Le populaire service VPN Mullvad a déclaré avoir reçu un mandat de recherche de données de la part de la police suédoise. Cependant, la société a fait valoir sa politique d'absence de logs et n'a pu communiquer aucun détail aux forces de l'ordre.
Le VPN Mullvad révèle avoir reçu un mandat de recherche de données
Selon un récent billet de Mullvad, le fournisseur de VPN a récemment reçu un mandat de perquisition pour les données d'un client.
Plus précisément, ils ont reçu le mandat le 18 avril 2023 de la part du Département des opérations nationales (NOA) de la police suédoise, lorsque 6 officiers de police ont visité les installations du fournisseur de VPN. Les policiers avaient l'intention de fouiller les locaux – et plus précisément les ordinateurs – pour y trouver les données du client recherché. Ils avaient même l'intention de saisir les ordinateurs respectifs contenant les données recherchées.
Cependant, comme l'affirme Mullvad dans sa politique de confidentialité, l'entreprise n'enregistre aucune donnée sur les utilisateurs. (Mullvad n'enregistre pas les noms de compte des utilisateurs, même à des fins de maintenance des comptes. Au lieu de cela, elle génère des identifiants aléatoires qui ne renvoient pas aux informations réelles de l'utilisateur).
Conformément à cette politique (et à cette pratique), Mullvad a donc tenté de convaincre les agents. Comme indiqué dans leur message,
Nous avons soutenu qu'ils n'avaient aucune raison de s'attendre à trouver ce qu'ils cherchaient et que toute saisie serait donc illégale au regard de la loi suédoise.
Le service a même démontré l'existence pure et simple d'aucun journal. En conséquence, les agents n'ont saisi aucun système. Cependant, même s'ils l'avaient fait, Mullvad affirme qu'ils n'ont pu récupérer aucune information sur les clients.
L'entreprise confirme qu'il s'agit du premier cas de mandat de recherche de données au cours des 14 années d'existence de Mullvad.
Pourquoi cette divulgation est-elle importante ?
Pour les VPN no-logs, le plus grand test de leur authenticité est lorsqu'on leur demande (par la loi) de remettre les données des utilisateurs et qu'ils échouent (peut-être le seul échec qui ajoute à la crédibilité d'un service VPN). (En effet, une entreprise ne peut refuser de remettre quelque chose aux autorités policières que si elle ne le possède pas du tout.
Les utilisateurs optent pour des outils tels que les VPN pour protéger leur vie privée en ligne. Ils confient leurs données aux fournisseurs de services uniquement pour éviter une surveillance intrusive. Ainsi, même si un VPN partage les données d'un criminel présumé avec quelqu'un, cela prouve que le service enregistre les informations de ses clients. Par conséquent, chaque client du VPN a l'impression que sa vie privée est en jeu. Et tous les efforts déployés pour utiliser de tels outils sont vains.
Avec ce mandat de perquisition, Mullvad a démontré la validité de sa politique d'absence de logs. Et ce n'est pas la première entité de ce type, puisque Private Internet Access (PIA) a également démontré la même chose dans le passé.
Néanmoins, PureVPN est un exemple où ses actions contredisent ses affirmations. Bien qu'il affirme n'enregistrer aucune donnée, le service a remis les identifiants d'un utilisateur cible au FBI en 2017. Alors qu'ils avaient l'intention d'aider la LEA, cet acte a suscité des réactions négatives de la part de la communauté de la cybersécurité. Finalement, PureVPN a amélioré ses politiques et s'est soumis à des audits indépendants pour valider sa revendication d'absence de logs.
