C'est l'un des arguments phares de la plupart des VPN : une politique no-log qui promet une confidentialité absolue lors de leur utilisation. Pourtant, cette politique de confidentialité censée être irréprochable n'est réellement mise à l'épreuve que lorsqu'une autorité judiciaire demande des informations sur un utilisateur.
C'est exactement ce qui s'est passé auprès de Surfshark, en avril dernier. Un tribunal néerlandais a adressé une demande officielle au fournisseur de VPN dans le cadre d'une enquête pénale. Ce que Surfshark a expliqué avoir pu transmettre va vous surprendre.. Ou pas.
Une demande judiciaire, mais aucune donnée de navigation
Dans le cas présent, il ne s'agit pas d'un piratage ou d'une fuite de données, mais plutôt d'un mandat judiciaire officiel provenant du tribunal d'Amsterdam. Dans ce cas de figure, impossible pour le fournisseur de VPN de ne pas coopérer. Surfshark indique donc avoir répondu à cette demande, mais les seuls informations disponibles étaient :
- L'existence du compte de l'utilisateur,
- Son adresse e-mail,
- Ses informations de paiement.
Autrement dit, Surfshark n'a pu fournir aucun historique des sites web consultés, des adresses IP utilisées, des journaux de connexion ou encore des durées de session. C'est exactement ce qu'implique une véritable architecture no-log.
Le meilleur test possible pour une politique no-log
Dans les faits, un VPN peut toujours affirmer qu'il applique une politique no-log, mais ce type de procédure judiciaire constitue en réalité le baptême du feu ultime pour ce type de service. En effet, dans le cadre de la Justice, seuls deux cas existent :
- Le VPN possède les journaux de connexion et doit les transmettre,
- Le VPN ne possède aucun journal de connexion, et ne peut donc rien donner à la Justice.
Avec le rapport de transparence issu de cette procédure, Surfshark tient là une sacrée publicité pour la qualité de son service, bien au-delà de tout simple argument commercial.
Pourquoi les audits Deloitte comptent ?
Au-delà des procédures judiciaires, les audits indépendants sont également un excellent moyen d'illustrer la qualité d'une architecture no-log. Par exemple, le cabinet Deloitte a vérifié à plusieurs reprises que l'infrastructure et les procédures internes de Surfshark étaient cohérentes avec la politique de non conservation des journaux. L'audit porte sur la conformité des systèmes par rapport à la politique de confidentialité annoncée.
De ce fait, un audit augmente fortement la crédibilité des engagements d'un VPN, même si cela n'a pas autant d'impact qu'une véritable procédure judiciaire.
De ce fait, si beaucoup de VPN revendiquent une politique no-log, mieux vaut choisir ceux qui publient régulièrement des rapports de transparence, des audits indépendants ou qui disposent d'exemples documentés de procédures judiciaires.
Kevin Champeau
Rédacteur expert en sécurité