VPN : la vérité sur le "no-log", les juridictions et les arnaques

Le marché du VPN est saturé de promesses impossibles : "no-log garanti", "anonymat total", "protection militaire". La réalité est bien différente. Des VPN ont remis des logs au FBI alors qu'ils juraient ne rien enregistrer. D'autres sont rachetés par des sociétés de data brokers. Voici un article honnête, sans langue de bois, pour comprendre ce qu'un VPN fait réellement — et comment choisir l'un des rares qui méritent votre confiance.

Ce qu'un VPN fait réellement

Un VPN (Virtual Private Network) chiffre votre connexion entre votre appareil et un serveur distant, et remplace votre adresse IP par celle du serveur. C'est tout. Ni plus, ni moins.

• ✅ Masque votre IP réelle aux sites que vous visitez
• ✅ Chiffre votre trafic entre vous et le serveur VPN — utile sur les Wi-Fi publics
• ✅ Empêche votre FAI (Free, Orange, SFR...) de voir les sites que vous visitez
• ✅ Contourne la géo-restriction (Netflix, contenus bloqués par pays)
• ❌ Ne vous rend PAS anonyme — Google, Facebook et les cookies vous pistent toujours
• ❌ Ne protège PAS contre les malwares, le phishing ou le fingerprinting
• ❌ Ne cache PAS votre identité si vous êtes connecté à un compte (Gmail, Facebook...)
• ❌ Ne protège PAS si le VPN lui-même garde des logs et les transmet

L'arnaque "no-log" : quand le marketing ment

"No-log", "zéro log", "aucune donnée conservée" — ces formules figurent sur quasiment tous les sites VPN. C'est devenu une simple accroche marketing dont la valeur réelle dépend entièrement d'un facteur ignoré par la plupart des utilisateurs : la juridiction du pays où l'entreprise est enregistrée.

Une politique de confidentialité n'est qu'un document texte. Elle n'a aucune valeur légale contraignante dans la plupart des pays. Ce qui contraint légalement un VPN, c'est la loi du pays où il opère. Et dans de nombreux pays, cette loi oblige les entreprises à conserver des données et à les remettre aux autorités sur simple demande — parfois accompagnée d'une interdiction de divulguer la demande à l'utilisateur.

Cas réels : des VPN pris en flagrant délit de mensonge

IPVanish — 2016 (USA)

IPVanish se vantait d'une politique "no-log absolue". En 2016, dans le cadre d'une enquête sur un suspect de pédocriminalité, le FBI a contacté IPVanish. La société a fourni les logs de connexion complets du suspect — timestamps, IPs réelles, tout. La politique de confidentialité était un mensonge. IPVanish est basé aux États-Unis, soumis au FISA et aux National Security Letters.

PureVPN — 2017 (Hong Kong / USA)

PureVPN affichait "we do not keep any logs". En 2017, dans le cadre d'une enquête du FBI sur un harceleur en ligne, PureVPN a fourni les logs de connexion qui ont permis d'identifier et arrêter le suspect. La société a justifié sa coopération en expliquant qu'elle ne conservait pas de "logs d'activité" mais bien des "logs de connexion" — une distinction rhétorique sans valeur pour l'utilisateur.

HideMyAss (HMA) — 2011 (Royaume-Uni)

HMA a fourni les logs d'un membre du groupe LulzSec aux autorités britanniques, permettant son arrestation. Le Royaume-Uni est membre fondateur des 5 Eyes. La politique de confidentialité ne valait rien face à une injonction légale britannique.

NordVPN — Breach 2018 (non divulgué pendant 16 mois)

NordVPN n'a pas fourni de logs (ils n'en avaient apparemment pas sur ce serveur), mais en 2018, un serveur finlandais a été compromis via une faille dans le panneau de gestion d'un datacenter tiers. L'information n'a été rendue publique qu'en octobre 2019 — 16 mois après la découverte. Ce n'est pas un cas de logs remis, mais de transparence défaillante d'un acteur qui dépense des millions en marketing.

ExpressVPN — 2017, affaire UAE (cas Leilani Dagucon)

Daniel Gericke, CTO d'ExpressVPN depuis 2019, a été condamné en 2021 par la justice américaine pour avoir participé à "Project Raven" en 2017 — un programme de surveillance d'opposants et journalistes pour le compte des Émirats Arabes Unis, alors qu'il travaillait pour une société de cybersécurité émiratie. ExpressVPN a maintenu son emploi après cette condamnation. En 2021, la société a été rachetée par Kape Technologies, anciennement Crossrider — une société israélienne spécialisée dans les adwares.

Les alliances 5/9/14 Eyes : comprendre la surveillance internationale

Les Eyes sont des alliances de partage de renseignement entre pays. Si un VPN est basé dans l'un de ces pays, son gouvernement peut légalement contraindre l'entreprise à collecter et transmettre des données — souvent avec une interdiction de communication (gag order) qui empêche le VPN d'en informer ses utilisateurs.

5 Eyes

• 🇺🇸 États-Unis — FISA, Patriot Act, National Security Letters (secrètes, sans contrôle judiciaire)
• 🇬🇧 Royaume-Uni — Investigatory Powers Act 2016 (surnommé "Snoopers Charter")
• 🇨🇦 Canada — CSEC, coopère activement avec la NSA
• 🇦🇺 Australie — ASIO, loi d'assistance technique oblige à déchiffrer les communications
• 🇳🇿 Nouvelle-Zélande — GCSB

9 Eyes (5 Eyes + )

• 🇩🇰 Danemark
• 🇫🇷 France — DGSE, loi Renseignement 2015 (surveillance de masse sans autorisation judiciaire préalable)
• 🇳🇱 Pays-Bas
• 🇳🇴 Norvège

14 Eyes (9 Eyes + )

• 🇩🇪 Allemagne — BND, malgré une protection des données robuste (RGPD), coopère avec la NSA
• 🇧🇪 Belgique
• 🇮🇹 Italie
• 🇸🇪 Suède — FRA, capacités de surveillance importantes
• 🇪🇸 Espagne

Cela ne signifie pas qu'un VPN basé en Suède ou en Allemagne est automatiquement compromis. Mais cela signifie que si leur gouvernement émet une injonction, l'entreprise ne peut légalement pas refuser. La seule protection réelle est un VPN qui n'a techniquement rien à remettre — parce qu'il ne conserve rien.

Ce qu'il faut vraiment vérifier avant de choisir un VPN

1. 1Juridiction — pays du siège social, pas de l'adresse marketing. Cherchez hors des 14 Eyes ou avec un modèle technique qui rend les logs impossibles
2. 2Audit indépendant — la politique no-log a-t-elle été vérifiée par un cabinet tiers ? Qui a payé l'audit ? Est-il public ?
3. 3Modèle économique — payant exclusivement, ou freemium avec données revendues ? Si c'est gratuit, vous êtes le produit
4. 4Client open-source — le code du client VPN est-il auditable ? Un code propriétaire fermé peut faire n'importe quoi
5. 5Serveurs RAM-only (diskless) — des serveurs sans disque dur ne peuvent pas conserver de logs de manière persistante
6. 6Historique légal — l'entreprise a-t-elle déjà reçu des injonctions ? Comment a-t-elle répondu ? Y a-t-il un warrant canary ?
7. 7Propriété — qui possède l'entreprise ? Est-ce un fonds d'investissement, un conglomérat médias, une société de data ?
8. 8Anonymat du compte — peut-on s'abonner sans email, payer en cash ou Monero ?

Les 3 VPN que nous recommandons honnêtement

🥇 Mullvad VPN — Le gold standard de la vie privée

Mullvad est basé en Suède (14 Eyes, donc juridiction théoriquement exposée), mais son modèle technique le rend résiliant : pas de compte email, juste un numéro généré aléatoirement. Paiement en cash par courrier, Monero, Bitcoin ou carte prépayée. Serveurs RAM-only. En 2023, la police suédoise a perquisitionné leurs locaux avec un mandat de saisie de matériel. Ils sont repartis les mains vides — parce qu'il n'y avait littéralement rien à saisir.

• Prix : 5€/mois fixe, pas d'abonnement long terme ni de "réduction de 80%" marketing
• Juridiction : Suède — mais modèle technique qui rend les logs impossibles
• Audit public : oui, par Cure53 (2021) et Assured (2022)
• Client : open-source (GitHub public)
• Serveurs diskless (RAM-only) : oui
• Anonymat : compte = numéro aléatoire, aucun email requis
• Perquisition policière 2023 : matériel saisi, aucune donnée trouvée
• Protocoles : WireGuard, OpenVPN

🥈 ProtonVPN — La transparence suisse

ProtonVPN est édité par Proton AG, basé à Genève, Suisse. La Suisse n'est membre d'aucune alliance Eyes et possède des lois sur la protection des données parmi les plus strictes au monde. Proton est connu pour ProtonMail (messagerie chiffrée), utilisé par des journalistes et militants dans le monde entier. L'entreprise a reçu des demandes légales suisses — et a été transparente : en 2021, elle a dû fournir l'IP d'un activiste climatique sur injonction d'un tribunal suisse. Proton a eu la transparence de le documenter publiquement et a renforcé ses systèmes depuis (connexion via Tor disponible pour éviter ce type de cas).

• Prix : tier gratuit disponible, payant à partir de 4€/mois
• Juridiction : Suisse — hors 5/9/14 Eyes
• Audit public : oui, par SEC Consult (2022) et Securitum (2023)
• Client : open-source (GitHub public)
• Serveurs diskless (RAM-only) : en déploiement progressif
• Anonymat : email requis pour la création de compte (limitation vs Mullvad)
• Fonctionnalité Tor over VPN : oui (protection contre les demandes IP)
• Protocoles : WireGuard, OpenVPN, IKEv2

🥉 IVPN — L'indépendant radical

IVPN est une petite structure indépendante basée à Gibraltar (territoire britannique d'outre-mer, situation juridique complexe). Ce qui le distingue : une transparence radicale et refus de toute pratique marketing douteuse. IVPN a publié un article intitulé "Do you really need a VPN ?" sur son propre site, conseillant à de nombreux utilisateurs de ne pas acheter leur produit si leurs besoins ne le justifient pas. C'est assez rare pour être mentionné.

• Prix : 2$/semaine, 6$/mois ou 60$/an — pas de plan d'abonnement "10 ans à -99%"
• Juridiction : Gibraltar (complexe, mais transparence maximale sur les contraintes légales)
• Audit public : oui, par Cure53 (2019, 2022)
• Client : open-source (GitHub public)
• Anonymat : compte = alias aléatoire, aucun email requis
• Équipe : petite structure indépendante, non rachetée par un groupe
• Marketing : honnête — pas de promesses d'anonymat total, pas de "meilleur VPN du monde"

Les VPN à éviter (et pourquoi)

• IPVanish (USA) — a fourni des logs au FBI en 2016 malgré une politique no-log explicite. USA = 5 Eyes
• PureVPN (HK/USA) — a fourni des logs au FBI en 2017 malgré une politique no-log. A ensuite modifié sa politique pour distinguer "logs d'activité" et "logs de connexion"
• HideMyAss / HMA (UK) — a fourni des logs aux autorités britanniques en 2011. UK = 5 Eyes
• ExpressVPN — CTO impliqué dans un programme de surveillance d'opposants pour les Émirats en 2017. Racheté par Kape Technologies (ex-Crossrider, adware) en 2021
• NordVPN — breach serveur 2018 non divulgué pendant 16 mois. Lié à Tesonet (data broker lituanien). Marketing très agressif avec des promesses disproportionnées
• Tout VPN gratuit sans modèle économique clair — si le produit est gratuit, vos données sont le produit
• Tout VPN vendu avec une "réduction de 80-90%" permanente — cela indique une industrie de l'affiliation et des revendeurs, pas un produit sérieux

Les VPN "no-log" audités : ce que ça veut dire réellement

Un audit de politique no-log consiste à envoyer des auditeurs tiers dans les locaux du VPN pour vérifier que les serveurs et systèmes ne conservent pas de données identifiables. C'est une bonne chose — mais avec des nuances importantes :

• L'audit est une photographie à un instant T — rien ne garantit que les pratiques n'ont pas changé depuis
• C'est l'entreprise qui paye l'auditeur — un cabinet peut être sélectionné pour sa complaisance
• Un audit ne vérifie pas le code source des clients (sauf audit spécifique)
• Un audit ne protège pas contre une injonction légale future qui forcerait la mise en place de logs
• Des audits publics et répétés par des cabinets différents (Cure53, SEC Consult, Securitum) valent bien plus qu'un audit unique par un cabinet inconnu

Ce qu'un VPN ne protège JAMAIS

Soyons clairs sur les limites absolues d'un VPN, même le meilleur du monde :

• Si vous êtes connecté à un compte Google, Facebook, Twitter — ils vous identifient parfaitement, VPN ou non
• Le browser fingerprinting (résolution d'écran, polices, plugins, GPU...) peut vous identifier sans cookie ni IP
• Les malwares sur votre machine contournent complètement le VPN
• Les erreurs DNS et WebRTC peuvent révéler votre vraie IP malgré le VPN (testez sur notre outil DNS/WebRTC Leak)
• Les métadonnées temporelles (heure de connexion, durée) peuvent toujours corréler votre activité
• Un VPN ne chiffre pas vos communications de bout en bout — il chiffre uniquement la liaison vous → serveur VPN

Conclusion : la vérité sans filtre

Le marché du VPN est largement construit sur la peur et les mensonges. Des centaines de sites d'affiliation rémunérés à la commission publient des "comparatifs" qui recommandent systématiquement les VPN qui paient le mieux — pas les plus fiables.

La réalité : la majorité des VPN populaires et massivement publicisés ne méritent pas votre confiance. Trois critères non négociables : juridiction hors 5 Eyes ou modèle technique qui rend les logs impossibles, audit public indépendant et répété, client open-source.

Mullvad, ProtonVPN et IVPN satisfont ces critères. Ils ne sont pas parfaits — aucun VPN ne l'est — mais ils sont honnêtes sur ce qu'ils peuvent et ne peuvent pas faire. Dans un secteur où le mensonge est la norme, c'est déjà exceptionnel.

"Un VPN ne vous rend pas anonyme. Il change l'entité qui peut vous surveiller. Choisissez cette entité avec soin."