardons pas de logs », elle fait une affirmation. Une affirmation, c'est juste une promesse verbale ou écrite. Le problème ? Les affirmations seules ne prouvent rien. C'est comme si quelqu'un vous disait « je suis honnête » — cela ne le rend pas honnête pour autant. Une preuve, en revanche, c'est quelque chose de vérifiable par une tierce partie indépendante. Imaginez un restaurant qui affirme que sa nourriture est saine. Une preuve serait un inspecteur sanitaire officiel qui arrive sans préavis, visite la cuisine et publie un rapport détaillé. L'affirmation seule signifie peu de chose. Le rapport d'inspection signifie quelque chose. Pour les VPN, la « preuve » la plus proche serait un audit indépendant — une vérification menée par une entreprise externe qui n'a aucun intérêt financier dans les résultats. Qu'est-ce qu'un audit indépendant et que peut-il vraiment vérifier ? Des sociétés d'audit réputées comme PwC, Deloitte, Cure53 et KPMG sont parfois engagées pour vérifier les affirmations des fournisseurs de VPN. Mais il est crucial de comprendre ce que ces audits peuvent et ne peuvent pas faire. Un audit peut généralement vérifier ceci : l'infrastructure technique de l'entreprise aujourd'hui, à ce moment précis, ne contient pas de système de stockage de logs — ou du moins, l'audit ne le voit pas. Les auditeurs peuvent examiner les serveurs, le code, les bases de données, et confirmer qu'à cette date, il n'y a pas d'infrastructure évidente pour enregistrer ce que les utilisateurs font. Mais un audit ne peut pas vérifier ceci : que l'entreprise ne va pas changer sa politique demain. Les audits ont une limite temporelle. Ils prennent un instantané du moment de l'audit. Ils ne peuvent pas garantir l'avenir. Imaginez un bâtiment inspecté par un architecte qui confirme que les murs sont solides — mais qui ne peut pas promettre que le propriétaire ne va pas les détruire la semaine prochaine. De plus, un audit est aussi bon que la sincérité de l'entreprise auditée. Si une entreprise cache intentionnellement quelque chose, c'est difficile à découvrir lors d'un audit. Les auditeurs regardent ce qu'on leur montre. Quand les affirmations « sans logs » se sont avérées fausses L'histoire nous rappelle à l'ordre. Il y a quelques années, certains fournisseurs de VPN bien connus ont affirmé qu'ils ne gardaient aucun log. Puis, lorsque des autorités ont demandé des données lors d'enquêtes criminelles, ces mêmes fournisseurs ont fourni des logs détaillés aux autorités — des logs qu'ils prétendaient ne pas avoir. Ce qui s'est passé ? Plusieurs possibilités : soit l'entreprise a menti depuis le début, soit elle a changé de politique sans l'annoncer publiquement, soit elle a sous-traité à des tiers qui gardaient effectivement des logs (comme les fournisseurs de serveurs ou les partenaires de bande passante). Ce cas montre une leçon importante : une affirmation, même répétée des milliers de fois, même publiée sur un site officiel, ne remplace pas une preuve vérifiable. Et même une preuve passée (un audit d'il y a un an) n'est pas une garantie permanente. Le rôle de la juridiction et des traités de surveillance Il y a une autre couche à considérer : la juridiction où l'entreprise est enregistrée. Les alliances comme « 5 Eyes », « 9 Eyes » et « 14 Eyes » — des accords entre gouvernements pour partager les données de surveillance — signifient que même si une entreprise de VPN ne garde pas de logs volontairement, les gouvernements des pays signataires peuvent contraindre les entreprises à créer des logs rétroactivement. En d'autres termes : une entreprise basée dans un pays membre de ces alliances peut être forcée légalement de garder des logs futurs pour les autorités, même si sa politique officielle dit le contraire. L'entreprise ne peut même pas vous le dire à cause d'ordonnances de confidentialité. C'est pourquoi la juridiction importe. Une entreprise basée dans un pays sans ces traités d'échange de données a une position juridique différente — pas nécessairement meilleure en termes de sécurité globale, mais différente. Ce qu'il faut vraiment demander Au lieu de chercher des VPN qui promettent « zéro logs », posez des questions précises : — Un audit indépendant récent a-t-il été réalisé ? Qui l'a fait ? Quand ? Pouvez-vous le lire ? — Si oui, que disait exactement cet audit ? Qu'a-t-il examiné ? Qu'a-t-il laissé de côté ? — Dans quels pays l'entreprise opère-t-elle ? Quelle juridiction s'applique à ses serveurs ? — Comment l'entreprise a-t-elle réagi quand des autorités ont demandé des données par le passé ? (Si vous trouvez des informations à ce sujet.) — Que dit réellement leur politique de confidentialité ? Pas leur marketing, mais le document juridique. Ces questions vous aideront à comprendre les faits, pas juste les affirmations. En résumé : une promesse « sans logs » n'est que cela — une promesse. Les audits indépendants offrent un degré de vérification plus élevé, mais ils sont limités dans le temps et dans la portée. La juridiction et les traités de surveillance ajoutent d'autres variables. La meilleure approche n'est pas de chercher une étiquette « sans logs », mais de comprendre comment l'entreprise fonctionne réellement, ce qui a été vérifié indépendamment, et quels risques existent dans votre contexte spécifique. Pour approfondir, vous pourriez explorer comment les VPN fonctionnent techniquement, ce que signifie une vraie confidentialité des données, et comment les gouvernements accèdent aux données à travers les traités de surveillance.