Le cabinet Securitum a passé au crible le VPN de DuckDuckGo pendant trois mois. Résultat : aucune trace de logs utilisateurs. La bonne nouvelle s'arrête là.
DuckDuckGo a publié jeudi les résultats d'un nouvel audit indépendant de son VPN. Le cabinet polonais Securitum a conduit l'examen entre octobre 2025 et janvier 2026. L'examen portait spécifiquement sur la politique « no-log » du service. Les auditeurs ont inspecté les serveurs de production en conditions réelles, analysé le code source des composants propriétaires et vérifié les contrôles d'infrastructure.
Ce que l'audit a trouvé (et ce qu'il n'a pas cherché)
Le verdict est net : aucun mécanisme de journalisation ni de rétention de données lié aux utilisateurs n'a été détecté. DuckDuckGo sépare les jetons d'authentification des sessions VPN. Aucun lien n'est établi entre l'identité d'un abonné et son activité réseau. Les données de session sont effacées après chaque connexion.
- Anonymat et confidentialité
- Protection contre les traqueurs
- Extension et intégration facile
Autre point relevé : tous les serveurs VPN du réseau utilisent une configuration no-log identique, quel que soit le pays. Les modifications sur les systèmes de journalisation nécessitent une validation formelle, ce qui limite le risque de collecte accidentelle.
C'est le deuxième passage chez Securitum en 15 mois. Le premier audit, en octobre 2024, ciblait la sécurité de l'infrastructure VPN et n'avait relevé aucune vulnérabilité critique. Six failles de gravité moyenne ou élevée avaient été identifiées, puis corrigées. Ce second audit va plus loin en validant la promesse centrale du service : ne rien enregistrer. DuckDuckGo annonce vouloir poursuivre ces audits à intervalles réguliers.
Un VPN propre, mais toujours spartiate
Le problème de DuckDuckGo n'est pas la confiance. C'est l'offre. Le VPN fait partie de l'abonnement Privacy Pro, facturé 9,99 € par mois ou 99,99 € par an. Le forfait inclut aussi un service de suppression de données personnelles et une assistance en cas d'usurpation d'identité. Il est disponible aux États-Unis, au Canada, dans l'Union européenne et au Royaume-Uni.
Le VPN utilise le protocole WireGuard, intègre un kill switch et couvre jusqu'à cinq appareils simultanément. Mais le réseau reste modeste face aux leaders du marché. NordVPN et ExpressVPN proposent des milliers de serveurs dans plus de 90 pays. DuckDuckGo compte environ 77 serveurs répartis dans une trentaine de pays, selon les données publiques du service.
Le constat est relativement simple : le VPN ne rivalise pas avec les meilleurs du marché. Il s'adresse avant tout aux utilisateurs déjà ancrés dans l'écosystème DuckDuckGo, pas à ceux qui cherchent un VPN autonome et compétitif.
Le positionnement reste cohérent avec la philosophie du canard : tout regrouper dans un seul navigateur, sans installation supplémentaire. Mais cette intégration a un coût. Privacy Pro impose d'utiliser le navigateur DuckDuckGo ou ses applications pour souscrire. Pas d'application VPN autonome, pas de compatibilité routeur.
L'audit Securitum rassure sur l'essentiel. Pour le reste, le canard a encore du plumage à étoffer.
