VPN no-log : Le meilleur VPN sans logs ni fichiers log

Pour de nombreux utilisateurs, la vitesse, le nombre de serveurs et la facilité d'utilisation sont les critères sur lesquels ils se basent pour choisir le bon VPN. Mais il y a un autre facteur qui ne doit en aucun cas être négligé : la sécurité des données des utilisateurs.

Dans cet article, nous allons vous expliquer ce que signifie le terme « VPN no-log » et vous présenter les meilleurs services VPN qui n'enregistrent pas les logs (ou journaux en français) de leurs utilisateurs.

De nombreux fournisseurs de VPN conservent les logs relatifs au comportement de navigation de leurs utilisateurs dans le but, par exemple, de leur proposer des offres publicitaires ciblées. En cas de besoin et selon la situation juridique, les institutions gouvernementales peuvent également avoir accès à ces logs.

C'est pourquoi les utilisateurs soucieux de la protection de leurs données devraient choisir un fournisseur de VPN avec une politique stricte « no-log ». Cela signifie que le fournisseur ne tient aucun journal d'activité (salons ses propres dires).

Les fournisseurs de VPN peuvent enregistrer un grand nombre de données sur leurs utilisateurs. Il s'agit notamment des données suivantes :

Outre la possibilité qu'ils transmettent ces données à des institutions gouvernementales sur demande, les fournisseurs de VPN peuvent obtenir un profil relativement précis des utilisateurs concernés en agrégeant et en analysant les données.

En premier lieu, il s'agit bien sûr (comme souvent) de marketing. Les logs fournissent des informations sur les intérêts personnels, le comportement d'achat ou les services Internet préférés des utilisateurs. Mais des informations sensibles, par exemple sur les opinions politiques ou la confession, peuvent également être révélées.

En plus des données spécifiques à la session qui reflètent le comportement de navigation de l'utilisateur, des données personelles supplémentaires des clients sont généralement collectées au moment où un contrat d'abonnement à un service VPN est conclu et servent au traitement de la commande. Il s'agit de données telles que :

Ces données ne donnent certes pas un aperçu de la vie privée des utilisateurs concernés, mais elles les identifient comme utilisateurs d'un VPN.

C'est pourquoi une politique no-log adoptée par un fournisseur ne signifie pas forcément qu'aucune donnée n'est enregistrée. Dans ce dernier cas on parle de « zero-log ». Toutefois, les données nécessaires au traitement des commandes sont naturellement soumises aux lois locales en vigueur sur la protection des données et ne peuvent donc pas être transmises sans discernement.

Certains fournisseurs de VPN empêchent une transmission théoriquement possible, et dans certains cas légalement établie, de données personnelles de clients aux autorités : ils utilisent des modèles d'abonnement et de paiement ainsi que des mécanismes d'authentification qui ne nécessitent pas de divulguer des données personelles. Ces fournisseurs ne permettent donc pas non plus d'identifier les utilisateurs individuels à l'aide du fichier client.

De nombreux VPN se vantent de leur propre politique no-log. Pourtant, il a été prouvé à plusieurs reprises que certaines entreprises stockent les logs d'utilisation de leurs clients malgré de telles directives.

Lorsque vous choisissez un service VPN, il est recommandé de ne prendre en compte que les fournisseurs disposant d'une politique no-log qui se font si possible régulièrement contrôler par des prestataires de services externes et indépendants. De tels audits de sécurité garantissent que la promesse de non journalisation est effectivement tenue et que les failles de sécurité découvertes sont rapidement corrigées.

Chez EXPERTE.com, nous avons testé 22 fournisseurs. Vous trouverez ci-dessous les cinq meilleurs VPN no-log :

Mullvad VPN est un fournisseur de VPN de Suède. L'entreprise basée à Göteborg se distingue non seulement par sa politique no-log, mais aussi par son traitement des commandes non conventionnel par rapport à d'autres services VPN, ce qui favorise l'anonymat de l'utilisateur. Ainsi, chez Mullvad VPN, vous n'avez pas besoin de renseigner votre adresse e-mail pour vous inscrire. En effet, vous créez un compte sans divulguer de données personnelles.

De plus, Mullvad VPN garantit l'anonymat lors du paiement de son tarif payant : le fournisseur suédois vous permet également de payer par argent liquide dans une enveloppe ou à l'aide de codes de bons d'achat. Les crypto-monnaies sont également acceptées.

En 2020, Mullvad VPN a fait vérifier la sécurité de son infrastructure par le prestataire de services allemand Cure53, qui n'a détecté que des faiblesses mineures au niveau du code des applications. De plus, Mullvad VPN donne sur son site web un aperçu de l'utilisation des données générées par le fonctionnement général du service.

En 2022, Mullvad VPN a fait réaliser un autre audit externe approfondi par l'entreprise de sécurité suédoise Assured AB. Cet audit n'a pas non plus révélé de failles de sécurité.

Toujours en 2022, Mullvad VPN a également commencé à convertir progressivement son infrastructure de serveurs à un mode RAM-Only, qui exclut également techniquement l'enregistrement permanent de données de session.

Il convient de noter que la Suède fait partie de l'UE depuis 1995 et que la conversation des données pourrait donc être rendue obligatoire à l'avenir dans le cadre des réglementations de l'Union européenne.

Avec plus de 5 500 serveurs dans 59 pays, NordVPN est l'un des principaux services VPN au monde. Le fournisseur, qui existe depuis plus de dix ans, a très tôt fait de la sécurité de ses services son cheval de bataille.

Ainsi, l'entreprise possède une politique stricte de no-logs et a fait réaliser un audit par PricewaterhouseCoopers AG en Suisse en 2018 et 2020 afin de vérifier les principes de la politique no-log. Les deux audits n'ont pas révélé de faiblesses dans la mise en œuvre et le respect de la politique.

En outre, le siège social de NordVPN est situé au Panama. Comme le Panama n'est soumis ni à la juridiction des États-Unis ni à celles de l'Union européenne et qu'il ne connaît pas d'obligations légales de consignation dans le cadre d'une conservation des données pour les fournisseurs de services VPN sur Internet, une conservation des données imposée par des réglementations légales est également exclue.

ExpressVPN, basé sur les Îles Vierges britanniques, se vante également d'une politique stricte no-log. Le service VPN propose plus de 3 000 serveurs dans plus de 90 pays à travers le monde.

ExpressVPN a également déjà fait réaliser différents audits de sécurité par plusieurs entreprises externes. Ainsi, en 2019, un audit de PricewaterhouseCoopers a été réalisé pour vérifier le respect de la politique no-log d'ExpressVPN, tandis qu'en 2021 et 2022, des applications clientes et un produit hardware ont également été testés pour détecter des failles de sécurité par F-Secure et Cure53.

Cependant, il faut savoir que la société mère Kape Technologies, à laquelle ExpressVPN appartient depuis 2021, s'est déjà fait remarquer à plusieurs reprises par le passé pour des infections par des logiciels malveillants et d'autres problèmes.

ExpressVPN ne stocke que les données nécessaires au fonctionnement du service et les évalue dans le contexte de la fonctionnalité de son offre. Aucune donnée personnelle ni aucune donnée sur l'utilisation du service par les utilisateurs individuels n'est collectée. ExpressVPN est soumis à la juridiction des Îles Vierges britanniques et n'est donc pas lié par les lois européennes ou américaines sur la conservation des données.

Le fournisseur de VPN Surfshark, basé aux Pays-Bas, promet également à ses clients de ne conserver aucun journal d'activité. En 2018, l'entreprise de sécurité allemande Cure53 a réalisé un audit de Surfshark qui n'a révélé aucune lacune critique. Un autre audit a suivi en 2021.

Le site web de Surfshark publie par ailleurs quelques détails techniques sur la manière dont la politique no-log est mise en œuvre. Ainsi, Surfshark exploite ses serveurs exclusivement en mode RAM-Only, dans lequel les appareils sont complètement réinitialisés à la mise hors tension et aucune mémoire de masse traditionnelle comme les disques durs ou les lecteurs SSD n'est utilisée.

De ce fait, il n'est plus possible de reconstituer des fragments de données après une coupure du réseau électrique, comme c'est le cas avec les serveurs traditionnels en cas de saisie surprise.

Le fournisseur, qui dispose de plus de 3 200 serveurs dans près de 100 pays, met également à disposition sur son site web le nombre, régulièrement mis à jour, de demandes de divulgation de données personnelles reçues des autorités. Jusqu'à présent, Surfshark affirme n'avoir reçu aucune demande de ce type.

Surfshark est enregistré aux Pays-Bas. Actuellement, suite à des interdictions judiciaires, il n'existe pas de loi sur la conservation des données dans ce pays européen. Il n'est toutefois pas exclu que les Pays-Bas, en raison de leur appartenance à l'UE, soient éventuellement soumis à l'avenir à une directive européenne correspondante qui pourrait rendre la conservation des données obligatoire.

Le service VPN ProtonVPN, basé en Suisse, accorde une importance particulière à la sécurité et applique donc une politique stricte de no-logs. ProtonVPN dispose actuellement (octobre 2022) d'environ 1 750 serveurs dans 64 pays, qui sont équipés de fonctions de sécurité spéciales, comme par exemple l'établissement de connexions VPN via le réseau Tor.

Outre l'offre payante, ProtonVPN exploite également des serveurs pouvant être utilisés gratuitement. Ceux-ci bénéficient également, comme leurs homologues payants, de la politique no-log, mais présentent quelques restrictions fonctionnelles qui les prédestinent plutôt à une utilisation occasionnelle dans un environnement privé.

La politique no-log de ProtonVPN a déjà été réellement mise à l'épreuve en 2019, lorsqu'une puissance étrangère a demandé, par l'intermédiaire d'un tribunal suisse, la remise de données concernant un client. L'entreprise n'a pas pu donner suite à cette demande du fait de l'inexistence de logs.

De plus, en 2022, ProtonVPN a soumis ses applications et ses serveurs à un examen approfondi réalisé par l'entreprise de sécurité polonaise Securitum, qui n'a détecté aucune faille.

De nombreux fournisseurs se vantent de ne pas générer de fichiers log sur le comportement de navigation de leurs utilisateurs – pas toujours à juste titre. C'est pourquoi vous devriez toujours vérifier, lors du choix d'un fournisseur de VPN, si un audit a été réalisé par une entreprise de sécurité externe et indépendante.

Un fournisseur de VPN n'est vraiment digne de confiance que si un audit réalisé en temps réel ou, mieux encore, des contrôles réguliers prouvent que la promesse « no-log » est tenue sans compromis. Vous trouverez des avis complets de 22 fournisseurs de VPN, pour lesquels nous vérifions également les promesses de sécurité des services, dans le comparatif VPN d'EXPERTE.com.