m.a.i.p
← Journal

Article

Comprendre le no-logs : comment auditer la promesse d'un VPN, et pourquoi tous les 'no-log' ne se valent pas

23 mai 2026· 13 mins· par maip.fr

Ouvrez n'importe quel site de VPN : la mention « no-logs », « strict no-logs policy », « zéro journaux » s'affiche en gros sur la page d'accueil. C'est devenu un slogan obligatoire, au même titre que « military-grade encryption ». Le problème, c'est que ces mots n'ont pas de définition légale, qu'ils recouvrent des réalités très différentes, et que plusieurs fournisseurs ayant brandi cette promesse ont fini par livrer des données à la justice — preuve qu'ils en avaient.

Cet article démonte le terme, explique ce qu'un VPN peut techniquement enregistrer, comment se passe un vrai audit, ce que le rapport doit contenir pour valoir quelque chose, et quels services ont aujourd'hui des audits sérieux. Le but n'est pas de vendre une promesse, mais de vous donner les bons réflexes de lecture quand un fournisseur affirme ne rien stocker.

Ce que les mots veulent dire (et pas dire)

Le terme « logs » dans le contexte VPN recouvre plusieurs types de données très différentes. Confondre ces types est la première source de malentendu — c'est aussi sur cette confusion que beaucoup de fournisseurs jouent.

Les logs d'activité. C'est l'historique de ce que vous faites en ligne via le VPN : sites visités, requêtes DNS, services utilisés, données téléchargées. C'est l'équivalent direct de ce que voit votre FAI. Si un fournisseur VPN conserve ces logs, le VPN ne sert à rien — vous avez juste remplacé un observateur (le FAI) par un autre (le VPN), souvent moins fiable.

Les logs de connexion. Ce sont les métadonnées de session : à quelle heure vous vous êtes connecté, depuis quelle IP source (la vraie, la vôtre), vers quel serveur VPN, et avec quelle IP de sortie. Pas le contenu, mais l'enveloppe. Avec ces seules métadonnées, on peut corréler une activité observée sur Internet (sortie du VPN à 14h32, IP X.Y.Z) à un utilisateur précis (connexion entrante au VPN à 14h31, IP du domicile). C'est exactement ce qui a permis l'identification d'utilisateurs dans plusieurs affaires judiciaires que nous détaillons plus bas.

Les logs de diagnostic et d'agrégation. Métriques de charge serveur, bande passante par serveur, durée moyenne des connexions, nombre de sessions simultanées par compte. Ces données sont souvent nécessaires au fonctionnement du service. Le sujet n'est pas leur existence, mais leur granularité : un compteur par serveur ne révèle rien d'individuel ; un compteur par utilisateur change tout.

Les données de compte. Adresse mail, mode de paiement, abonnement actif. Ces données existent forcément si vous avez un compte. Elles ne sont pas des « logs » au sens strict — elles ne disent rien de votre activité, juste de votre relation contractuelle avec le fournisseur. Mais elles existent, et certains fournisseurs sérieux acceptent les paiements anonymes (cryptomonnaie, cash par courrier) précisément pour ne pas créer ce lien.

Quand un VPN annonce « no-logs », la première question à se poser est : lesquels de ces quatre types ne conserve-t-il pas ? La réponse honnête varie énormément selon les fournisseurs. La promesse marketing, elle, est toujours la même.

Ce qu'un VPN peut techniquement enregistrer

Sur le papier, un serveur VPN peut tout enregistrer : il est en position d'intermédiaire technique entre vous et le reste d'Internet, exactement comme votre FAI. Il a accès à votre vraie IP entrante, à toutes vos requêtes sortantes, aux IP que vous contactez, au volume échangé, à la durée des sessions. Si le fournisseur le décide, il peut consigner tout cela dans des bases interrogeables.

Ce qui change entre un fournisseur sérieux et un autre, c'est l'architecture technique mise en place pour rendre cet enregistrement impossible — ou au moins extrêmement coûteux.

Serveurs RAM-only (sans disque). Plusieurs fournisseurs (ExpressVPN avec TrustedServer, NordVPN avec ses Colocated Servers, Surfshark) ont migré leur infrastructure vers des serveurs qui n'écrivent rien sur disque. Tout tourne en mémoire vive. À chaque redémarrage, l'état est perdu. La saisie physique d'un serveur ne donne strictement rien : pas de stockage persistant à analyser. Cette architecture est devenue le standard de fait chez les acteurs sérieux.

Configurations OpenVPN/WireGuard minimales. Les protocoles VPN écrivent par défaut une certaine quantité de logs (au minimum les erreurs). Les fournisseurs sérieux configurent ces protocoles avec la verbosité minimale, désactivent les logs persistants, et redirigent les logs nécessaires (debug) vers /dev/null plutôt que vers un fichier.

Réseau de serveurs en lecture seule. Au-delà du RAM-only, certains fournisseurs déploient leurs serveurs depuis une image système signée, en lecture seule. Modifier la configuration d'un serveur en production demande de recompiler et redéployer l'image — ce qui rend impossible une modification silencieuse pour ajouter des logs sur un serveur ciblé.

Séparation des accès. Les bases de données clients (mail, paiement) sont physiquement séparées des serveurs VPN. Les administrateurs qui gèrent l'infrastructure VPN n'ont pas accès aux données clients ; ceux qui gèrent la facturation n'ont pas accès aux serveurs VPN. Cette séparation des privilèges empêche un employé seul de corréler une activité réseau à un compte client.

Aucune de ces protections n'est visible depuis l'extérieur. C'est précisément le rôle de l'audit indépendant : aller vérifier, sur place, que l'architecture annoncée existe vraiment.

Comment se passe un audit sérieux

Un audit no-log digne de ce nom n'est pas un communiqué de presse. C'est une mission menée par un cabinet tiers, sur plusieurs semaines, avec accès aux serveurs en production, à la configuration des protocoles, aux processus internes du fournisseur, et idéalement au code source.

Les cabinets sérieux du marché. Les principaux auditeurs reconnus dans ce domaine sont Deloitte, PricewaterhouseCoopers (PwC), KPMG, Cure53 (cabinet allemand spécialisé en cybersécurité, très respecté dans la communauté technique), Securitum (cabinet polonais utilisé notamment par Proton), et Leviathan Security. Quand un audit n'est mené par aucun de ces cabinets, ou par un cabinet inconnu sans historique vérifiable, la valeur de l'audit chute considérablement.

Le périmètre de la mission. Un audit no-log peut porter sur plusieurs choses : la politique de confidentialité elle-même (sa cohérence interne, sa conformité aux lois applicables), la configuration technique des serveurs (que loggent-ils réellement ?), l'architecture globale du système (où vont les données, qui y a accès ?), les processus opérationnels (que font les équipes quand une réquisition judiciaire arrive ?). Un audit qui ne couvre qu'un de ces aspects ne vaut pas un audit qui les couvre tous. Le rapport public doit explicitement préciser le périmètre.

La méthodologie. Un audit sérieux combine plusieurs techniques : entretiens avec les équipes techniques et juridiques, revue du code source quand il est accessible, inspection à distance ou physique des serveurs, tests de pénétration, vérification des configurations OpenVPN/WireGuard sur des serveurs choisis aléatoirement dans le parc, examen des procédures de réponse aux réquisitions légales.

La fenêtre d'observation. Un audit est une photographie à un instant T. Il certifie que le jour de l'audit, sur les serveurs inspectés, aucun log d'activité n'était présent. Il ne dit rien de ce qui se passera demain, ni de ce qui se passait avant. C'est pour cette raison que les fournisseurs sérieux refont auditer leur infrastructure régulièrement — typiquement tous les un à deux ans. Un audit qui date de cinq ans est, en pratique, périmé.

La transparence du rapport. Le rapport doit être public, ou au moins consultable sur demande raisonnable. Certains fournisseurs publient un communiqué disant « audit confirmé » sans publier le rapport — c'est un signal faible. Les fournisseurs vraiment sérieux publient le rapport intégral, avec ses constats positifs et ses recommandations d'amélioration. Un audit qui ne contient aucune recommandation est suspect : aucune infrastructure n'est parfaite.

Les cas où des « no-log » ont quand même livré des données

C'est le test ultime d'une politique no-logs : que se passe-t-il quand une autorité demande les logs ? Quelques affaires marquantes ont permis de séparer le marketing de la réalité.

HideMyAss, 2011. L'un des premiers cas médiatisés. Le FBI demande à HMA des informations sur Cody Kretsinger, soupçonné d'avoir participé au piratage de Sony Pictures avec le groupe LulzSec. HMA livre des logs détaillés. Or HMA affichait à l'époque une politique de confidentialité présentée comme protectrice. La leçon : leur politique n'interdisait pas explicitement le logging, juste son partage routinier.

PureVPN, cas Ryan Lin, 2017. Le FBI enquête sur un harcèlement par stalking. PureVPN livre des logs permettant de remonter à Ryan Lin via son utilisation du VPN. À l'époque, PureVPN se présentait pourtant comme « strict no-log ». Le fournisseur a depuis changé de politique, fait auditer son infrastructure, et migré vers du RAM-only — mais l'affaire reste une référence sur le décalage entre la promesse marketing et la réalité technique.

IPVanish, 2016. Cas similaire : logs livrés au Department of Homeland Security sur une affaire de prédation d'enfants. IPVanish s'affichait alors comme no-log. L'entreprise a depuis changé de propriétaire et de politique, mais le précédent demeure.

ExpressVPN, Turquie, 2017. À l'inverse, démonstration positive. Dans le cadre de l'enquête sur l'assassinat de l'ambassadeur russe Andreï Karlov à Ankara, les autorités turques saisissent un serveur d'ExpressVPN. Aucune donnée exploitable n'est extraite. L'enquête turque officielle confirme l'absence de logs. C'est l'un des rares cas documentés où un serveur saisi physiquement n'a rien livré — validation concrète, hors audit, de la politique no-logs.

NordVPN, brèche 2018 révélée 2019. Un serveur loué par NordVPN en Finlande est compromis pendant un mois via une faille d'un prestataire de datacenter. L'enquête interne et publique conclut qu'aucune donnée utilisateur n'a fuité parce qu'aucun log d'activité n'était stocké sur le serveur. NordVPN a depuis accéléré sa migration vers du RAM-only et des serveurs en colocation directe (sans datacenter tiers).

Proton, cas militant climat, 2021. À distinguer soigneusement : ce cas concerne ProtonMail, pas ProtonVPN. Sur ordonnance des autorités suisses, ProtonMail a été contraint de commencer à logger l'IP de connexion d'un compte ciblé. Important à comprendre : Proton n'a livré que les données qu'on lui a légalement ordonné de collecter à partir de ce moment ; aucun log antérieur n'existait. ProtonVPN bénéficie d'un cadre juridique différent (les VPN suisses ne sont pas soumis à la même obligation que les fournisseurs de mail), et son architecture est auditée séparément.

La leçon générale de ces affaires : une politique no-logs sans architecture technique pour la rendre impossible à violer n'est qu'une promesse contractuelle, fragile face à une réquisition légale. Les fournisseurs qui ont survécu à ces tests sont ceux qui n'avaient techniquement rien à livrer.

La juridiction : pourquoi le pays du siège social compte

L'architecture technique réduit ce qu'un fournisseur peut livrer. La juridiction détermine ce qu'il peut être forcé de commencer à collecter.

Les Five Eyes, Nine Eyes, Fourteen Eyes. Alliances de partage de renseignement entre plusieurs pays : États-Unis, Royaume-Uni, Canada, Australie, Nouvelle-Zélande pour les Five Eyes ; étendu au Danemark, Norvège, Pays-Bas, France pour les Nine Eyes ; complété par l'Allemagne, l'Italie, l'Espagne, la Belgique, la Suède pour les Fourteen Eyes. Un fournisseur basé dans l'un de ces pays peut, en théorie, être soumis à des demandes de partage avec les agences des autres pays de l'alliance. En pratique, l'impact réel sur un VPN dépend du droit national et de la procédure — l'argument est souvent surjoué par le marketing, mais il n'est pas vide.

Juridictions souvent citées comme favorables. Suisse (cadre constitutionnel fort sur la vie privée, mais avec des exceptions précises comme on l'a vu), Panama (NordVPN), Îles Vierges britanniques (ExpressVPN, Surfshark depuis 2025), Roumanie (CyberGhost). Le critère commun : pas de loi nationale obligeant les VPN à conserver des données de connexion, et pas d'obligation de divulgation routinière.

Limite à connaître. Aucune juridiction ne protège un fournisseur contre une demande légale dans le cadre d'une enquête pour crime grave (terrorisme, pédocriminalité). La différence est qu'aux Îles Vierges britanniques, ces demandes passent par un processus judiciaire local et restent rares ; aux États-Unis, elles peuvent venir avec des gag orders qui interdisent même au fournisseur d'en parler publiquement.

Comment lire un rapport d'audit en cinq minutes

Vous tombez sur un fournisseur qui annonce un audit. Voici les questions à se poser, dans l'ordre.

Qui a mené l'audit ? Cabinet reconnu (Deloitte, PwC, KPMG, Cure53, Securitum) ou inconnu ? Si inconnu, chercher son historique et sa réputation dans la communauté sécurité.

Quand l'audit a-t-il été mené ? Date du rapport. Au-delà de deux ans, l'audit est largement périmé, surtout si l'infrastructure a évolué depuis.

Quel est le périmètre ? Lire la section « scope » ou « étendue de la mission ». Un audit limité à la politique de confidentialité écrite (sans inspection technique) ne vaut presque rien — n'importe quel cabinet peut certifier qu'un document dit ce qu'il dit. Ce qui compte, c'est l'audit technique : configuration des serveurs, code source, processus opérationnels.

Combien de serveurs inspectés ? Un parc moderne fait des milliers de serveurs. Un audit sur 10 serveurs choisis par le fournisseur ne dit pas grand-chose. Un audit sur plusieurs dizaines de serveurs choisis aléatoirement par l'auditeur est sérieux.

Quelles sont les recommandations ? Un audit sans recommandations est suspect. Un audit qui liste des points à améliorer (et que le fournisseur publie quand même) est un signal de transparence sérieuse.

Le rapport est-il public ? Lien direct vers le PDF, accessible sans s'identifier ? Ou bien « audit confirmé » sans rapport consultable ? La transparence du rapport est une mesure de la sincérité.

Conflit d'intérêt ? Le fournisseur a payé l'auditeur — c'est normal, l'inverse n'existe pas. Mais y a-t-il des liens capitalistiques ou commerciaux supplémentaires ? Un auditeur qui dépend économiquement du fournisseur n'est pas indépendant.

État des audits chez les fournisseurs grand public (mai 2026)

Tour d'horizon synthétique à la date de cet article, à recroiser avec les annonces récentes de chaque fournisseur.

NordVPN. Multiples audits : PwC en 2018 et 2020, Deloitte en 2022 et 2023, renouvellement annuel depuis. Infrastructure majoritairement RAM-only avec Colocated Servers (datacenters partenaires où NordVPN possède physiquement le matériel). Siège au Panama. C'est aujourd'hui l'un des dossiers d'audit les plus complets du marché.

ExpressVPN. Audits PwC (politique no-logs et architecture TrustedServer), audits Cure53 sur les applications clients. Infrastructure 100 % RAM-only depuis 2019. Cas turc 2017 validant la promesse en conditions réelles. Siège aux Îles Vierges britanniques.

Proton VPN. Audits Securitum (cabinet polonais). Infrastructure ouverte (code des apps en open source, vérifiable). Siège en Suisse. Distinction importante avec ProtonMail (cadre juridique différent — voir plus haut).

Surfshark. Audit Deloitte de l'infrastructure no-logs (2023, renouvelé). Infrastructure RAM-only. Fusion Surfshark/NordSec depuis 2022 (même groupe que NordVPN, mais infrastructures distinctes). Siège déplacé aux Pays-Bas puis aux Îles Vierges britanniques.

CyberGhost. Audit Deloitte en 2022 (premier audit no-log majeur du fournisseur). Rapports trimestriels de transparence publiés depuis plus longtemps. Siège en Roumanie.

À mettre en perspective : tous les fournisseurs cités ci-dessus ont un dossier d'audit public et récent. Ce qui les distingue, ce ne sont plus les promesses, ce sont les preuves accumulées au fil des années. À l'inverse, beaucoup de petits VPN — particulièrement les VPN gratuits — n'ont jamais fait auditer leur infrastructure et brandissent la mention « no-logs » sans aucune vérification tierce. Notre article sur les VPN gratuits ou payants détaille ce qui se passe alors avec vos données.

Les limites honnêtes des audits

Un audit n'est pas une preuve absolue. Plusieurs limites à garder en tête.

Une photographie, pas un film. L'auditeur certifie l'état du système au moment de l'audit. Rien n'empêche techniquement le fournisseur de modifier la configuration le lendemain. La fréquence des audits et la stabilité des résultats sur plusieurs années est ce qui rapproche d'une garantie continue.

Un échantillon, pas un recensement. L'auditeur inspecte un sous-ensemble des serveurs. Un fournisseur malhonnête pourrait laisser des serveurs « propres » pour l'audit et logger ailleurs. Le risque est faible chez les grands acteurs (la fuite serait massive et tuerait le business model), réel chez les petits acteurs sans réputation à défendre.

Une déclaration, pas une révolution. L'audit constate ce que le fournisseur veut bien montrer. Un audit avec un périmètre étroit peut être techniquement honnête tout en ne disant pas grand-chose. C'est la raison pour laquelle la lecture critique du périmètre (point #3 plus haut) est essentielle.

Ne couvre pas la juridiction future. Un fournisseur basé dans une juridiction favorable aujourd'hui peut être contraint par une loi future. Le cadre légal européen sur la cybersécurité évolue, et la Suisse a déjà montré qu'elle pouvait imposer des obligations ponctuelles. Aucun audit ne peut garantir l'avenir réglementaire.

Tester votre exposition réelle

Avant de choisir un VPN sur sa seule politique no-logs, vérifiez aussi ce qui passe en dehors du tunnel.

  • Votre IP publique et localisation — le point de départ : ce que voit chaque site quand vous n'êtes pas protégé.
  • Test de fuite WebRTC — votre VPN actuel peut être no-log et quand même laisser fuiter votre vraie IP via WebRTC. À tester systématiquement.
  • Empreinte de votre navigateur — un VPN no-log ne change pas votre empreinte navigateur, qui vous identifie de façon stable indépendamment de l'IP.

FAQ

Un VPN gratuit peut-il être réellement no-log ? Techniquement, oui — mais c'est rare en pratique. Le modèle économique des VPN coûte cher (serveurs, bande passante, équipe). Quand le service est gratuit, le revenu vient d'ailleurs : publicité, vente de données, injection de scripts. Les exceptions existent (Proton VPN propose une version gratuite limitée mais auditée, par exemple), mais elles sont l'exception. Notre comparatif détaillé entre dans le concret.

Les VPN basés aux États-Unis sont-ils forcément moins sûrs ? Pas mécaniquement. Les États-Unis n'ont pas de loi de rétention de données obligatoire pour les VPN (à la différence de plusieurs pays européens pour les FAI). Un VPN américain avec une vraie architecture no-log et un audit Deloitte récent reste plus sérieux qu'un VPN panaméen sans audit. La juridiction est un facteur, pas le facteur unique.

Pourquoi NordVPN parle-t-il de « Colocated Servers » plutôt que de RAM-only ? Les deux concepts se complètent. Colocated signifie que NordVPN possède physiquement le matériel dans le datacenter, au lieu de louer des serveurs au prestataire (ce qui était la norme avant). Cela empêche un employé du datacenter d'accéder au matériel. RAM-only signifie que ce matériel ne stocke rien sur disque. Les serveurs Colocated de NordVPN sont aussi RAM-only.

Que vaut un fournisseur qui n'a jamais été audité ? La promesse sans audit relève de la confiance pure. Pour un acteur établi avec une longue réputation, cela peut suffire en première analyse. Pour un nouveau venu ou un VPN gratuit, c'est un signal faible. À chaque fois qu'un audit existe, il vaut mieux qu'aucun audit.

L'audit no-log certifie-t-il l'anonymat complet ? Non. Il certifie que le VPN ne conserve pas, à un instant T, certains types de logs sur son infrastructure. Votre anonymat dépend en plus de votre empreinte navigateur, de vos cookies, de vos comptes connectés, de vos paiements, de fuites éventuelles (WebRTC, DNS, IPv6). Un VPN no-log est nécessaire mais pas suffisant.

Faut-il préférer un VPN payé en cryptomonnaie ? Pour la grande majorité des usages, non — l'utilité marginale est faible et la complexité réelle. Pour des cas d'usage particuliers (journalisme sensible, militantisme à risque, dissidence politique), oui, payer en cryptomonnaie anonyme (Monero idéalement) supprime un lien administratif entre votre identité bancaire et votre compte VPN. La plupart des fournisseurs sérieux acceptent cette option.

Que faire si un fournisseur change sa politique en silence ? C'est le risque principal. Quelques signaux à surveiller : changement de propriétaire, rachat par un groupe (vérifier la nouvelle politique), absence d'audit depuis plus de deux ans, disparition des rapports publics. Le marché VPN a connu plusieurs rachats récents (IPVanish, Private Internet Access, ExpressVPN par Kape Technologies en 2021) qui justifient une vigilance accrue.

Tor est-il préférable à un VPN no-log ? Pour les usages les plus sensibles, oui. Tor ne repose pas sur la confiance dans un opérateur unique : votre trafic passe par trois relais indépendants, et aucun acteur ne voit à la fois l'origine et la destination. Pour un usage quotidien (streaming, P2P, vie privée générale), Tor est trop lent et un VPN sérieux est le compromis raisonnable.

Le terme « no-logs », à lui seul, ne dit rien. Ce qui compte, c'est l'architecture technique qui rend l'enregistrement impossible, la juridiction qui empêche une obligation de logger à venir, et les audits indépendants qui vérifient régulièrement que le système annoncé est bien le système en place. Quelques fournisseurs ont accumulé sur la dernière décennie un dossier d'audit sérieux et plusieurs cas où la promesse a tenu en conditions réelles. Beaucoup d'autres répètent le slogan sans avoir jamais été vérifiés.

Le bon réflexe quand vous choisissez un VPN : demander le rapport d'audit, vérifier sa date, lire son périmètre, regarder s'il y a eu des cas judiciaires testant la promesse. C'est moins romantique qu'un argumentaire marketing, mais c'est ce qui sépare la confidentialité réelle de la confidentialité affichée. Notre comparatif VPN liste les fournisseurs dont l'audit est à jour et accessible.

← Retour au journal