Les politiques de VPN sans journaux expliquees
Une politique de VPN sans journaux est l’engagement d’un fournisseur de service a ne conserver aucune trace de l’activite des utilisateurs. L’expression est devenue courante dans le marketing des VPN, mais son sens reel varie d’un fournisseur a l’autre. Cet article explique ce que couvre une politique sans journaux credible, comment elle est mise en oeuvre au niveau de l’infrastructure, et comment evaluer si la promesse est etayee par des preuves independantes.
Ce qu’une politique sans journaux affirme
Une politique sans journaux est une declaration sur les types de donnees d’utilisateur que le fournisseur enregistre et conserve. Les politiques solides traitent specifiquement des journaux de connexion, des journaux d’activite et des metadonnees identifiantes, et elles decrivent les mesures techniques qui font appliquer la politique.
La formulation compte, car “sans journaux” est parfois employe de maniere vague pour signifier “aucun journal que nous jugeons sensible”, tandis que d’autres donnees — utilisation de la bande passante, nombre de connexions, charge des serveurs — continuent d’etre conservees a des fins operationnelles. Une politique claire distingue les deux et explique la raison d’etre de chacune.
Les types de journaux
Dans un contexte de VPN, les journaux relevent generalement de trois categories.
Journaux d’activite
Les journaux d’activite enregistrent quels sites web, applications ou destinations le trafic d’un utilisateur a atteints pendant une session. C’est la categorie la plus sensible. Un fournisseur qui conserve des journaux d’activite peut reconstituer l’historique de navigation d’un utilisateur. Une politique sans journaux qui ne renonce pas explicitement aux journaux d’activite n’est pas un engagement de confidentialite significatif.
Journaux de connexion
Les journaux de connexion enregistrent quand un utilisateur s’est connecte, combien de temps la session a dure, l’adresse IP source depuis laquelle l’utilisateur s’est connecte, et le serveur auquel l’utilisateur s’est connecte. Bien que moins sensibles que les journaux d’activite, les journaux de connexion peuvent servir a mettre en correlation des sessions VPN avec une activite observee ailleurs sur l’internet.
Journaux agreges ou operationnels
Les journaux agreges enregistrent des indicateurs tels que la bande passante totale par serveur, le nombre de sessions simultanees et le nombre d’erreurs. Ils sont generalement necessaires a la planification de capacite et a la lutte contre les abus. Une politique sans journaux raisonnable distingue entre les indicateurs operationnels agreges et les journaux propres a chaque utilisateur.
Comment elle est mise en oeuvre
Une politique sans journaux credible est imposee par la conception de l’infrastructure, et pas seulement par la politique de l’entreprise. Plusieurs pratiques sont couramment utilisees.
- Serveurs uniquement en memoire. Les serveurs VPN tournent entierement en RAM, sans aucun stockage persistant attache. Lorsque le serveur redemarre, toute donnee en memoire est perdue. On parle parfois d’une configuration uniquement en RAM ou sans disque.
- Tunnels sans etat. Les protocoles modernes comme WireGuard maintiennent un etat minimal sur le serveur. Le serveur sait quels pairs sont autorises mais n’a pas besoin de suivre l’historique des sessions. En revanche, OpenVPN avec une authentification par nom d’utilisateur conserve un etat supplementaire.
- Journaux systeme supprimes. Les serveurs sont configures de sorte que les journaliseurs systeme par defaut n’enregistrent pas d’informations par connexion. La journalisation detaillee n’est generalement activee que brievement pendant le debogage.
- Aucune base de donnees de comptes. Les services qui n’exigent pas de comptes d’utilisateurs ne peuvent absolument pas relier des connexions a des individus. Snap VPN suit cette approche : les abonnements sont traites par Apple, et le service ne maintient pas de base de donnees d’utilisateurs.
Audits independants
Un audit independant est la forme de preuve la plus solide disponible attestant qu’une politique sans journaux est mise en oeuvre comme annonce. Une mission d’audit typique implique qu’une societe de securite tierce examine les configurations de serveurs du fournisseur, son code source et ses procedures operationnelles au cours de plusieurs semaines.
La valeur d’un audit depend de sa portee. Un audit utile precise quels serveurs, composants et periodes ont ete examines, et publie les conclusions — positives comme negatives — dans un rapport consultable dans son integralite. Les audits qui ne produisent qu’un resume marketing sont nettement plus faibles.
Il est aussi important de reconnaitre ce qu’un audit ne peut pas etablir. Un audit saisit un instantane a un moment donne. Il ne garantit pas que le fournisseur continuera de fonctionner de la meme maniere une fois l’audit termine. Des audits repetes a intervalles reguliers offrent une assurance continue plus forte.
Demandes juridiques
Une politique sans journaux interagit avec les procedures juridiques de maniere importante. Si un fournisseur recoit une assignation ou une decision de justice exigeant des donnees d’utilisateur, il ne peut divulguer que ce qu’il detient. Si les journaux d’activite et de connexion ne sont pas conserves, le fournisseur n’a rien a divulguer sur l’activite precise d’un utilisateur au-dela de l’enregistrement de l’abonnement.
Plusieurs fournisseurs publient des “rapports de transparence” decrivant les demandes juridiques recues et les reponses apportees. Un rapport de transparence qui recense les demandes recues et detaille l’absence de donnees substantielles a divulguer est coherent avec une politique sans journaux qui fonctionne.
La juridiction compte aussi. Le regime juridique sous lequel le fournisseur opere determine les types de demandes auxquelles il peut etre contraint de se conformer et s’il peut etre oblige de commencer a journaliser de maniere prospective.
Verifier une promesse
Plusieurs signaux indiquent si une promesse sans journaux est credible.
- La precision de la politique. La politique nomme explicitement les categories de journaux qui ne sont pas conservees, plutot que d’employer des formulations vagues.
- L’historique des audits. Le fournisseur a commande des audits independants, les rapports d’audit complets sont accessibles au public, et les audits couvrent les composants qui comptent le plus — les serveurs et les systemes d’authentification.
- La conception operationnelle. L’infrastructure est decrite en detail technique, notamment l’utilisation de serveurs uniquement en memoire, d’une authentification sans compte et de protocoles sans etat.
- Les rapports de transparence. Le fournisseur publie des rapports recurrents decrivant les demandes juridiques recues et les reponses apportees.
Pieges courants
Plusieurs schemas indiquent une promesse sans journaux qui pourrait etre moins robuste qu’il n’y parait.
Langage ambigu.Les politiques qui promettent de ne conserver “aucune information personnelle identifiable” sans preciser quelles categories de donnees sont exclues peuvent etre compatibles avec la conservation de metadonnees de connexion substantielles.
Services bases sur un compte. Un service qui exige une adresse e-mail pour un compte conserve intrinsequement certaines informations, meme s’il affirme ne pas journaliser l’activite. Les services sans compte ont une position structurelle plus solide.
Auto-attestation uniquement. Une promesse sans journaux qui n’a pas ete examinee par une partie independante repose uniquement sur la declaration du fournisseur.
Snap VPN est structure pour rendre une promesse sans journaux mecaniquement credible : aucun compte d’utilisateur, des serveurs uniquement en memoire, et le protocole WireGuard, qui porte un etat de session minimal. Pour un contexte plus large, voyez notre introduction aux VPN et la comparaison de WireGuard et OpenVPN.