Pourquoi un VPN ne devrait pas avoir besoin de votre e-mail

Il y a une contradiction discrete au coeur de la plupart des produits VPN. Vous vous inscrivez pour cacher votre adresse IP aux sites web et aux reseaux que vous utilisez. Avant que vous puissiez le faire, le fournisseur demande votre e-mail. Puis votre nom sur la carte. Puis une adresse de facturation. Votre inscription se fait depuis votre IP domestique, donc ils l’ont aussi. Le temps que l’application finisse de s’installer, l’entreprise que vous payez pour proteger votre confidentialite en sait plus sur vous que la plupart des sites dont vous essayiez de vous proteger.

Un VPN anonyme — qui ne sait vraiment pas qui vous etes — devrait etre le modele par defaut, pas la rare exception. Cet article explique pourquoi cette contradiction existe, a quoi ressemblent les alternatives realistes, et comment s’abonner via l’App Store sur un iPhone resout discretement un probleme que le secteur contourne depuis quinze ans.

La contradiction des le seuil

Une politique de trafic sans journaux est la fonctionnalite phare de la plupart des VPN axes sur la confidentialite. Cela signifie que le fournisseur ne conserve pas de traces des sites que vous avez visites, de ce que vous avez telecharge, ni des IP auxquelles vous vous etes connecte. C’est la promesse.

Ce que cette promesse passe souvent sous silence, c’est la seconde base de donnees — celle qui contient votre compte. Votre e-mail, votre nom tire de la carte enregistree, l’IP depuis laquelle vous vous etes inscrit, l’IP depuis laquelle vous vous connectez, vos tickets d’assistance, votre historique de renouvellement. Rien de tout cela n’est du “trafic”. Tout cela releve de l’identite. Et presque tous les VPN que vous pourriez nommer la detiennent.

La vraie question n’est donc pas “ce VPN journalise-t-il mon trafic”. La question est “que sait ce VPN sur moi, point final”. Le cote trafic et le cote compte sont deux problemes differents, et presque toute discussion sur la confidentialite des VPN ne couvre que le premier.

Les modeles de compte du secteur des VPN

Prenez du recul et vous verrez qu’il n’existe vraiment qu’une poignee de schemas. Il vaut la peine de nommer chacun pour pouvoir reperer celui qu’un fournisseur utilise.

E-mail et mot de passe

L’inscription SaaS classique. Vous donnez un e-mail, vous definissez un mot de passe, vous confirmez via un lien. Le fournisseur dispose desormais d’un identifiant permanent pour vous et d’une trace du moment et du lieu de votre inscription. C’est le modele dominant et c’est, et de loin, le plus expose.

E-mail et processeur de paiement

Comme ci-dessus, avec une carte enregistree via Stripe ou un service similaire. Le processeur gere les details de la carte, mais le VPN conserve toujours votre e-mail, votre nom tire de la carte et un historique de facturation. Les remboursements et les renouvellements exigent que l’e-mail existe.

Lien magique ou code a usage unique

Presente comme “sans mot de passe” et parfois comme “respectueux de la vie privee”. Ce n’est pas le cas, en aucun sens significatif pour la confidentialite. Le fournisseur a toujours votre e-mail ; il ne vous demande simplement pas de retenir un mot de passe pour celui-ci.

Abonnement App Store via votre Apple ID

C’est le modele que la plupart des utilisateurs d’iPhone n’examinent jamais de pres. Vous appuyez sur s’abonner, vous confirmez avec Face ID, et la transaction passe par Apple. Le developpeur ne voit ni votre e-mail, ni votre carte, ni votre nom. Il recoit un recu signe d’Apple confirmant que l’abonnement est actif. Nous y reviendrons.

Cryptomonnaie sans compte

L’option maximaliste. Vous payez en Monero ou similaire, vous recevez un jeton ou un identifiant, vous ne donnez jamais rien au fournisseur. Veritablement anonyme en principe, mais penible en pratique — vous perdez le renouvellement facile, le remboursement facile, le transfert facile entre appareils, et vous prenez sur vous la charge de gerer l’identifiant vous-meme. Pour la plupart des utilisateurs, ce n’est pas une vraie option, meme s’ils tiennent au resultat.

Les risques des comptes VPN lies a l’identite

Il est facile de balayer les donnees cote compte d’un “bon, ils ont mon e-mail, et alors”. Le “et alors” devient concret assez vite.

Le rayon d’impact des assignations et demandes juridiques

Une politique sans journaux du cote trafic est vraiment utile, mais elle ne s’etend pas aux donnees de compte. Si un tribunal ordonne a un fournisseur de remettre ce qu’il detient sur un e-mail ou une identite de facturation donnee, il doit obtemperer. Le fournisseur ne peut pas dire “nous ne conservons pas de journaux de trafic, donc nous n’avons rien” — il doit remettre l’enregistrement du compte, l’IP d’inscription, les tickets d’assistance et l’historique de renouvellement.

Cet enregistrement suffit souvent a lui seul a confirmer qu’une personne precise etait cliente pendant une periode precise. Selon la juridiction et la demande, c’est une divulgation significative, meme sans aucune donnee de trafic associee.

L’exposition aux fuites de donnees

Les bases de donnees de comptes fuient. Elles ont fuite chez de grands fournisseurs de VPN, des gestionnaires de mots de passe, et tout ce qu’il y a entre. Quand une base de donnees CRM ou d’authentification est compromise, la fuite n’expose pas seulement votre e-mail — elle expose le fait que vous, a cet e-mail, etiez client d’un VPN. Ce n’est pas rien. Pour certains utilisateurs, dans certains endroits, ce seul fait est la partie sensible.

La correlation croisee entre les fuites

Le probleme plus profond est qu’aucune fuite ne se produit de maniere isolee. L’e-mail de votre compte VPN est aussi votre e-mail d’achats, votre e-mail de forums, et probablement votre e-mail lie au travail. Une fois que quelques bases de donnees fuient, le meme e-mail commence a apparaitre dans toutes, et un profil se reconstitue a partir des debris. La chose la plus privee a propos d’un compte est souvent de ne pas en avoir du tout.

Pour comprendre ce que les fournisseurs veulent vraiment dire quand ils parlent de “sans journaux”, voyez notre article sur ce que signifie vraiment un VPN sans journaux, et pour une vue d’ensemble des promesses de VPN qui tiennent a l’examen, consultez notre guide des mythes courants sur les VPN.

Comment les abonnements Apple ID separent l’identite du developpeur

Le modele d’abonnement de l’App Store est structurellement tres different du modele de compte SaaS, et il vaut la peine de comprendre pourquoi cela compte pour un VPN anonyme.

Quand vous vous abonnez a une application via l’App Store, vous entrez dans une transaction avec Apple, pas avec le developpeur. Apple detient votre moyen de paiement, votre Apple ID, votre adresse de facturation et votre historique d’abonnement. Le developpeur — en l’occurrence le fournisseur de VPN — se trouve de l’autre cote de ce mur.

Ce que le developpeur recoit reellement, quand vous vous abonnez, c’est un recu signe. Le cadre StoreKit d’Apple remet a l’application un objet de transaction cryptographique, et le serveur du developpeur valide cette transaction aupres des serveurs d’Apple. La validation revient avec une seule information qui compte : oui, cet abonnement est actif, et oui, il appartient a cet identifiant anonyme. Pas d’e-mail. Pas de nom. Pas de carte. Pas d’adresse.

Si vous resiliez, vous resiliez via Apple. Si vous voulez un remboursement, vous le demandez a Apple. Si votre carte expire, vous la mettez a jour dans les reglages de votre Apple ID — le developpeur ne voit jamais la nouvelle, ni l’ancienne, ni meme que quoi que ce soit a change. Il en va de meme pour les renouvellements.

Pour l’utilisateur, cela ressemble a un flux d’abonnement normal. Structurellement, c’est une separation nette : Apple gere l’identite et l’argent, le developpeur gere le produit. Et comme il n’y a pas de formulaire d’inscription du cote du developpeur, il n’y a pas de base de donnees de comptes du cote du developpeur. La chose qui fuirait lors d’une compromission n’existe pas pour fuir.

Ce n’est pas une astuce de confidentialite. C’est ainsi que fonctionnent tous les abonnements de l’App Store. La plupart des applications qui l’utilisent n’ont pas d’histoire de confidentialite a raconter avec, parce qu’elles demandent votre e-mail separement, dans l’application, pour “creer votre compte”. Un VPN n’a pas besoin de le faire, et la plupart le font quand meme par habitude.

Comment Snap VPN gere cela

Snap est construit autour de l’hypothese que le flux de l’App Store suffit. Il n’y a pas de formulaire d’inscription au premier lancement. Il n’y a de champ e-mail nulle part. Il n’y a pas d’etape “creer un compte” avant de pouvoir se connecter.

Vous installez l’application, vous appuyez sur s’abonner, vous confirmez avec Face ID. Du cote de Snap, ce qui arrive est un recu verifie et un identifiant anonyme. Le recu indique que vous etes abonne. L’identifiant permet a l’application de se souvenir que sur cet appareil, vous etes abonne. Ni l’un ni l’autre ne contient votre e-mail, votre nom ou vos informations de paiement, parce que les serveurs de Snap ne les recoivent pas — Apple, oui.

Aucun identifiant d’utilisateur lie a une identite reelle n’est stocke de notre cote. La confiance que vous accordez a Snap est operationnelle (le reseau, les serveurs, le protocole), pas le genre de confiance “nous detenons votre identite, faites-nous confiance avec elle” qui accompagne chaque compte e-mail-et-mot-de-passe.

En termes concrets : si quelqu’un demandait a Snap “toutes les donnees que vous avez sur la personne a cette adresse e-mail”, il n’y aurait aucun enregistrement a produire, parce qu’aucune adresse e-mail n’est enregistree. Ce n’est pas une promesse marketing, c’est la consequence de ne pas avoir construit le formulaire d’inscription.

Si vous voulez aller plus loin sur l’appareil lui-meme, notre liste de controle de confidentialite iPhone couvre les reglages a activer en complement d’un VPN anonyme.

Limites honnetes

Il serait trompeur de terminer l’article ici sans nommer ce que ce modele ne fait pas. Un VPN anonyme bati sur l’Apple ID n’est pas la meme chose qu’un VPN sans aucune dependance de confiance.

Vous faites toujours confiance a Apple. Apple sait que vous vous etes abonne. Si cela vous preoccupe — si votre modele de menace inclut Apple lui-meme — alors le modele d’abonnement de l’App Store ne convient pas, et la voie de la cryptomonnaie sans compte est la seule reponse honnete. Pour la plupart des utilisateurs, le compromis est acceptable : Apple est une entite connue, la relation existe deja, et les donnees sont contenues dans un ecosysteme dans lequel vous etes deja.

Vous faites toujours confiance au fournisseur de VPN pour exploiter le reseau honnetement. Aucun modele de compte ne corrige cela. Un fournisseur qui n’a pas votre e-mail peut quand meme mal configurer un serveur, journaliser des connexions qu’il affirmait ne pas journaliser, ou vendre des donnees agregees qu’il ne devrait pas. Le modele de compte consiste a reduire ce qu’une compromission peut exposer, pas a supprimer la necessite de faire confiance a l’operateur.

Ce qu’il change, c’est la taille du rayon d’impact. Si les serveurs de Snap etaient compromis demain, un attaquant ne trouverait aucune liste d’e-mails, aucune liste de noms, aucun numero de carte, aucune adresse de facturation, aucune archive de tickets d’assistance liee a des identites reelles. La chose qui fuit habituellement lors d’une compromission de VPN — la base de donnees de comptes — n’existe pas. Il y a moins a compromettre parce qu’il y a moins de collecte.

C’est tout l’interet. Anonyme par conception signifie concevoir le systeme de sorte que la chose sensible n’y soit pas des le depart, pas qu’elle soit “protegee” ou “chiffree au repos” ou l’une des autres formules qui veulent dire “nous l’avons, mais avec soin”.

En resume

La contradiction d’un VPN qui demande votre e-mail est reelle, et le secteur l’a surtout contournee au lieu de la corriger. La correction n’est pas une cryptographie inedite ni un nouvel audit sans journaux ; c’est de ne pas construire la base de donnees de comptes en premier lieu. Le modele d’abonnement de l’App Store rend cela possible sur iPhone d’une maniere invisible pour l’utilisateur et structurellement propre pour le developpeur. Voila a quoi ressemble un VPN anonyme quand le cote compte est pris aussi au serieux que le cote trafic.

Si vous choisissez un VPN et que la premiere chose qu’il demande est votre e-mail, c’est un signal juste sur la maniere dont le reste du produit va penser vos donnees. De meilleurs choix par defaut existent.

Pour finir

Si un VPN qui ne connait pas votre e-mail vous semble le bon choix par defaut — parce que c’en est un — Snap est concu ainsi des le premier appui. Pas d’inscription. Pas de formulaire. Aucune identite enregistree. Juste une application, un abonnement ancre a votre Apple ID, et un reseau que vous pouvez utiliser.