L’affaire relance les débats sur les politiques no-log, mais Windscribe maintient qu’il n’y a rien à extraire. Un nouvel épisode dans un climat de surveillance plus soutenue des outils de protection de la vie privée sur le web.
Il y a des tests qu’aucun VPN ne peut anticiper, mais qui en disent souvent bien plus que des campagnes marketing. Lorsqu’un serveur est physiquement saisi par les autorités, la promesse no-log passe soudain de l’affirmation technique à l’épreuve réelle. C’est ce qui vient d’arriver à Windscribe. L’entreprise a annoncé sur X que l’un de ses serveurs avait été confisqué sans mandat par la police néerlandaise. Le motif exact reste flou, mais le fournisseur affirme que le serveur sera restitué après analyse.
Mieux qu’un audit no-log, un test grandeur nature
Dans son message posté le 9 février, Windscribe a assuré que cette opération ne compromettait en rien la vie privée de ses utilisateurs et utilisatrices. Grâce à son infrastructure 100 % RAM-only, aucun disque n’est utilisé sur les machines, et rien ne persiste une fois le serveur éteint. « La seule chose que les autorités trouveront, c’est une installation standard d’Ubuntu », a écrit l’équipe sur X. Une affirmation réitérée par le CEO, Yegor Sak, auprès de nos confrères et consœurs de CNET, qui évoque la possibilité d’un RAM dump, soit une tentative de capturer la mémoire vive. Mais selon lui, cette hypothèse serait vaine : « Il n'y a aucune donnée utilisateur ni aucun enregistrement de connexions actives dans la mémoire du serveur une fois qu'un câble réseau est débranché (ce qui a été le cas). »
Le cœur de la défense de Windscribe repose en effet sur une double promesse : un serveur entièrement en RAM, et une politique de non-conservation des logs. Concrètement, cela signifie que la machine saisie n’utilise aucun support de stockage persistant. Toutes les données en transit passent par la mémoire volatile, qui s’efface automatiquement au redémarrage ou à l’extinction du serveur. Sans disques durs, sans cache conservé, l’objectif est d’empêcher toute forme de récupération après coup.
À cela s’ajoute une politique de confidentialité affirmant que Windscribe ne collecte ni les adresses IP sources, ni l’historique des connexions VPN, ni les sites visités. Même en cas de saisie, il n’y aurait donc aucun journal à remettre. L’entreprise en a par ailleurs profité pour rappeler qu’elle recevait régulièrement des demandes émanant des forces de l’ordre, sans jamais pouvoir y répondre favorablement faute de données exploitables. « Cette fois, ils n’ont pas demandé. Ils ont simplement arraché le serveur du rack pour chercher les logs eux-mêmes », a-t-elle ajouté sur X.
Ce type d’incident rappelle pourquoi de nombreux fournisseurs VPN privilégient aujourd’hui des infrastructures sans disque ou entièrement chiffrées. Dans les faits, un disque dur correctement chiffré (avec un chiffrement au repos, une clé de déchiffrement hors ligne et un verrouillage automatique à l’arrêt) peut offrir un niveau de protection comparable. Mais l’approche RAM-only réduit les risques liés à une mauvaise configuration ou à une gestion hasardeuse des clés, ce qui en fait une solution plus simple à sécuriser pour les opérateurs les plus exposés.
Des audits aux tribunaux : Windscribe déjà mis à l’épreuve
Au-delà de l’architecture technique, ce type d’incident renvoie inévitablement à la question de la crédibilité. Une politique no-log ne peut pas être vérifiée en permanence. Elle repose sur des éléments indirects, comme des audits indépendants ou des précédents judiciaires, qui permettent d’évaluer la cohérence entre le discours et les faits.
Sur ce point, Windscribe est plutôt bon élève et publie régulièrement des audits depuis 2021. Le plus récent, diffusé à l’été 2024, portait sur son infrastructure FreshScribe et examinait notamment la configuration de ses serveurs et la gestion des journaux. Ces audits ne constituent pas une garantie absolue, mais ils offrent une photographie technique à un instant donné et un niveau de transparence supérieur à celui de nombreux concurrents.
Plus éloquent encore, l’entreprise avait déjà été confrontée à une situation judiciaire similaire. En 2023, les autorités grecques, avec l’aide d’Interpol, avaient poursuivi Yegor Sak pour « accès illégal à un système d’information ». Un serveur Windscribe localisé en Finlande avait été utilisé pour compromettre un site grec et envoyer des courriels frauduleux. Plutôt que d’adresser une demande classique à l’entreprise, les autorités ont remonté la piste de l’hébergement jusqu’au titulaire du compte, en l’occurrence Sak lui-même, et engagé des poursuites pénales à son encontre.
Après deux ans de procédure, le tribunal d’Athènes prononçait l’abandon des poursuites en avril 2025, faute de données exploitables à remettre. Sak s’était alors fendu d’un billet de blog sur Windscribe et résumait ainsi l’affaire : « Il aurait été bien plus rapide (et économique) de simplement transmettre les logs afin d’identifier le véritable coupable. Mais on ne peut pas remettre ce qu’on ne possède pas. »
Vers une surveillance plus structurelle du web
Ce genre d’affaire prend d’autant plus de relief que les VPN attirent depuis quelque temps l’attention des autorités, en France comme en Europe. Fin janvier, la ministre déléguée au Numérique, Anne Le Hénanff, confirmait ainsi que le contournement des dispositifs de vérification d’âge via les VPN figurait désormais sur la liste des sujets suivis de près par le gouvernement. En parallèle, plusieurs décisions judiciaires ont aussi conduit des fournisseurs de réseau privé virtuel à bloquer l’accès à des sites d'IPTV et de streaming, à la demande des ayants droit.
À l’échelle européenne, Europol insiste par ailleurs régulièrement sur le rôle clé que peuvent jouer les métadonnées dans les enquêtes en ligne, notamment quand le contenu est chiffré. L’agence l’a encore rappelé dans son rapport IOCTA 2025, plaidant pour un cadre plus clair autour de l’accès à ces données techniques (adresses IP, historiques de connexion, volumes de trafic).
S’il faut encore le rappeler, ces initiatives s’attaquent à des objets différents, mais poursuivent le même objectif : limiter les zones de non-traçabilité sur le web. Et ce faisant, elles grignotent ce qu’il reste d’espace privé en ligne.
Source : Windscribe via X.com
