Les VPN promettent de protéger votre vie privée, mais les forces de l’ordre et les tribunaux du monde entier ont le droit légal de demander vos dossiers – à condition qu’ils puissent monter un dossier contre vous. Comment les VPN traitent-ils ces demandes, et combien finissent-ils par partager avec les autorités ?

Les VPN et les demandes de données

Dans la plupart des pays où l’État de droit s’applique, la police ou d’autres organismes chargés de faire respecter la loi doivent obtenir l’autorisation d’un juge ou d’une autre autorité supérieure pour en savoir plus sur vous. Par exemple, s’ils veulent fouiller votre maison, ils ont besoin d’une sorte de mandat de perquisition. S’ils veulent savoir qui vous avez appelé, ou même à qui appartient un certain numéro de téléphone, ils doivent présenter un mandat à votre opérateur de télécommunications.

Les VPN ne sont pas différents. Par exemple, si quelqu’un a commis un crime et masqué son emplacement en utilisant un VPN, la police peut demander au fournisseur de VPN un mandat pour obtenir les coordonnées de cette personne et les journaux de connexion (les enregistrements des sites visités et à quel moment).

Pour être clair, si vous recevez un mandat, que ce soit en tant que particulier ou en tant qu’entreprise, vous devez y obéir : vous ne pouvez pas refuser. Le mieux que puisse faire un destinataire qui ne veut pas s’y conformer est de contester le mandat devant un juge, et il est rare qu’il soit annulé. Cependant, la plupart des utilisateurs de VPN se considèrent toujours comme en sécurité pour deux raisons. La première est que le service qu’ils utilisent promet l’anonymat. La seconde est liée à la localisation.

De nombreux VPN ont leur siège social à l’étranger, et ils en font souvent la publicité, affirmant que les lois strictes sur la protection de la vie privée de leur pays de résidence officiel les protègent des mandats. Or, ce n’est pas du tout le cas.

Franchir les frontières

Par exemple, NordVPN mise beaucoup sur le fait qu’il est basé au Panama, affirmant que c’est un endroit idéal pour s’installer car il n’y a pas de « lois sur la rétention des données », quelles qu’elles soient. Dans la pratique, cependant, NordVPN s’est conformé par le passé et continuera à le faire à l’avenir aux demandes des forces de l’ordre.

Il en va de même pour Proton, la société à l’origine de ProtonVPN et ProtonMail. Elle a élu domicile en Suisse et s’appuie largement sur la réputation de secret du pays alpin dans son matériel de marketing. Cependant, comme Proton l’explique sur son propre blog, les autorités suisses ont demandé des milliers de données au fil des ans. Pour rendre à ProtonVPN son dû, il combat souvent ces mandats, mais il ne réussit pas toujours.

Cela est dû à quelque chose que peu de VPN semblent prêts à admettre, à savoir que les pays se parlent et sont souvent plus qu’heureux de s’entraider avec de simples demandes. Lorsque la police française a voulu appréhender un activiste climatique, elle a demandé au gouvernement suisse de délivrer un mandat pour que Proton donne les coordonnées de l’homme. Les tribunaux suisses ont approuvé l’ordonnance et ProtonVPN a commencé à enregistrer les informations IP sur le compte. À ce stade, Proton n’a pas eu le choix.

ExpressVPN, dont le siège social est situé dans les îles Vierges britanniques, admet qu’il pourrait être contraint de divulguer des informations sur son site Web, mais vous rassure : « La plupart des enquêteurs ne feraient pas un effort aussi minutieux. » Bien que cela puisse être vrai, c’est toujours une maigre consolation pour quiconque espère que son VPN le protégera.

Saisies de serveurs

Même si un pays résiste à un mandat délivré par un autre – ce qui n’est pas une mince affaire, surtout s’il s’agit de pays comme les États-Unis, qui ont une grande influence diplomatique – il existe un autre moyen de localiser vos données, à savoir la saisie de serveurs. Dans ce cas, les autorités déterminent simplement quel serveur est utilisé par la personne qu’elles recherchent et – s’il se trouve dans leur juridiction – elles vont le chercher ainsi que les données qu’il contient.

Bien que cette pratique ne soit pas encore courante, les dernières années ont été marquées par de grandes opérations des forces de l’ordre. En 2021, les autorités ukrainiennes ont saisi des serveurs appartenant à Windscribe dans le cadre d’une enquête plus large, tandis que cette année a vu un raid paneuropéen massif sur des fermes de serveurs sur tout le continent.

Il est clair que les gouvernements ont beaucoup de pouvoir pour s’en prendre à vos données s’ils le souhaitent. Alors, que font les VPN pour empêcher cela ?

VPN, anonymat et logs

Les VPN tentent souvent d’apaiser vos inquiétudes concernant les mandats et autres en promettant un certain nombre de choses. Ils affirment surtout que vous êtes anonyme lorsque vous vous inscrivez et utilisez le service, et que vos journaux de connexion sont détruits ou ne sont pas conservés du tout.

Ce que les VPN savent de vous

Lorsqu’il s’agit de données d’identification, il est difficile d’évaluer ce que les VPN savent ou ne savent pas sur vous. Cependant, l’idée que vous êtes une sorte de fantôme numérique n’est probablement pas vraie, à moins que vous ayez pris des précautions et que vous vous soyez inscrit de manière anonyme – ce que tous les VPN ne permettent pas. Le fait est qu’il y a de fortes chances que votre VPN en sache beaucoup sur vous : des éléments comme votre nom, votre adresse électronique, votre localisation et une foule d’autres données peuvent être glanés lors d’une simple visite sur le site.

Si vous vous inscrivez au service, vous donnez encore plus d’informations, car presque tous les VPN exigent une adresse électronique (un point de données précieux) ainsi que la principale information personnelle : une carte de crédit. La plupart des fournisseurs de services de paiement partagent les informations du titulaire de la carte avec le service qu’il achète, ce qui inclut votre nom et votre adresse complets.

En plus de savoir qui vous êtes, les VPN ont également accès à ce que vous avez fait en ligne grâce à ce que l’on appelle les journaux de connexion. Ces journaux montrent tout ce que vous avez fait sur le Web lorsque vous étiez connecté au VPN, et nous voulons dire tout. Il ne s’agit pas seulement des sites que vous avez visités, mais aussi des fichiers que vous avez téléchargés et de l’activité Internet de vos applications.

Comment les VPN vous protègent

Ces données sont sensibles pour vous, mais aussi très précieuses pour le genre de personnes qui traquent le comportement des autres en ligne. Pour protéger votre vie privée, les VPN promettent généralement qu’ils ne collectent pas d’informations personnelles ou de journaux de connexion.

Qu’est-ce qu’un VPN No-Log, et pourquoi est-ce important pour la vie privée ?

On les appelle les VPN no-log. Malgré ce nom, dans la plupart des cas, nous soupçonnons que vos journaux sont détruits dès qu’ils sont créés. Cela permettrait une connectivité internet normale tout en protégeant les utilisateurs.

Notez que nous ne sommes pas sûrs de la manière dont cela fonctionne : si les VPN prétendent ne conserver aucun journal – certaines sociétés fantômes affirment même qu’elles n’en créent aucun, ce qui est une histoire à dormir debout – il n’existe aucun moyen de vérifier cette affirmation. Bien qu’un nombre croissant de VPN se soumettent à des audits tiers pour confirmer leurs affirmations, il existe de nombreux moyens de faire paraître les choses meilleures qu’elles ne le sont.

Le résultat final est que nous ne savons pas exactement ce que les VPN savent sur leurs utilisateurs. Ils pourraient en savoir beaucoup sur vous s’ils le voulaient, de ce que vous faites sur Internet à qui vous êtes. Cela est contrebalancé par leurs affirmations de détruire toutes, ou du moins la plupart, de vos données. En fin de compte, cependant, leurs revendications d’anonymat sont basées sur la confiance : sans un bon moyen de vérifier, tout ce que vous pouvez faire est de prendre leurs revendications sur la foi.