Les forces de l’ordre néerlandaises ont récemment saisi un serveur VPN Windscribe, ce qui a incité l’entreprise à réagir rapidement. Bien que les circonstances restent floues (les autorités n’ont pas émis de mandat ni fourni de raison spécifique pour la saisie), Windscribe maintient que la vie privée des utilisateurs n’est pas affectée. L’incident met en évidence la tension inhérente entre les fournisseurs de VPN, les forces de l’ordre et l’évolution du paysage de la confidentialité numérique.
Infrastructure RAM uniquement : une défense intégrée
Windscribe fonctionne sur une infrastructure de serveur uniquement RAM. Cela signifie que toutes les données stockées sur le serveur sont volatiles et automatiquement effacées en cas de coupure de courant ou de redémarrage du serveur. Dans ce cas, les autorités néerlandaises ont mis le serveur hors ligne, garantissant ainsi qu’aucune donnée utilisateur ne pourrait être récupérée. Comme l’explique le PDG Yegor Sak, “la seule chose que les autorités trouveront est une installation Ubuntu d’origine”.
Cette approche est une défense délibérée contre l’extraction forcée de données. Contrairement aux serveurs traditionnels qui stockent les informations sur des disques durs, les systèmes utilisant uniquement de la RAM ne laissent aucun enregistrement persistant de l’activité des utilisateurs. Cela les rend résistants à l’analyse médico-légale, même avec des vidages de mémoire sophistiqués.
Politique de non-journalisation : un principe fondamental
La politique de confidentialité de Windscribe renforce cette protection en indiquant que la société ne conserve pas de journaux des adresses IP sources des utilisateurs, des historiques de sessions VPN ou des données de navigation. Sans ces enregistrements, les autorités n’ont rien à récupérer du serveur.
Cependant, il est notoirement difficile de vérifier les affirmations « sans journaux ». Les audits tiers, tels que les évaluations régulières de Windscribe depuis 2021 (dont une publiée à l’été 2024 axée sur FreshScribe), offrent un certain niveau d’assurance. Pourtant, ces audits ne sont pas infaillibles.
Tests réels : batailles juridiques et preuve de concept
La preuve la plus convaincante de la politique de non-journalisation de Windscribe provient de contestations juridiques réelles. En 2023, les autorités grecques ont accusé Sak d’« accès illégal aux systèmes d’information » après qu’un utilisateur ait abusé du VPN pour envoyer des spams. Windscribe s’est défendu avec succès en démontrant qu’il n’avait aucune donnée à transmettre.
Comme l’a déclaré Sak, « vous ne pouvez pas céder ce que vous n’avez pas ». Cet incident souligne l’efficacité d’une véritable approche sans journaux. Les forces de l’ordre soumettraient plusieurs demandes de données chaque mois, ce que Windscribe nie toutes. Dans ce dernier cas, les autorités néerlandaises ont entièrement contourné le processus de demande en saisissant directement le serveur.
“La seule façon d’obtenir les journaux est de prendre le serveur vous-même”, a déclaré Windscribe sur X.
Cela met en évidence une tendance croissante : les forces de l’ordre recourent à l’action directe lorsque les demandes standards échouent.
Conclusion : La saisie du serveur de Windscribe prouve que des mesures agressives peuvent être prises pour forcer l’accès aux données des utilisateurs. Le fait que les autorités n’aient rien trouvé d’utile confirme qu’une infrastructure basée uniquement sur la RAM et des politiques strictes de non-journalisation peuvent protéger efficacement la vie privée des utilisateurs dans la pratique. L’incident soulève des questions sur les limites de la surveillance, le rôle des VPN dans la liberté numérique et jusqu’où les gouvernements iront pour contourner les protections de la vie privée.
