C'est au tour de Surfshark de montrer patte blanche sur sa politique de confidentialité. Un rapport indépendant mené par Deloitte le mois dernier s’est penché sur la configuration technique et les procédures internes de l’entreprise, afin de déterminer si les engagements de confidentialité et la politique no-log sont effectivement respectés.
L’audit s’est concentré sur l’architecture des systèmes et les opérations IT de Surfshark avec pour objectif de vérifier l’absence de collecte de données d’activité utilisateur.
L'infrastructure de Surfshark passée au crible
L’audit s’est déroulé entre le 14 mai et le 10 juin 2025, selon la norme internationale ISAE 3000. Les experts ont mené des entretiens avec les responsables techniques de Surfshark, examiné la documentation interne et inspecté la configuration des serveurs VPN, notamment les serveurs standards, à IP statique, Multihop et Multiport. L’objectif était de vérifier la conformité des systèmes avec la politique de non-conservation des logs, telle que décrite par Surfshark.
Les procédures comprenaient la revue des paramètres de confidentialité, la vérification des rôles de gestion dans le système de configuration, l’analyse des fichiers de configuration et l’examen des processus de déploiement des serveurs. Les changements intervenus sur l’infrastructure pendant la période de l’audit ont également été passés en revue, aucun n’ayant affecté la politique de logs. Notons en revanche que la sécurité des transferts de données, l’infrastructure de streaming ou le contrôle des accès, ne font pas partie de l’audit.
Un audit qui valide la politique de Surfshark
Surfshark affirme ne traiter que les données strictement nécessaires au fonctionnement du service : adresse e-mail, mot de passe chiffré, informations de facturation et historique des commandes. Lorsqu’un utilisateur se connecte à un serveur VPN, seuls l’ID utilisateur et l’horodatage de connexion sont temporairement stockés, puis supprimés dans les 15 minutes suivant la fin de la session.
Aucune donnée relative au trafic, à l’historique de navigation, adresses IP utilisées, aux requêtes DNS ou aux fichiers téléchargés n’est conservée. Les serveurs VPN fonctionnent entièrement sur des disques RAM, ce qui implique qu’en cas de coupure ou de redémarrage, toutes les données en mémoire sont effacées. Les logs sont désactivés à plusieurs niveaux : au sein des conteneurs, au niveau des services, et lors du déploiement automatique des nouveaux serveurs via des playbooks préconfigurés. Les diagnostics système collectés se limitent à des indicateurs techniques tels que l’utilisation de la RAM ou du CPU, sans lien avec l’activité des utilisateurs.
Récemment, c'est ExpressVPN qui partageait un nouvel audit mené cette fois par KPMG portant également sur la confidentialité des logs utilisateur.
- storage4500 serveurs
- language100 pays couverts
- lanConnexions simultanées illimitées
- moodGarantie de remboursement 30 jours
- thumb_upAvantage : Alternative ID
Surfshark s’est imposé comme l’un des VPN les plus cohérents pour un usage quotidien, surtout lorsqu’il faut protéger beaucoup d’appareils sans se poser de questions. Le service combine des connexions simultanées illimitées, des applications claires, de bons débits et un ensemble de fonctions bien intégrées autour de Nexus, d’Alternative ID et des outils de confidentialité additionnels. L’offre reste solide et agréable à utiliser, avec un bon équilibre entre accessibilité et richesse fonctionnelle. Elle montre en revanche quelques limites plus nettes sur les extensions de navigateur, les performances en 4G et le P2P, moins impressionnant que ce que ses débits laissent espérer.
