Les promesses de confidentialité des VPN suscitent aujourd’hui une attention accrue, en particulier lorsqu’il s’agit de la pratique dite « no log ». Les tests indépendants restent le moyen le plus tangible pour juger de la conformité des fournisseurs face à leurs engagements.
Plusieurs audits publiques ont évalué des éléments techniques et organisationnels sur la journalisation et la sécurité. Vous trouverez ci-après les points essentiels présentés sous la rubrique A retenir :
A retenir :
- Audit Deloitte confirmant la non conservation des activités utilisateurs
- Rapports antérieurs de sécurité par Cure53 pour vérification technique
- Surfshark communicateur transparent sur ses procédures internes
- Comparaison avec ExpressVPN nécessitant vérifications publiques complémentaires
Audit Deloitte de Surfshark : examen des preuves techniques
Après les points clés, l’audit Deloitte a fourni des éléments concrets sur la configuration et la gestion des serveurs. Selon Deloitte, les procédures et la configuration examinées correspondent aux descriptions fournies par le fournisseur.
La vérification a porté sur les paramètres de déploiement, les API et la gestion des accès internes. Cette évaluation prépare l’examen des méthodes que tout utilisateur doit connaître pour interpréter un audit VPN.
Portée de l’audit et méthodes appliquées
Ce point précise les éléments audités et la méthode employée pour obtenir des preuves. Selon Deloitte, les entretiens avec le personnel et l’analyse de configuration ont livré des preuves tangibles.
L’équipe a inspecté des serveurs standards et statiques ainsi que des composants SDN et API. Ces vérifications permettent d’apprécier la cohérence de la politique de journalisation derrière la promesse no log.
Points techniques vérifiés :
- Configuration serveur et paramètres VPN
- Processus de déploiement automatisé
- Accès API et microservices Infra
- Contrôles internes et gestion des accès
Critère
Surfshark (constaté)
Remarque
Audit indépendant
Deloitte, évaluation publiée 2025
Procédures d’assurance réalisées
Conservation des journaux
Aucune conservation déclarée
Conforme à la politique no log
Infrastructure serveur
Serveurs standards et statiques inspectés
Contrôles de configuration documentés
Accès interne
Contrôles et entretiens avec le personnel
Preuves fournies aux auditeurs
« J’ai constaté une réduction nette des logs visibles après changement de configuration pour mes serveurs »
Léna R.
Un examen détaillé évite les interprétations hâtives et éclaire les choix des utilisateurs. Selon Surfshark, le rapport complet est accessible pour consultation depuis l’application web.
Comment lire un audit VPN pour juger la confidentialité
Enchaînant sur les preuves techniques, il faut apprendre à distinguer les limites d’un audit et ce qu’il prouve réellement. Un rapport peut confirmer une configuration sans garantir une immuabilité face à toutes les menaces futures.
Lire un audit implique d’évaluer la portée, les méthodes et les éléments non testés. Cette capacité d’analyse conduit naturellement à comparer différents fournisseurs selon des critères opérationnels et juridiques.
Questions à poser après la lecture d’un rapport
Ce passage liste les interrogations essentielles après lecture d’un rapport d’audit. Selon Cure53, la vérification technique complète doit inclure tests d’intrusion et revue du code lorsque possible.
Demandez quels serveurs ont été testés, la durée de l’audit et les limites de l’accès fourni aux auditeurs. Ces éléments aident à mesurer la profondeur réelle de la vérification.
Vérifications post-audit :
- Éléments couverts par l’audit
- Période d’observation et durée des tests
- Accès fourni aux auditeurs
- Existence d’audits techniques complémentaires
« J’ai lu le rapport complet et j’ai apprécié la clarté des méthodologies expliquées »
Marc D.
Comprendre ces réponses aide à interpréter les garanties de confidentialité ou l’absence de garanties. L’enjeu reste la protection effective de la vie privée et la résilience des systèmes face aux contraintes juridiques.
ExpressVPN et comparaison pratique des promesses no log
En suivant l’examen des audits, il convient d’opposer les preuves disponibles pour comparer des fournisseurs comme Surfshark et ExpressVPN. La comparaison porte sur la transparence, les audits disponibles et les contrôles techniques publiés.
Les différences d’approche influencent le niveau de confiance que peut accorder chaque utilisateur. Cela conduit ensuite aux choix opérationnels pour renforcer sa propre sécurité et sa confidentialité.
Comparaison qualitative des garanties
Cette section compare la transparence et les preuves publiées entre fournisseurs, sans invention de chiffres. Selon Deloitte, Surfshark a rendu public un rapport d’assurance daté de 2025 apportant des preuves documentées.
Aspect
Surfshark
ExpressVPN
Audit indépendant
Deloitte, rapport d’assurance 2025
Audits publics antérieurs mentionnés par le fournisseur
Publication des preuves
Rapport accessible via application web
Informations publiques limitées selon communication
Contrôles techniques
Configuration serveur et SDN inspectés
Descriptions techniques publiées par le fournisseur
Clarté sur journalisation
Politique no log confirmée par audit
Politique affichée, vérifications publiques variables
Comparaison opérationnelle :
- Transparence des rapports publics
- Disponibilité des détails techniques
- Fréquence des audits externes
- Facilité d’accès aux preuves
« À mes yeux, la transparence effective fait pencher la balance vers le fournisseur qui publie des preuves »
Anne L.
Pour un utilisateur soucieux de sa vie privée, la présence d’un audit indépendant et la clarté des éléments fournis sont des critères déterminants. La suite logique consiste à appliquer ces critères lors du choix et de la configuration d’un VPN.
Source : Deloitte, « Rapport d’assurance de non journalisation », Deloitte, 2025.
