VPN sans log : que signifie vraiment « no-logs » ?

 

 

« VPN sans log », « no-logs », « zéro trace »… Ce vocabulaire rassure, parce qu’il semble répondre à une peur simple : être suivi, profilé, ou “fiché” quand on utilise Internet. Et il faut le reconnaître : dans l’univers des VPN, “sans log” est devenu le marqueur de confiance numéro 1.

Sauf qu’il y a un piège : on confond souvent un concept technique (la journalisation) avec une promesse globale (la disparition des traces). Or, sur Internet, il existe plusieurs types de traces, plusieurs acteurs, plusieurs couches techniques. Un VPN peut réduire certains signaux. Il ne peut pas réécrire la physique d’un réseau.

Cette page sert à poser une base solide :

  • ce qu’un VPN peut enregistrer techniquement
  • ce que “sans log” recouvre réellement
  • ce qui reste visible quoi qu’il arrive
  • comment évaluer la crédibilité d’une promesse “no-logs” avec des critères concrets

1) Un VPN, c’est un intermédiaire : on déplace la confiance

Avant même de parler de logs, il faut comprendre un point structurel : un VPN change le chemin de ton trafic.

Sans VPN :

  • tu te connectes à Internet via ton fournisseur d’accès (FAI)
  • tu vas ensuite vers les services (sites, applis, plateformes)

Avec VPN :

  • ton trafic passe d’abord par le serveur VPN
  • puis ressort vers Internet

Conséquence : tu réduis la visibilité du FAI sur certains détails de ta navigation, mais tu donnes au fournisseur VPN une position centrale. Le “sans log” répond à cette question : que fait le VPN de la visibilité qu’il a, et que conserve-t-il ?

Un VPN n’élimine pas la confiance, il la déplace.

2) “Logs” : on parle de quoi exactement ?

Le mot “log” est un fourre-tout. Pour comprendre “no-logs”, il faut distinguer au moins 4 catégories.

A) Logs d’activité (ce que tout le monde imagine)

C’est le type de données le plus sensible :

  • quels sites tu consultes
  • quelles applis/services tu utilises
  • quelles pages, quelles requêtes
  • éventuellement des détails sur le trafic

Si un VPN conserve ça de façon exploitable, on est loin d’une promesse “sans log” crédible. Quand un fournisseur promet “no-logs”, c’est généralement ce point que l’utilisateur cherche à éviter.

B) Logs de connexion (souvent minimisés, parfois très révélateurs)

Ce sont des informations sur ta session VPN :

  • heure de début / fin
  • durée
  • serveur choisi
  • volume de données (par session ou par période)
  • parfois l’IP à l’entrée du VPN (celle de ta box / de ton réseau mobile)

Ces logs ne disent pas “tu as visité tel site”. Mais ils peuvent être corrélés avec d’autres informations. Exemple : si un service externe sait qu’un contenu a été consulté à 22h03 depuis une IP de sortie VPN, et que le VPN garde “qui s’est connecté à ce serveur à 22h03”, la corrélation devient possible.

Le diable est souvent là : l’activité peut parfois être reconstruite sans logs d’activité, via logs de connexion + corrélation.

C) Logs DNS (le piège pédagogique parfait)

Le DNS, c’est l’annuaire d’Internet : quand tu tapes “exemple.com”, tu demandes “quelle adresse IP correspond ?”.

Même si le contenu de ta navigation est chiffré (HTTPS), les requêtes DNS peuvent révéler :

  • les domaines consultés
  • la fréquence
  • certains schémas de navigation

Un VPN “no-logs” mais qui laisse fuiter ou journalise le DNS, c’est une promesse bancale. Et beaucoup de gens ne savent même pas que c’est une couche distincte.

D) Logs techniques (diagnostic, stabilité, anti-abus)

Ceux-là sont parfois légitimes :

  • crash reports (rapports de plantage)
  • métriques de performance (charge serveur)
  • détection d’attaques ou de spam
  • gestion des abus (trop de connexions, comportements anormaux)

Le point important : ces données peuvent exister sans être associées à une identité utilisateur, ou sans être conservées longtemps. Mais elles existent presque toujours sous une forme ou une autre, sinon le service est aveugle.

3) “Sans log” : la bonne définition (réaliste)

Un VPN sans log crédible, dans un sens opérationnel, signifie généralement :

  • pas de conservation durable des activités de navigation (sites, requêtes, services)
  • pas de journalisation permettant d’associer une activité en ligne à un utilisateur de manière exploitable
  • des collectes minimales et explicitées sur ce qui est nécessaire au fonctionnement
  • une durée de conservation courte et justifiée pour les rares données techniques

Ce que cela ne veut pas dire :

  • “aucune donnée n’existe”
  • “le fournisseur ne voit rien”
  • “tu es anonyme”
  • “aucune demande légale n’aura jamais lieu”

Le niveau pro, c’est de tenir cette ligne : réduction de traçabilité, pas “magie”.

Voir : ce qui est réellement enregistré

4) Exemple concret : comment une corrélation peut exister sans historique de navigation

Imaginons une situation simple, sans scénario d’espionnage hollywoodien.

  • Un utilisateur se connecte à un VPN à 20h12, sur un serveur donné.
  • À 20h13, un service en ligne détecte une connexion depuis l’IP de sortie du VPN.
  • Le service en ligne ne sait pas qui c’est, mais il a un horodatage précis.
  • Si le VPN conserve des logs de connexion identifiants (“telle IP d’entrée a utilisé ce serveur à 20h12”), une corrélation devient possible.

Même sans “logs d’activité”, les logs de connexion peuvent suffire dans certains cas, si :

  • les horodatages sont précis
  • la population d’utilisateurs sur ce serveur est faible
  • les logs sont conservés assez longtemps

Conclusion pédagogique : “no-logs” doit aussi se comprendre comme une politique de minimisation et de non-corrélation, pas juste “on ne garde pas l’historique des sites”.

5) Un VPN peut-il vraiment “ne rien enregistrer” ? Techniquement, on nuance.

Un VPN peut être conçu pour limiter drastiquement la journalisation, mais il ne peut pas fonctionner comme une boîte noire totale sans aucune donnée de fonctionnement, sinon il est ingérable.

Ce qu’un VPN peut faire (approche pro) :

  • ne pas écrire de journaux persistants d’activité
  • limiter ou anonymiser les métriques
  • réduire la précision temporelle de certains événements
  • stocker temporairement en mémoire vive pour traiter le trafic, puis supprimer

Ce qu’un VPN ne peut pas éviter :

  • voir passer des paquets réseau (c’est son rôle)
  • gérer des sessions
  • maintenir un service stable et sécurisé sans aucune observabilité

La question n’est donc pas “y a-t-il 0 donnée ?”. La question pro est :

  • quelles données ?
  • à quel niveau de précision ?
  • combien de temps ?
  • peut-on relier ces données à un individu ?

 

6) Le cadre légal : pas besoin de paranoia, mais il faut être adulte

Un VPN est une entreprise qui opère quelque part, avec un cadre juridique. Il peut être confronté à :

  • des demandes légales
  • des procédures
  • des obligations de réponse

Deux nuances importantes :

  1. Obligation de répondre ≠ obligation de posséder des données.
    Un VPN peut répondre “nous n’avons pas ces informations”, si son architecture et sa politique le rendent vrai.
  2. La juridiction influence le risque, mais ne crée pas une protection magique.
    Aucun “pays” ne transforme automatiquement un VPN en coffre-fort. Ce qui compte, c’est l’alignement entre :
  • architecture technique
  • politique de conservation
  • transparence
  • pratiques réelles

Voir : cadre légal et juridictions

7) Comment juger une promesse “no-logs” (sans marque, sans fanboyisme)

Voici une grille de lecture utile, très concrète.

Ce qu’un fournisseur sérieux doit expliquer clairement

  • la différence entre logs d’activité et logs de connexion
  • ce qui est collecté (liste) et pourquoi
  • la durée de conservation (chiffrée, pas “aussi longtemps que nécessaire”)
  • ce qui est fait côté DNS
  • ce qui est fait côté IPv6 (ou comment c’est géré)

Ce qui doit rendre prudent

  • “zéro trace” sans détails
  • “anonymat garanti” (promesse trop absolue)
  • politique de confidentialité vague, remplie de formulations conditionnelles
  • absence de cohérence entre FAQ marketing et documents légaux
  • absence totale de transparence sur les données techniques minimales

Ce que des lecteurs avertis regardent souvent

  • cohérence des explications dans le temps
  • documentation technique (même simple)
  • position claire sur la minimisation des données
  • présence d’éléments de vérification indépendants (sans les idolâtrer)

Voir : audits et mécanismes de vérification

8) Les idées reçues à casser (avec pédagogie)

“Sans log = anonyme”

Non. Tu peux être identifié par :

  • tes comptes
  • ton navigateur (empreinte)
  • les cookies
  • les identifiants publicitaires mobiles

Un VPN sans log réduit un pan de traçabilité réseau. Il ne supprime pas ton identité numérique.

“Sans log = rien n’est possible légalement”

Non plus. Un VPN peut être contraint de répondre, mais il répondra selon ce qu’il a réellement. C’est justement l’intérêt d’une architecture qui ne conserve pas de données exploitables.

“Sans log = zéro donnée”

Faux. Il existe presque toujours des données techniques temporaires ou des métriques minimales. Le sujet, c’est la conservation durable et la possibilité de relier à une personne.

Voir : idées reçues et erreurs fréquentes

9) Est-ce que tu as vraiment besoin d’un VPN sans log ?

C’est une question essentielle, et elle évite beaucoup d’illusions.

Un VPN sans log peut être particulièrement pertinent si :

  • tu veux réduire la traçabilité côté intermédiaire réseau
  • tu utilises des réseaux non maîtrisés
  • tu as besoin de minimiser les corrélations possibles

Mais pour beaucoup d’usages “grand public”, les gains les plus importants sur la vie privée viennent plutôt de :

  • réglages navigateur
  • blocage du tracking
  • gestion des cookies
  • séparation des identités (pro/perso)
  • hygiène des comptes (2FA, mots de passe uniques)

Un VPN sans log peut être une brique solide, mais il n’est pas la première marche pour tout le monde.

Voir : dans quels cas c’est réellement utile

Conclusion

Un VPN sans log, dans le sens sérieux du terme, n’est pas une promesse d’invisibilité. C’est une stratégie de minimisation : réduire ce qui est conservé, réduire ce qui est corrélable, et être transparent sur ce qui reste nécessaire au fonctionnement.

La question à se poser n’est pas “est-ce qu’ils disent no-logs ?”. La question à se poser est :

Qu’est-ce qui est techniquement collecté ? À quelle précision ? Combien de temps ? Et peut-on relier ces éléments à une activité et à une personne ?

C’est exactement ce niveau de lecture qui permet de distinguer un slogan d’une politique crédible.

 

Sources et références

FAQ

Un VPN sans log ne conserve vraiment aucune donnée ?

Non. Un VPN sans log ne conserve pas d’historique exploitable de navigation, mais il peut traiter temporairement des données techniques nécessaires à son fonctionnement.

Quelle est la différence entre logs d’activité et logs de connexion ?

Les logs d’activité concernent les sites et services consultés. Les logs de connexion concernent les horaires, la durée ou le serveur utilisé. Les deux n’ont pas le même impact sur la vie privée.

Un VPN sans log rend-il totalement anonyme ?

Non. Il réduit certaines formes de traçabilité réseau, mais n’empêche pas l’identification via les comptes, cookies ou empreintes de navigateur.

Pourquoi le terme “no-logs” est-il souvent mal compris ?

Parce qu’il n’existe pas de définition universelle et que le terme est souvent utilisé comme argument marketing sans explication technique détaillée.