Ces VPN ont été pris en flagrant délit de mensonge sur leurs politiques 'Sans journaux'

8 min de lecture
vpn sans-journaux confidentialité arnaque
Table des Matières

“Nous ne gardons pas de journaux.”

- Tous les VPN

”Voici les journaux que nous avons donnés au FBI.”

- Ces mêmes VPN

IPVanish avait une politique “zéro journal” jusqu’à ce que le FBI demande des journaux. Puis ils en ont trouvé plein, assez pour arrêter quelqu’un. Les “sans journaux” de PureVPN ne signifiaient rien quand ils ont remis au FBI des enregistrements de connexion qui ont résolu une affaire de cyberharcèlement. HideMyAss ne cachait rien quand ils ont donné aux autorités les données pour arrêter un hacker LulzSec.

Soyons absolument clairs : je crois en la technologie VPN. Utilisés correctement avec une architecture appropriée, les VPN peuvent fournir une vraie confidentialité. Mais “sans journaux” est devenu une case de marketing sans signification que les entreprises cochent tout en enregistrant secrètement tout.

La différence entre les VPN qui vous protègent réellement et ceux qui vous vendront ? Si leur affirmation sans journaux a été testée devant les tribunaux. Seulement environ cinq VPN ont passé ce test. Les autres ? Ce sont juste des promesses attendant d’être brisées.

Voici les VPN pris la main dans le sac en train de mentir sur les journaux—avec preuves.

Vérité en 30 secondes

  • IPVanish “sans journaux” = Donné journaux au FBI, utilisateur arrêté
  • PureVPN “sans journaux” = Remis journaux pour affaire de cyberharcèlement
  • HideMyAss “sans journaux” = Hacker LulzSec attrapé via leurs journaux
  • Seuls sans journaux prouvés: PIA, Mullvad (testés devant tribunal)
  • “Sans journaux” ne signifie rien sans vérification tribunal/raid
🔥 r/VPN Posted by u/zelcon01 36mo ago
↑ 29

I'm talking to an IT person that has told me that "All VPNs keep logs, some just delete them after a short time, like a week for understanding user experience for example." Is this true? I thought there were completely logless VPNs?

💬 35 comments 🏆 29 upvotes 📈 88% upvoted 🤬 Rant-o-Meter: High
Top Comments (5)
u/bigkids ↑ 43 36mo ago
Yes, all VPN have logs. As far as to what they log is a different story.

Sometimes they must log to issue bug fixes on a persistant error message some user gets. Some log the websites you visit in order to cache the websites to save bandwidth.

They can have many reasons.
u/billdietrich1 ↑ 12 36mo ago
There are different versions of "logging":

- server keeps every detail of last 5 minutes of activity, so it can be analyzed in case of a crash

- server keeps a database of all account IDs and a running total of GB transferred and a "current number of devices logged in on this account" for control purposes (enforce limits on accounts)

- server keeps a history of activity by you...
u/frankentriple ↑ 9 36mo ago
The only vpn without logs is one you run yourself. Full stop. What they log and what they will give to Leo is up for discussion. Services don’t run without logs. No way to troubleshoot something broken.
u/EduRJBR ↑ 3 36mo ago
You must always assume that everything will be logged. The only rational ~~concert~~ concern is about who has access to these logs. And you must always assume that a lot of people or entities could access these logs, one way or another.
View all 35 comments on Reddit →

Les méchants : Pris en flagrant délit

1. IPVanish : Le VPN “Sans journalisation” qui journalisait tout

Pendant des années, IPVanish était l’un des défenseurs les plus vocaux d’une politique “zéro journal”. Puis, des documents judiciaires d’une enquête de Homeland Security de 2016 ont révélé la vérité laide. Dans une affaire criminelle, HSI a tracé une adresse IP vers IPVanish. Après avoir initialement nié avoir des données, ils ont apparemment trouvé un trésor d’informations sur un suspect.

Ils ont remis le vrai nom de l’utilisateur, l’adresse email, leur vraie adresse IP Comcast, et des journaux de connexion détaillés montrant quand ils se sont connectés et déconnectés du VPN et du serveur IRC en question.

Tellement pour “sans journaux.”

2. PureVPN : Purs mensonges

En 2017, le marketing de PureVPN était tout sur la confidentialité et l’anonymat. Mais quand le FBI est venu appeler pendant une enquête de cyberharcèlement, leurs principes se sont apparemment évaporés. Le FBI enquêtait sur un homme pour harceler son ex-colocataire, et ils soupçonnaient qu’il utilisait PureVPN pour couvrir ses traces.

Selon des documents judiciaires, PureVPN a pu fournir au FBI des journaux montrant que le même client avait accédé à leur service depuis deux adresses IP : le domicile du suspect et son lieu de travail. C’était apparemment la pièce clé de preuve qui l’a lié au crime. À mon avis, leur politique “zéro journal” était trompeuse.

3. HideMyAss (HMA) : Ne cache rien aux fédéraux

Le nom lui-même aurait dû être un signal d’alarme. En 2011, un membre du groupe de hackers LulzSec, Cody Kretsinger, a utilisé HMA pour pirater Sony Pictures. Quand le FBI a enquêté, ils ont signifié à HMA une ordonnance britannique.

HMA, malgré sa marque axée sur la confidentialité, s’est apparemment conformé sans combattre. Selon des documents judiciaires, ils ont remis des journaux de connexion qui ont permis au FBI d’identifier et d’arrêter Kretsinger. Ils ont plus tard admis dans un article de blog qu’ils journalisent les heures de connexion et les adresses IP pour gérer les “utilisateurs abusifs.” En d’autres termes, ils journalisent.

4. EarthVPN : Trahison terre-à-terre

Selon des rapports, un homme néerlandais aurait utilisé EarthVPN pour envoyer des menaces à la bombe à son école. Il croyait probablement leur promesse “sans journaux.” Il avait apparemment tort. La police néerlandaise a saisi un des serveurs d’EarthVPN aux Pays-Bas et a prétendument trouvé assez de données pour le retrouver.

L’excuse d’EarthVPN ? Ils ont blâmé le datacenter, affirmant que c’étaient eux qui journalisaient le trafic. C’est la même vieille histoire : quand attrapés, rejeter la faute. Peu importe qui fait la journalisation ; si vos données ne sont pas en sécurité, le VPN a échoué.

5. NordVPN : Le renversement de politique (mais pas de journaux prouvés)

Parfois la tromperie est plus subtile. Pendant des années, toute l’identité marketing de NordVPN était construite sur sa juridiction panaméenne, affirmant qu’ils “ne se conformeront pas” aux demandes de gouvernements étrangers. Puis, ils ont discrètement modifié leur politique pour dire qu’ils “ne se conformeront que” si les demandes sont légales.

C’est un virage à 180 degrés complet, un appât et un changement sur leur promesse la plus fondamentale à mon avis.

Voici la nuance : Contrairement à IPVanish, PureVPN et HMA, NordVPN n’a pas été pris en train de remettre des journaux devant les tribunaux. Leur violation de 2018 concernait le compromis d’infrastructure, pas la violation de politique de journalisation.

Améliorations post-violation :

  • Passé aux serveurs uniquement RAM (ne peut pas stocker de journaux même s’ils le voulaient)
  • Audits indépendants confirmant les affirmations sans journaux (Deloitte 2022)
  • Rapports de transparence montrant les réponses aux demandes des forces de l’ordre
  • Infrastructure sans disque (données effacées au redémarrage)

Mon avis : Ils ont menti sur leur position juridique (mauvais). Ils n’ont pas été prouvés journalisant l’activité utilisateur (bon). Ils sont dans le terrain intermédiaire entre “menteurs prouvés” et “honnêtes prouvés.”

Est-ce que je leur ferais confiance pour des besoins de confidentialité niveau journaliste ? Non. Est-ce que je leur ferais confiance pour cacher la géolocalisation Netflix ? Ouais, probablement.

Connaissez votre modèle de menace.

Les héros : Sans journaux, prouvé devant tribunal

Alors, tout le monde ment ? Pas tout à fait. Quelques VPN ont eu leurs politiques sans journaux testées devant les tribunaux et en sont sortis propres.

Private Internet Access (PIA) a été assigné à comparaître par le FBI à au moins deux reprises (en 2016 et 2018). Les deux fois, selon des documents judiciaires, l’entreprise ne pouvait que déclarer que les adresses IP en question appartenaient à leurs serveurs. Ils n’avaient pas de données utilisateur, pas de journaux de connexion, et rien pour lier toute activité à un compte spécifique. On leur a demandé des journaux et ils n’avaient rien à donner. C’est une politique sans journaux avec des dents.

Windscribe a eu sa politique validée quand son fondateur a été personnellement emmené au tribunal en Grèce pour une violation de données qui a été tracée à une IP Windscribe. Il ne pouvait fournir aucune donnée parce qu’aucune n’existait. L’affaire était un test réel à enjeux élevés que Windscribe a passé haut la main.

Mullvad a fait face à son propre test en 2023 quand la police suédoise a fait une descente dans leurs bureaux avec un mandat de perquisition, cherchant des données clients. Selon la déclaration de Mullvad, ils sont repartis avec rien, parce qu’il n’y avait rien à trouver. L’engagement de Mullvad à ne pas collecter de données utilisateur a été apparemment prouvé par une vraie descente de police.

Comment vérifier les affirmations “Sans journaux” vous-même

Faire confiance au marketing d’un VPN est un jeu de dupe. Voici comment vous vérifiez réellement leurs affirmations :

  1. Affaires judiciaires : Le test ultime. Le VPN a-t-il déjà été forcé de produire des journaux devant les tribunaux ? S’ils l’ont fait, ce sont des menteurs. S’ils ont été emmenés au tribunal et n’ont rien produit (comme PIA), c’est un énorme vote de confiance.

  2. Audits indépendants : Les VPN réputés embauchent maintenant des cabinets d’audit indépendants (comme les Big Four comptables) pour examiner leurs systèmes et vérifier leurs affirmations sans journaux. Ce n’est pas infaillible, mais c’est beaucoup mieux qu’un slogan marketing.

  3. Serveurs uniquement RAM : Certains VPN passent aux serveurs uniquement RAM. Cela signifie qu’aucune donnée n’est jamais écrite sur un disque dur. Quand le serveur est redémarré, toute donnée dessus est effacée. C’est une protection technique contre la journalisation, qu’elle soit intentionnelle ou accidentelle.

🔍 Ne me faites pas confiance ? Vérifiez ceci vous-même

Vous voulez voir les données brutes derrière mes affirmations ? Consultez les feuilles de données - détails techniques, registres de propriété, prix et plus.

  1. Googlez “IPVanish Homeland Security logs 2016”
  2. Cherchez “PureVPN FBI logs 2017”
  3. Regardez “HideMyAss LulzSec arrest logs”
  4. Trouvez “Mullvad police raid 2023” - ils n’ont rien trouvé
  5. Cherchez “Private Internet Access FBI subpoena no logs”

Conclusion

Ne soyez pas un idiot. Les promesses d’un VPN sont sans valeur jusqu’à ce qu’elles soient testées. Faites vos propres recherches, cherchez les preuves, et ne faites pas confiance à une entreprise qui a été prise en train de mentir. Votre confidentialité en dépend.

🧪 Testez ceci vous-même

Vérifiez qui ment sur les journaux :

  • Cherchez “[nom VPN] + FBI + logs + court”
  • Vérifiez les audits : “[nom VPN] independent audit Big Four”
  • Cherchez les tests tribunal : “[nom VPN] subpoena response”
  • Trouvez les résultats de raids : “[nom VPN] police raid servers”
  • Vérification technique : “[nom VPN] RAM-only servers” (ne peut pas stocker de journaux)
The Angry Dev

NE faites PAS confiance aux sites d’avis. Les commissions d’affiliation dictent leurs classements. Ceci est aussi un site d’affiliation, mais je suis honnête sur ce que je gagne et je classe par qualité plutôt que par rémunération. Même si cela signifie que je suis payé 0 $. Lisez mon approche et pourquoi j’ai arrêté de raconter des conneries. Voici les données brutes pour que vous puissiez tout vérifier.

VPN | Hébergement | Stockage | Outils

Articles connexes