Télécharger
Retour au blog
Confidentialité··15 min de lecture

Ce que « sans journaux » signifie vraiment pour un VPN

Langue: EnglishالعربيةDeutschEspañolفارسیहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt简体中文繁體中文

Ouvrez la page d’accueil de n’importe quel VPN et vous verrez les memes deux mots tout en haut : “sans journaux”. On les voit si souvent qu’ils ont cesse de signifier quoi que ce soit de precis. Chaque fournisseur le dit. Les premium, les bon marche, ceux qui affichent des panneaux dans les aeroports, ceux dont vous n’avez jamais entendu parler. Ils le disent tous. Et pourtant, ceux qui le disent font tourner de vrais serveurs, sur de vrais disques et de la vraie memoire, qui traitent chaque paquet que vous envoyez a travers eux.

Alors que signifie vraiment une promesse de VPN sans journaux, et comment sauriez-vous si elle est tenue ? C’est la question a laquelle le discours marketing ne repond jamais honnetement. Cet article y repond.

La version courte : “sans journaux” est un point de depart utile, pas une ligne d’arrivee. L’expression couvre un large eventail de pratiques, dont certaines vous protegent reellement et d’autres ne sont au fond qu’un habillage marketing autour d’une conservation de donnees parfaitement normale. Pour l’evaluer, vous devez d’abord savoir ce qu’un fournisseur de VPN peut voir, quelles categories de journaux existent, et la difference entre une politique de non-journalisation et une architecture qui ne peut pas journaliser.

Ce qu’un fournisseur de VPN peut voir

Avant de parler de journalisation, il faut parler de visibilite. La journalisation est une question de ce qui est consigne. La visibilite est une question de ce qui se trouve devant le serveur en premier lieu. Ce sont des problemes differents, et les confondre est l’un des principaux moyens par lesquels le marketing des VPN induit les gens en erreur.

Quand vous vous connectez a un VPN, votre appareil etablit un tunnel chiffre vers l’un des serveurs du fournisseur. De la, le serveur dechiffre votre trafic et le transmet a l’internet public. Cette etape de dechiffrement est tout l’interet — c’est ainsi que le VPN substitue son adresse IP a la votre lorsque votre trafic atteint le site que vous visitez. Notre introduction a ce qu’est un VPN et comment il fonctionne detaille davantage les mecanismes sous-jacents.

Cette configuration, a elle seule, signifie que le serveur VPN peut techniquement observer :

  • Votre adresse IP reelle au moment de la connexion. Votre appareil doit indiquer au serveur ou envoyer les paquets de reponse chiffres. Cette destination est votre IP reelle.
  • A quel serveur VPN vous vous etes connecte, et quand. Le serveur que vous avez choisi, l’horodatage de votre connexion, l’horodatage de votre deconnexion. Ce sont les metadonnees de la session.
  • Les requetes DNS que vous avez faites, si le VPN fait tourner son propre resolveur DNS. Quand vous tapez un domaine dans votre navigateur, quelque chose doit en chercher l’adresse IP. Si votre VPN s’en charge, il voit ces recherches.
  • La bande passante utilisee par session. Combien d’octets ont circule dans chaque sens.
  • Les schemas temporels du trafic. Meme si le contenu est chiffre jusqu’au site de destination, la taille et le rythme des paquets peuvent reveler des informations a un observateur determine.

Le contenu chiffre de vos connexions HTTPS ne figure pas dans cette liste. Une fois que votre navigateur dialogue avec, disons, votre banque via TLS, le VPN voit des octets chiffres aller vers l’IP de votre banque, pas le contenu reel. Cette partie de la protection est bien reelle et importante.

Mais les metadonnees ci-dessus sont reelles. Elles existent en memoire pendant que votre session est active, parce que le serveur en a besoin pour faire son travail. La question des “journaux” est ce qui arrive ensuite a ces donnees — sont-elles ecrites sur disque, conservees, indexees, retenues, et potentiellement produites plus tard sous pression juridique.

Les categories de journaux

Tous les journaux ne se valent pas. Une evaluation utile d’un VPN sans journaux commence par distinguer trois categories, car les fournisseurs les melangent a dessein.

Journaux de connexion

Ce sont des metadonnees de session minimales : la trace qu’un utilisateur s’est connecte a un certain horodatage a un certain serveur, eventuellement avec la duree de la session et la bande passante utilisee. Beaucoup de fournisseurs en conservent une version a court terme pour le diagnostic, la lutte contre les abus ou la planification de capacite. Un petit nombre ne conserve rien du tout.

Les journaux de connexion a eux seuls ne sont pas catastrophiques. Ils ne revelent pas ce que vous avez fait. Mais ils revelent que vous avez utilise le service, ce qui peut compter dans certains contextes, et ils deviennent bien plus revelateurs une fois combines a des donnees de compte identifiantes.

Journaux de trafic

C’est la categorie qui ne devrait pas exister. Les journaux de trafic consignent quels sites ou IP vous avez visites, quelles etaient vos requetes DNS, et dans les cas extremes les URL que vous avez demandees. Un VPN qui conserve des journaux de trafic est, du point de vue de la confidentialite, pire que pas de VPN du tout — vous avez concentre la visibilite de votre navigation dans la base de donnees d’un seul fournisseur au lieu de la fragmenter entre votre fournisseur d’acces (FAI) et les sites que vous visitez.

Aucun VPN serieux ne devrait conserver de journaux de trafic. Si la politique d’un fournisseur est ambigue sur ce point, traitez l’ambiguite comme un non.

Metadonnees identifiantes

C’est la categorie que la plupart des gens oublient, et c’est souvent la que se joue la vraie question de confidentialite. Elle comprend :

  • L’adresse e-mail avec laquelle vous vous etes inscrit
  • Votre moyen de paiement et vos coordonnees de facturation
  • L’adresse IP depuis laquelle vous vous etes inscrit
  • Les tickets d’assistance et les IP depuis lesquelles ils ont ete envoyes
  • Toute information de recuperation de compte
  • Les horodatages de connexion et les empreintes d’appareil utilisees pour la securite du compte

Les metadonnees identifiantes constituent votre identite aupres du VPN. Meme si le fournisseur ne conserve vraiment aucun journal de trafic ni aucun journal de connexion, un e-mail plus une carte bancaire signifient qu’il peut repondre a la question “cet etre humain precis a-t-il eu un compte chez nous ?” — et c’est souvent la seule question a laquelle quiconque a besoin d’une reponse.

Voila pourquoi une promesse de VPN sans journaux, prise isolement, est incomplete. Un fournisseur qui ne conserve aucun journal mais exige une inscription par e-mail et carte a batie sa confidentialite sur une politique, pas sur une architecture. Les donnees existent toujours ; elles vivent simplement dans une autre table. Le meme point revient dans notre article sur les services de VPN anonyme sans e-mail.

Politique contre architecture

Il y a deux choses fondamentalement differentes qu’un fournisseur peut vouloir dire lorsqu’il affirme ne pas journaliser.

“Nous ne journalisons pas”est une affirmation de politique. Les systemes sont capables de journaliser. Ils pourraient journaliser temporairement, en memoire, ou dans un outil d’assistance quelque part. La promesse est que l’entreprise choisit de ne pas conserver ces donnees, ou choisit de les supprimer. C’est une vraie promesse, qui a de la valeur — mais elle repose sur la confiance accordee a l’entreprise. Les politiques peuvent changer. Les employes peuvent commettre des erreurs. Des decisions de justice peuvent imposer des changements qui ne sont pas annonces.

“Nous ne pouvons pas journaliser”est une affirmation d’architecture. Le systeme a ete concu pour que les donnees ne persistent pas. Les serveurs tournent uniquement en memoire et oublient tout au redemarrage. Il n’existe aucune table de base de donnees ou les informations pertinentes pourraient etre conservees, meme si quelqu’un le voulait. La creation de compte n’exige pas de collecter d’informations identifiantes en premier lieu. C’est une affirmation bien plus forte parce qu’elle ne depend pas d’une bonne volonte continue — les donnees ont disparu parce qu’elles n’ont nulle part ou aller.

L’architecture est verifiable, du moins en principe. La politique exige de la confiance.

La plupart des fournisseurs proposent un melange. Le marketing tend a decrire des promesses de politique dans un langage qui sonne architectural (“serveurs sans journaux”, “infrastructure uniquement en RAM”). Lisez attentivement. La question a poser est : si quelqu’un signifiait demain a ce fournisseur une demande juridique legitime exigeant tout ce qu’il detient sur un compte precis, que pourrait-il reellement produire ? Si la reponse honnete est “un e-mail, un historique de paiement, l’IP d’inscription, l’historique d’assistance, et peut-etre des horodatages de connexion”, c’est la votre plancher de confidentialite, quoi que dise la page d’accueil.

Comment evaluer une promesse

Voici une liste de controle pratique pour evaluer quelles donnees un VPN collecte et si ses promesses sont credibles.

Audit independant par un tiers

Cherchez un rapport publie par une societe de securite reputee ayant examine les systemes, la methodologie et l’infrastructure du fournisseur. Deux choses a verifier :

  • L’anciennete. Un audit datant de quatre ans decrit une entreprise qui n’existe peut-etre plus sous la meme forme. Deux ans ou moins est un seuil raisonnable.
  • La portee. Les audits varient enormement dans ce qu’ils ont reellement examine. Un audit de la politique sans journaux est plus significatif qu’un audit de securite generique. Lisez la section sur la portee du rapport lui-meme, pas le resume sur le blog du VPN.

Rapports de transparence et warrant canaries

Certains fournisseurs publient combien de demandes juridiques de donnees d’utilisateurs ils recoivent chaque annee, ventilees par juridiction et par type, et ce qu’ils ont pu fournir en reponse. Un fournisseur qui publie “nous avons recu N demandes et fourni des donnees dans aucune d’elles, parce que nous n’avions rien a fournir” fait une declaration plus forte que celui qui ne publie rien.

Un warrant canary est une declaration periodique selon laquelle le fournisseur n’a pas recu certains types d’injonctions juridiques. Si la declaration disparait ou cesse d’etre mise a jour, l’absence elle-meme est un signal. Les canaries ont des faiblesses juridiques connues, mais leur presence demontre au moins que le fournisseur a reflechi a cette dimension.

Juridiction

Le pays dans lequel un VPN est immatricule determine quelles lois lui s’appliquent et sous quels accords de cooperation internationale il opere. Certaines juridictions imposent des lois de conservation obligatoire des donnees aux operateurs de telecommunications. D’autres appartiennent a des alliances formelles de partage de renseignement qui obligent a une cooperation transfrontaliere.

Ce n’est pas un axe binaire bon-ou-mauvais — differents modeles de menace se soucient de choses differentes. Mais il vaut la peine de savoir ou votre VPN est immatricule et ce que cela implique, plutot que de choisir selon la page d’accueil qui parait la plus nette.

Modele de compte

C’est celui que la plupart des gens negligent. Regardez comment vous vous inscrivez. Si la creation d’un compte exige une adresse e-mail valide, alors le VPN a une adresse e-mail valide qui vous concerne. Si le paiement se fait par carte bancaire, le VPN dispose d’un historique de facturation lie a votre nom. Ces enregistrements font partie du tableau de la confidentialite, que le fournisseur “journalise” ou non quoi que ce soit d’autre.

Les options de paiement anonymes (cartes cadeaux, certaines cryptomonnaies) modifient quelque peu cela. Les modeles d’abonnement qui s’appuient sur une identite de plateforme que vous possedez deja, comme l’Apple ID via l’App Store, le modifient autrement : le fournisseur de VPN n’obtient pas votre identite, mais la plateforme, elle, l’obtient.

Code client open source

Si l’application sur votre appareil est open source, les chercheurs en securite peuvent verifier ce qu’elle envoie reellement et vers ou. Cela ne couvre pas le cote serveur, mais cela elimine une categorie d’incertitude : vous pouvez savoir si le client envoie discretement des donnees de telemetrie auxquelles vous n’avez pas consenti.

Les clients a code ferme ne sont pas automatiquement suspects, mais ils sont moins verifiables. Combines au tableau des audits, les clients open source relevent le plancher de ce que vous pouvez verifier de maniere independante.

Affaires judiciaires passees

Si un VPN a ete implique dans des procedures judiciaires ou des journaux ont ete exiges, le dossier public montrera ce qui s’est passe. Ont-ils fourni des donnees ? Avaient-ils des donnees a fournir ? La reponse correspondait-elle a leurs promesses de politique ?

Ces affaires ne sont pas frequentes, mais elles sont extremement instructives lorsqu’elles existent. Cherchez le nom du fournisseur avec “assignation” ou “decision de justice” et lisez la couverture mediatique plutot que la version du fournisseur lui-meme.

Un cadre de comparaison simple

Voici une maniere compacte d’examiner les questions ci-dessus :

QuestionReponse de politiqueReponse d’architecture
Journalisez-vous le trafic ?“Nous choisissons de ne pas le faire”“Le systeme n’a aucun endroit pour le stocker”
Avez-vous mon e-mail ?“Oui, mais nous ne le partageons pas”“Nous n’en avons jamais collecte”
Avez-vous mon IP a l’inscription ?“Oui, mais nous la supprimons apres N jours”“Nous ne l’avons jamais demandee”
Pouvez-vous dire si j’etais utilisateur ?“Nous le pourrions, mais nous ne le ferons pas”“Nous n’avons aucune trace”
Et si un tribunal vous y contraint ?“Nous resisterons, puis nous obtempererons si forces”“Nous n’avons rien a fournir”

Aucune colonne n’est uniformement correcte pour tous les fournisseurs, et la plupart se situent quelque part au milieu. Mais placer un VPN donne sur ce tableau est plus utile que d’acquiescer au “sans journaux” affiche sur la page d’accueil.

L’approche de Snap VPN

Snap VPN se situe plus pres de la colonne architecture que de la colonne politique. Concretement :

  • Aucun e-mail ni inscription de compte. L’abonnement est gere via l’App Store grace a votre Apple ID. Nous ne collectons jamais d’adresse e-mail, de nom d’utilisateur, de numero de telephone, ni aucun identifiant de compte. Il n’y a pas de base de donnees de comptes au sens classique.
  • Aucun journal de trafic. Nous n’enregistrons pas les sites que vous visitez, les IP avec lesquelles vous communiquez, ni les requetes DNS que vous faites.
  • Aucun journal de connexion persistant. Nous ne conservons pas de trace retenue indiquant quel Apple ID s’est connecte a quel serveur et a quel moment. L’etat operationnel necessaire pour acheminer une session active n’est pas la meme chose qu’un historique de connexion stocke.
  • Aucun identifiant d’utilisateur lie a une personne reelle. En interne, votre abonnement est identifie par une valeur opaque fournie par l’App Store. Nous n’avons ni nom, ni e-mail, ni numero de telephone rattache a cette valeur, et nous ne pouvons pas en deduire un.

Pour etre honnete sur ce qui existe bel et bien : faire tourner un VPN exige un certain etat operationnel. Un serveur doit savoir qu’une session est active pour pouvoir vous renvoyer les paquets. Il existe des compteurs et des metadonnees ephemeres necessaires au seul fonctionnement du reseau, de la meme maniere que tout routeur doit suivre les connexions actives pour faire son travail. Voila a quoi ressemble en pratique la categorie des journaux de connexion de la taxonomie ci-dessus : ephemere, limitee a la session en cours, non conservee comme une trace de votre activite, et non rattachee a quoi que ce soit qui vous identifie.

Le principe derriere ces choix est banal : moins de donnees collectees, c’est moins de donnees qui peuvent etre perdues, compromises ou exigees. Si une information n’a jamais ete recueillie, elle ne peut pas etre exfiltree lors d’une fuite, elle ne peut pas faire l’objet d’une assignation, et elle ne peut pas etre detournee plus tard quand les besoins de l’entreprise changent ou que quelqu’un la rachete. L’architecture l’emporte sur la politique non pas parce que les politiques sont insinceres, mais parce que l’architecture supprime l’option.

Si vous voulez creuser specifiquement le modele de compte, consultez notre explication sur l’ inscription a un VPN anonyme sans adresse e-mail.

Ce qu’aucun VPN ne peut faire

Il vaut la peine d’etre explicite sur les limites, car une partie de la confiance accordee aux VPN est mal placee et finit par decevoir ceux qui attendaient plus que ce que la technologie peut offrir.

  • Un VPN ne peut pas vous cacher des sites ou vous vous connectez. Si vous ouvrez Gmail via un VPN, Google sait toujours que c’est vous. Vous vous etes identifie. Le VPN change le chemin, pas l’identite.
  • Un VPN ne peut pas empecher le pistage par empreinte de navigateur. Les sites construisent des identifiants a partir de la version de votre navigateur, de la taille de l’ecran, des polices, du fuseau horaire et de cent autres petits details. Un VPN ne traite pas du tout cette couche.
  • Un VPN ne previent pas les logiciels malveillants. Il chiffre votre trafic ; il ne l’inspecte pas a la recherche de menaces. L’antivirus est un sujet distinct.
  • Un VPN ne peut pas accorder par magie l’anonymat sur des services ou vous vous etes deja authentifie. L’anonymat doit etre concu des le depart. Si votre point de depart est un compte authentifie, un VPN achemine differemment le trafic de ce compte — c’est tout l’effet.

Un VPN est une couche d’une pile de confidentialite, pas la pile entiere. Lectures connexes : les mythes courants sur les VPN demystifies, ce qu’est vraiment un VPN, et une liste de controle de confidentialite iPhone plus large pour superposer le reste.

En resume

“Sans journaux” est le raccourci d’une conversation bien plus vaste. Quand vous le voyez sur la page d’accueil d’un VPN, traitez-le comme le titre, pas comme la reponse. Les questions qui comptent vraiment sont :

  • Quelles donnees le systeme collecte-t-il, y compris les metadonnees identifiantes a l’inscription ?
  • Parmi les donnees collectees, lesquelles conserve-t-il, sous quelle forme et pendant combien de temps ?
  • La promesse sans journaux est-elle une politique (nous promettons) ou une architecture (nous ne pouvons pas) ?
  • Quelqu’un d’independant a-t-il verifie la promesse recemment, et qu’a-t-il reellement examine ?
  • Quel est l’historique du fournisseur lorsqu’une pression juridique a ete exercee ?

Un fournisseur qui repond a ces questions en termes clairs, avec une distinction nette entre ce qu’il a promis et ce que son architecture rend impossible, est un fournisseur sur lequel vous pouvez raisonner. Celui qui evoque vaguement le “sans journaux” et change de sujet, non.

La raison pour laquelle cette distinction compte est simple : une confidentialite qui depend entierement du bon comportement continu d’une entreprise est une confidentialite que vous ne controlez pas totalement. Une confidentialite structurellement contrainte, parce que les donnees n’ont jamais ete collectees en premier lieu, est la version qui survit aux changements de proprietaire, de juridiction, de direction et de climat juridique.

Snap VPN a ete concu autour de cette deuxieme idee. Aucune inscription par e-mail, aucun identifiant de compte, aucun identifiant d’utilisateur lie a une personne reelle. L’abonnement repose sur votre Apple ID via l’App Store, le trafic n’est pas journalise, et l’etat operationnel necessaire pour faire tourner le reseau n’est pas lie a votre identite. Ce n’est pas la seule maniere de construire un VPN, et cela ne resout pas toutes les preoccupations de confidentialite. Mais cela supprime une categorie de risque qu’aucune promesse de politique seule ne peut supprimer. Si c’est le genre de conception que vous voulez derriere votre trafic, c’est ce qui est propose ici. Juste une description honnete des choix que nous avons faits et de leurs raisons.

The Snap VPN Team
Editorial