Ce qu'un audit no-logs de VPN prouve réellement (et 4 limites)
Ce qu'un audit no-logs de VPN prouve réellement (et les 4 choses qu'il ne prouve pas)
Presque tous les grands VPN arborent désormais la formule « audité comme no-logs par un tiers indépendant » comme une médaille d'or. Les pages marketing réduisent un rapport d'assurance dense et soigneusement formulé à une simple coche verte, et la plupart des acheteurs interprètent cette coche comme « ce fournisseur ne conserve rien, jamais, et un tribunal l'a confirmé. » Ce n'est pas ce que dit un audit. On en est même très loin.
Un audit est une mission au périmètre délimité, bornée dans le temps, souvent en assurance limitée, qu'un fournisseur commande et finance lui-même. Lu correctement, c'est une preuve réellement utile. Lu comme une garantie, il vous induit en erreur. Ce guide décode ce qu'un audit no-logs prouve réellement, les quatre choses qu'il ne peut structurellement pas prouver, comment lire le périmètre et la norme qui le sous-tendent, et pourquoi des choix d'infrastructure vérifiables, comme les serveurs en RAM uniquement et une saisie réelle éprouvée, vous en disent plus que n'importe quel badge. À la fin, vous disposerez d'une liste de contrôle applicable à n'importe quel fournisseur par vous-même.
Ce que « no-logs » signifie réellement (et la distinction que la plupart des allégations brouillent)
Avant de pouvoir juger un audit, il faut savoir ce qui est audité. « No-logs » n'est pas une notion unique. Il existe au moins deux catégories de données très différentes, et la formule marketing « nous ne conservons pas de logs » ne renvoie presque toujours, discrètement, qu'à l'une d'entre elles.
Journaux d'activité (d'usage) — les sites que vous visitez, les requêtes DNS, le contenu ou la destination de votre trafic, les fichiers téléchargés. Un VPN no-logs crédible ne doit rien conserver de tout cela. Le stocker irait à l'encontre de la raison d'être même du produit.
Journaux de connexion (métadonnées) — les horodatages de vos connexions, la durée des sessions, le volume de données transféré, l'adresse IP source depuis laquelle vous vous êtes connecté et le serveur VPN utilisé. C'est là que les allégations divergent radicalement. Certains fournisseurs conservent des données de connexion agrégées ou temporaires pour prévenir les abus, planifier les capacités ou faire respecter les limites de connexions simultanées.
Le danger, c'est la corrélation. Même sans journaux d'activité, un horodatage de connexion précis associé à votre IP d'origine peut, en principe, vous relier à une action observée côté destination au même instant. Ainsi, lorsqu'un fournisseur affirme « no-logs », la première question n'est jamais de savoir si un auditeur a vérifié, mais quelle catégorie l'audit a couverte. Un audit irréprochable des journaux d'activité qui ne dit rien des métadonnées de connexion a répondu à la question facile et esquivé la difficile.
Les types d'audit, et pourquoi ils ne sont pas interchangeables
« Audité » fait tenir plusieurs exercices distincts en un seul mot. Ils se recoupent, mais ils prouvent des choses différentes, et un fournisseur citera naturellement celui qui paraît le plus solide.
Attestation no-logs / de confidentialité vs. audit de sécurité
Une mission d'attestation no-logs examine les configurations des serveurs, les processus de traitement des données et les politiques internes afin d'évaluer si la description par le fournisseur de ses pratiques de journalisation est présentée fidèlement. Un audit de sécurité (test d'intrusion, revue de code source, audit applicatif) cherche des vulnérabilités dans les applications, l'infrastructure ou la cryptographie. Ce ne sont pas des substituts. Un VPN peut avoir une configuration no-logs impeccable et une faille critique qui divulgue votre IP, ou des applications durcies et un backend qui conserve discrètement des métadonnées. Vous voulez les deux, et vous ne devez pas laisser l'un tenir lieu de l'autre.
Instantané vs. continu
La grande majorité des audits no-logs sont ponctuels (parfois appelés type 1) : l'auditeur inspecte les systèmes tels qu'ils existent à une date donnée ou sur une courte fenêtre. Une mission continue (type 2) vérifie si les contrôles ont fonctionné efficacement sur une période définie, disons six ou douze mois. Un audit ponctuel vous dit que le placard était vide l'après-midi où l'inspecteur est passé. Il ne vous dit rien des jours d'avant ou d'après.
Assurance raisonnable vs. assurance limitée
C'est la ligne la plus négligée de tout rapport d'audit. Sous les normes d'assurance qu'utilisent la plupart des audits de VPN, l'auditeur exprime l'un de deux niveaux de confiance. L'assurance raisonnable est le niveau le plus élevé : des tests approfondis appuyant une opinion positive (« à notre avis, les contrôles sont fidèlement présentés »). L'assurance limitée est plus faible : l'auditeur réalise moins de procédures et émet une conclusion sous forme négative (« rien n'a été porté à notre attention donnant à penser que les allégations soient significativement inexactes »). Beaucoup d'audits no-logs vedettes sont des missions en assurance limitée. « Rien n'a été porté à notre attention » est une affirmation nettement plus tiède que « nous l'avons vérifié », et elle accomplit beaucoup de travail discret derrière le badge.
Un audit n'est pas un test d'intrusion de l'honnêteté de votre fournisseur. C'est une opinion structurée sur une description précise, à une date précise, dans un périmètre que le fournisseur a contribué à définir.
Les quatre choses qu'un audit no-logs NE prouve PAS
Même un excellent audit réalisé par un cabinet de premier plan a des limites structurelles fortes. Ce ne sont pas des défaillances de l'auditeur ; elles sont inhérentes à ce qu'est un audit. Confrontez chaque allégation « no-logs audité » à ces quatre points.
Périmètre limité. L'audit ne couvre que ce que stipule la lettre de mission, et le fournisseur participe à la définition de ce périmètre. Un audit des applications de bureau ne dit rien des applications mobiles ni du parc de serveurs. Un audit « pas de journaux d'activité » peut rester muet sur les métadonnées de connexion, les données de facturation, la conservation des tickets de support ou les outils d'analyse tiers présents dans l'application. Le périmètre est la frontière de la preuve, et il est souvent plus étroit que le marketing.
Un instantané borné dans le temps. Un rapport ponctuel décrit un seul moment. Les configurations dérivent, de nouveaux serveurs sont déployés, des scripts sont modifiés, un ingénieur paniqué active la journalisation de débogage pendant un incident. À moins que l'audit ne soit continu et récent, c'est une photographie, pas un flux en direct.
Ce que l'auditeur n'a pas été autorisé à voir. Les auditeurs examinent ce que le client met à disposition. Ce ne sont pas des policiers exécutant un mandat ; ils ne peuvent pas exiger la divulgation d'un serveur de journalisation caché, d'un pipeline secret de conservation des données ou d'un système parallèle tenu à l'écart de l'inventaire qu'on leur a remis. Un acteur malveillant déterminé peut cadrer un audit autour de la chose précise qu'il aurait dû détecter.
Les changements postérieurs à l'audit. Le rapport est figé le jour de sa signature. La propriété peut changer, l'entreprise peut être rachetée, la juridiction peut évoluer, une nouvelle loi peut imposer la conservation, ou le fournisseur peut tout simplement modifier son infrastructure la semaine suivant la publication. Le badge sur la page d'accueil peut avoir des années et décrire une entreprise qui n'existe plus sous la même forme.
Comment lire concrètement un rapport d'audit
Si un fournisseur renvoie au rapport complet (et s'il ne le fait pas, traitez l'allégation comme du marketing, pas comme une preuve), consacrez dix minutes à ces cinq éléments avant de faire confiance au badge.
Qui en a défini le périmètre et qui a payé. Les audits sont commandés et financés par le fournisseur ; c'est normal et non disqualifiant, mais cela façonne le périmètre. Cherchez des limites explicites : quelles applications, quels serveurs, quelles catégories de données, quelle période.
La date. Une décision de 2026 ne devrait pas reposer sur un rapport de 2021. La récence et la répétition comptent davantage qu'un audit historique unique. Un fournisseur qui se fait réauditer chaque année tient un discours plus fort que celui qui se prévaut d'un tampon ponctuel.
L'indépendance et la réputation de l'auditeur. Parmi les noms reconnus dans ce domaine figurent les cabinets du Big Four (Deloitte, PwC, KPMG, EY) pour les missions d'assurance, et des cabinets de sécurité spécialisés comme Cure53 pour le code et l'infrastructure. Un auditeur obscur ou non divulgué est un signal d'alerte.
La norme utilisée. Les rapports d'assurance no-logs sérieux sont généralement réalisés selon la norme ISAE 3000 (International Standard on Assurance Engagements 3000), publiée par l'IAASB, qui régit les missions d'assurance autres que les audits d'informations financières historiques. Voir une norme nommée vous indique que la mission disposait d'une méthodologie définie. Notez s'il s'agissait d'une assurance raisonnable ou limitée.
Le libellé de l'assurance lui-même. Repérez le paragraphe d'opinion. Distinguez « à notre avis, la description est fidèlement présentée » (positif, assurance raisonnable) de « rien n'a été porté à notre attention » (négatif, assurance limitée). Les deux ont de la valeur ; ce n'est pas la même valeur.
Serveurs en RAM uniquement : ce que l'infrastructure sans disque garantit réellement
Les audits évaluent un processus. Les serveurs en RAM uniquement (sans disque) changent la physique sous-jacente, et c'est pourquoi ils comptent indépendamment de tout badge. L'idée : faire tourner l'intégralité du serveur VPN, système d'exploitation compris, depuis la RAM volatile, sans aucun disque dur ni SSD rattaché. Le logiciel est chargé via un processus de démarrage sécurisé à partir d'une image centrale en lecture seule. Plusieurs grands fournisseurs exploitent des variantes de ce principe, commercialisées sous des noms tels que le TrustedServer d'ExpressVPN et le parc colocalisé sans disque de NordVPN.
Ce que le RAM uniquement vous apporte réellement :
Rien ne persiste à un redémarrage ou à une coupure de courant. La mémoire volatile est effacée dès que l'alimentation est coupée. Si un serveur est physiquement saisi et débranché, toute donnée qui n'existait qu'en RAM disparaît : non pas supprimée-mais-récupérable, mais physiquement absente.
Un état cohérent et défini de manière centralisée. Chaque serveur recharge la même image validée au démarrage, ce qui réduit la dérive de configuration et le risque qu'un serveur isolé fasse discrètement tourner une version différente, journalisante.
Une surface forensique réduite. Il n'y a pas de disque à imager, pas de fichier d'échange (swap), pas de répertoire de journaux à passer au peigne fin après coup.
Ce que le RAM uniquement ne fait pas, et c'est là que le marketing va trop loin :
Il n'empêche pas la journalisation pendant que le serveur fonctionne. La RAM contient des données vivantes ; si le logiciel en cours d'exécution est configuré pour capturer et transmettre des métadonnées, il peut le faire en temps réel, avant tout redémarrage. Le sans-disque concerne la persistance, pas ce qui se passe sur l'instant.
Il ne protège pas contre un serveur saisi alors qu'il est sous tension. Une machine prise sans perdre son alimentation conserve le contenu de sa RAM jusqu'à son extinction, et la mémoire vive peut être capturée.
Il ne prouve pas, à lui seul, que l'image centrale est saine. Vous faites désormais confiance à l'image de build et au pipeline de démarrage plutôt qu'au disque. Cette confiance doit encore se mériter, idéalement par un audit.
Le RAM uniquement et l'audit sont complémentaires. L'architecture limite ce qui peut être conservé ; l'audit vérifie ce qui est configuré. Ni l'un ni l'autre ne raconte à lui seul toute l'histoire.
Le seul vrai test : quand les allégations no-logs rencontrent un mandat
La preuve la plus convaincante n'est pas un audit du tout. C'est ce qui se passe quand les forces de l'ordre se présentent réellement. Quelques affaires ont mis les allégations no-logs à l'épreuve dans le monde réel.
La descente chez Mullvad en 2023. Le 18 avril 2023, des agents de la Division des opérations nationales de la police suédoise se sont présentés au bureau de Mullvad à Göteborg, munis d'un mandat, avec l'intention de saisir des ordinateurs dans le cadre d'une enquête. Selon le compte rendu publié par Mullvad, son personnel et ses conseils juridiques ont expliqué que l'entreprise ne stocke aucune donnée client et que, en vertu du droit suédois, il n'y avait rien de pertinent à saisir. La police est repartie sans emporter le moindre matériel. C'est la démonstration publique la plus nette du principe : si la donnée n'existe véritablement pas, un mandat ne ramène rien. C'est l'architecture et la politique, et non le badge, qui ont produit ce résultat.
Des serveurs saisis à l'étranger. En 2017, des enquêteurs turcs enquêtant sur l'assassinat de l'ambassadeur de Russie Andreï Karlov ont saisi un serveur utilisé par ExpressVPN. D'après les informations de l'époque, les autorités n'ont pas pu récupérer de journaux de connexion ou d'activité, car aucun n'était stocké. Par ailleurs, Private Internet Access a déclaré dans des pièces déposées devant la justice américaine qu'il lui était impossible de produire des journaux d'usage en réponse à des demandes légales, parce qu'il n'en conservait pas. Ces épisodes ne sont pas des audits, mais ce sont des confirmations concrètes que, pour ces fournisseurs à ce moment-là, le placard était bel et bien vide sous la pression.
La leçon est constante : la garantie de confidentialité la plus solide, c'est une donnée qui n'a jamais été créée. Un audit prédit ce résultat ; une saisie le prouve.
La juridiction et le contexte des 5/9/14 Eyes
Le lieu où un fournisseur est légalement établi façonne ce qu'on peut le contraindre à faire et à conserver. L'alliance de renseignement des Five Eyes (États-Unis, Royaume-Uni, Canada, Australie, Nouvelle-Zélande) partage du renseignement d'origine électromagnétique ; les Nine Eyes y ajoutent le Danemark, la France, les Pays-Bas et la Norvège ; les Fourteen Eyes ajoutent encore l'Allemagne, la Belgique, l'Italie, l'Espagne et la Suède. L'appartenance ne signifie pas qu'un pays force les VPN à journaliser, et d'excellents fournisseurs opèrent depuis l'intérieur de ces alliances. Mais la juridiction détermine les outils juridiques disponibles, y compris les obligations de conservation des données et les pouvoirs d'ordonnance de non-divulgation (gag orders).
Deux mises en garde. D'abord, la règle populaire « éviter tous les 14 Eyes » est plus grossière que la réalité ; la Suisse et le Panama sont souvent cités comme des bases respectueuses de la vie privée, et pourtant les pratiques réelles d'un fournisseur en matière de données comptent bien plus que son drapeau. Ensuite, un siège dans un soi-disant « paradis de la vie privée » ne vaut pas grand-chose si les serveurs, le personnel ou le prestataire de paiement se trouvent ailleurs. C'est exactement pour cela qu'une infrastructure vérifiée vaut mieux qu'un argumentaire marketing : la juridiction fixe le plafond juridique, mais seule la réalité technique, auditée et idéalement éprouvée, vous dit quelles données sont réellement exposées.
Une liste de contrôle indépendante de tout fournisseur, applicable à n'importe quel prestataire
Utilisez-la pour évaluer par vous-même l'allégation no-logs de n'importe quel VPN, indépendamment des badges affichés sur sa page d'accueil.
Le rapport complet est-il public, ou seulement un logo ? Sans rapport consultable par lien, traitez l'allégation comme du marketing.
À quel point est-il récent, et à quelle fréquence ? Privilégiez les fournisseurs qui se font réauditer à un rythme régulier plutôt que ceux qui se prévalent d'une seule mission ancienne.
Ponctuel ou continu ? Une mission de type 2 sur plusieurs mois est nettement plus solide qu'un instantané d'une journée.
Assurance raisonnable ou limitée ? Lisez le paragraphe d'opinion et la norme nommée (cherchez ISAE 3000).
Le périmètre couvre-t-il les métadonnées, pas seulement les journaux d'activité ? Et couvre-t-il le parc de serveurs, pas uniquement les applications ?
Qui est l'auditeur ? Un cabinet d'assurance ou de sécurité reconnu, nommé explicitement, et non anonymisé.
L'infrastructure est-elle en RAM uniquement ou sans disque ? Une véritable limite à ce qui peut persister après une saisie ou un redémarrage.
L'allégation a-t-elle déjà été éprouvée dans le monde réel ? Les affaires publiques de saisie, d'assignation ou de mandat sont l'étalon-or de la preuve.
Quelle est la juridiction, et où se trouvent réellement les serveurs ? À mettre en regard des pratiques réelles du fournisseur en matière de données, pas seulement du drapeau.
L'enseignement pratique
Un audit no-logs indépendant est un signal réel et précieux, mais c'est une preuve, pas un verdict. Il prouve qu'un périmètre défini de systèmes, à une date définie, correspondait à une description énoncée, à un niveau d'assurance énoncé. Il ne peut pas prouver que rien n'a été dissimulé à l'auditeur, que la configuration a tenu la semaine d'après, ni que l'entreprise à laquelle vous faites confiance aujourd'hui sera la même demain.
Accordez donc du poids à ce qui résiste à l'examen : un audit récent, répété, en assurance raisonnable, selon une norme nommée et assorti d'un rapport publié ; une infrastructure en RAM uniquement qui limite ce qui peut persister ; une politique de journalisation claire incluant les métadonnées ; une juridiction raisonnable ; et, mieux que tout, un cas documenté où un mandat ou une saisie est revenu bredouille. Considérez la coche verte comme le début de votre diligence raisonnable, pas comme sa fin.
Questions fréquentes
Que signifie un audit no-logs de VPN, en termes simples ?
Cela signifie qu'un cabinet indépendant a examiné un ensemble défini des systèmes et des pratiques de traitement des données d'un fournisseur, à une date précise, et a rendu un avis sur la fidélité de présentation de ses allégations de journalisation. C'est une évaluation au périmètre délimité et bornée dans le temps, pas une garantie permanente que le fournisseur ne pourra jamais rien journaliser. Sa valeur dépend fortement du périmètre, de la date et du niveau d'assurance.
Les audits no-logs des VPN sont-ils dignes de confiance ?
Ils sont utiles mais limités. Les audits sont commandés et financés par le fournisseur, ne couvrent qu'un périmètre convenu et saisissent généralement un seul instant. Un audit crédible est récent, réalisé par un cabinet reconnu selon une norme nommée comme l'ISAE 3000, et publié intégralement. Traitez avec scepticisme un badge non publié ou vieux de plusieurs années, et rappelez-vous qu'un auditeur ne peut pas trouver un système de journalisation que le fournisseur lui dissimule.
Que sont les serveurs VPN en RAM uniquement, expliqués simplement ?
Les serveurs en RAM uniquement (ou sans disque) font tourner l'intégralité du système d'exploitation et du logiciel VPN depuis la mémoire volatile, sans aucun disque dur rattaché. Comme la RAM est effacée en cas de coupure de courant, aucune donnée ne persiste à un redémarrage ni à la saisie physique d'une machine débranchée. Ils n'empêchent toutefois pas un serveur en fonctionnement de traiter des données en temps réel ; ils limitent donc la persistance des données plutôt que d'éliminer tout risque de journalisation.
Quelle est la différence entre journaux de connexion et journaux d'activité ?
Les journaux d'activité enregistrent ce que vous faites en ligne : sites visités, requêtes DNS, contenu ou destinations du trafic. Les journaux de connexion sont des métadonnées : horodatages, durée des sessions, bande passante utilisée et votre IP d'origine. La plupart des allégations « nous ne conservons pas de logs » renvoient aux journaux d'activité tout en restant vagues sur les métadonnées de connexion, qui sont précisément les données susceptibles de corréler un utilisateur à une action.
Qu'est-ce qu'un audit indépendant de VPN, comparé à un test d'intrusion ?
Un audit no-logs indépendant évalue si les pratiques de traitement des données décrites par un fournisseur sont présentées fidèlement, souvent à un niveau d'« assurance limitée ». Un test d'intrusion sonde activement les applications et l'infrastructure à la recherche de vulnérabilités exploitables. Ils répondent à des questions différentes, et l'un ne peut donc pas se substituer à l'autre. Un fournisseur solide commande les deux, auprès de cabinets nommés et réputés, et en publie les rapports.
L'allégation no-logs d'un VPN a-t-elle déjà été réellement éprouvée par la police ?
Oui. En avril 2023, la police suédoise s'est présentée au bureau de Mullvad à Göteborg munie d'un mandat de perquisition et est repartie sans saisir le moindre matériel après qu'on lui a démontré que l'entreprise ne stocke aucune donnée client. Auparavant, les autorités turques qui avaient saisi un serveur d'ExpressVPN en 2017 n'auraient récupéré aucun journal, et Private Internet Access a déclaré devant la justice américaine qu'il n'avait aucun journal d'usage à remettre. Ces tests grandeur nature sont une preuve plus forte que n'importe quel badge d'audit.
La juridiction d'un VPN compte-t-elle plus que son audit ?
Ils mesurent des choses différentes. La juridiction (comme l'appartenance aux Five, Nine ou Fourteen Eyes) fixe les outils juridiques qu'un gouvernement peut utiliser, y compris les obligations de conservation des données et les pouvoirs d'ordonnance de non-divulgation. Mais l'audit et l'infrastructure réelle vous indiquent quelles données existent et peuvent être réclamées. Un siège respectueux de la vie privée ne vaut pas grand-chose si les serveurs ou le personnel se trouvent ailleurs ; les pratiques techniques vérifiées devraient donc peser plus lourd que le drapeau affiché sur la page d'accueil.
