Désormais, la vie privée n’a plus vraiment de sens, c’est l’anonymat qui compte

 (servury.com)
6 points par GN⁺ 2025-12-21 | 2 commentaires | Partager sur WhatsApp

« La vie privée, c’est du marketing ; l’anonymat, c’est de l’architecture. »

  • Dans l’industrie tech, la « vie privée » s’est réduite à une formule marketing, et la véritable protection repose sur une conception système qui garantit l’anonymat
  • La plupart des services dits « centrés sur la vie privée » collectent des informations permettant d’identifier l’utilisateur — e-mail, numéro de téléphone, pièce d’identité — rendant impossible une protection réellement totale
  • Comme le montre le cas de Mullvad VPN, seule une architecture qui ne stocke absolument aucune donnée utilisateur permet un anonymat qui résiste même aux pressions juridiques
  • Servury n’enregistre ni e-mail, ni IP, ni informations de paiement, et fait fonctionner les comptes uniquement avec un identifiant aléatoire de 32 caractères, en assumant l’impossibilité de récupération du compte
  • Alors qu’Internet se scinde entre un web authentifié et un web anonyme, les services fondés sur l’anonymat sont essentiels pour préserver un Internet libre, sans surveillance

L’illusion de la vie privée et la nature de l’anonymat

  • La plupart des entreprises affirment : « Nous accordons de l’importance à votre vie privée », mais restent capables d’identifier les utilisateurs via des e-mails de réinitialisation de mot de passe, des logs d’IP ou une vérification par téléphone
    • Une telle structure n’est pas une protection, mais une simple « performance »
  • En 2025, la « vie privée » est un terme galvaudé, utilisé comme message marketing même pour des services qui impliquent des demandes de pièce d’identité officielle, la collecte de logs et des risques de fuite de données
  • Le véritable anonymat est une décision structurelle, non négociable, prise dès la conception, qui empêche même l’exploitant d’identifier l’utilisateur ou de coopérer en ce sens
Publicité

La structure typique du « théâtre de la vie privée »

  • Un service classique dit « centré sur la vie privée » demande progressivement un e-mail, un numéro de téléphone puis une pièce d’identité, tout en conservant l’ensemble des informations et des logs
  • Une politique disant « nous ne collectons que les informations nécessaires » n’est en réalité qu’une promesse d’être prudent tout en conservant toutes les données
  • Le cœur du problème n’est pas la malveillance, mais le fait que la conservation même des données constitue une vulnérabilité
    • Mise en avant du principe : « ce que l’on ne possède pas ne peut pas fuiter »

Le cas de Mullvad VPN

  • En 2023, la police suédoise a perquisitionné le siège de Mullvad VPN, mais n’a rien pu saisir faute de données utilisateurs
  • Mullvad s’appuie uniquement sur un numéro de compte aléatoire à 16 chiffres pour l’authentification, sans stocker d’e-mail, de nom ni de logs
  • Grâce à cette architecture, un niveau d’anonymat rendant toute coopération impossible est maintenu, même face à des demandes légales

La conception de l’anonymat chez Servury

  • Après avoir examiné les informations minimales nécessaires à l’exploitation de son hébergement cloud, Servury a conclu qu’il ne fallait conserver que trois types de données
    • Un identifiant aléatoire de 32 caractères, le solde du compte et la liste des services actifs
  • Éléments non collectés : e-mail, nom, IP, informations de paiement, habitudes d’utilisation, empreinte de l’appareil, données de localisation
  • Pas de récupération de mot de passe, pas de vérification par e-mail, pas de fonctions de sécurité par numéro de téléphone, car tout cela exige de stocker une identité
  • L’impossibilité de récupérer un compte est le prix de l’anonymat : si l’identifiant est perdu, l’accès au compte est définitivement bloqué
Publicité

Ce que signifie l’impossibilité de récupérer un compte

  • Comme Servury ne peut pas connaître l’identité de ses utilisateurs, même l’équipe support ne peut pas restaurer un compte
    • Aucun reçu de paiement, aucune IP, aucun horaire d’inscription ni autre information de ce type n’est stocké
  • Cet inconfort est une fonctionnalité intentionnelle, qui neutralise à la fois les attaques d’ingénierie sociale, le phishing et les demandes gouvernementales
  • La structure même du « nous ne vous connaissons pas » constitue une ligne de défense fondamentale en matière de sécurité

Le piège de l’e-mail

  • L’e-mail est présenté comme la vulnérabilité fondamentale de l’identité sur l’Internet moderne
    • Il peut être relié à un numéro de téléphone, à un moyen de paiement et à d’autres services, donc servir au pistage
    • Les accusés de lecture, le tracking de liens et l’analyse des métadonnées détruisent tout anonymat complet
    • Il peut être stocké durablement, réquisitionné et fuiter
  • À partir du moment où un service exige un e-mail, il conçoit la responsabilité (accountability) plutôt que l’anonymat
  • Les banques ou les services publics ont besoin de vérifier l’identité, mais il est précisé que ce n’est pas nécessaire pour des services cloud, VPN ou proxy

Le rôle des paiements en cryptomonnaie

  • Servury explique accepter les cryptomonnaies pour éviter les réseaux de paiement traditionnels en tant qu’infrastructure de surveillance
    • Un paiement par carte bancaire laisse une trace de transaction permanente, conservée par plusieurs acteurs
    Publicité
  • Les cryptomonnaies ne sont pas parfaites, mais affaiblissent le lien entre paiement et identité
  • Les paiements traditionnels comme Stripe sont également pris en charge, mais l’absence d’anonymat y est clairement signalée

Ce que l’anonymat ne signifie pas

  • Anonymat ≠ impunité : les activités illégales peuvent toujours faire l’objet d’une enquête, mais aucune information sur le propriétaire du compte ne peut être fournie
  • Anonymat ≠ sécurité : si l’utilisateur ne protège pas correctement son identifiant, il se met lui-même en danger
  • Anonymat ≠ absence de transparence : l’IP du serveur ou les connexions restent visibles, elles ne sont simplement pas reliées à une identité personnelle
  • Anonymat ≠ absence totale de confiance nécessaire : open source, audits et rapports de transparence restent nécessaires, même si une absence totale de confiance est impossible
  • L’essentiel est une conception structurelle qui minimise les dégâts même si la confiance est rompue

Les deux branches d’Internet

  • Internet est en train de se scinder entre le web authentifié (authenticated web) et le web anonyme (anonymous web)
    • Web authentifié : identité réelle, identité vérifiée, paiements traçables, journalisation des comportements
    • Web anonyme : les données ne sont pas collectées, ce qui en fait un espace libre impossible à surveiller
  • Les services qui exigent inutilement une identité poussent les utilisateurs vers le web authentifié, tandis que
    les services sans e-mail et fondés sur la cryptomonnaie préservent le web anonyme
  • Il ne s’agit pas de « cacher quelque chose », mais d’un choix visant à ne pas faire de la surveillance la valeur par défaut

Conclusion

  • « La vie privée, c’est la promesse de protéger des données ; l’anonymat, c’est l’état où l’on ne détient pas ces données dès le départ »
  • Servury met cela en pratique avec une chaîne de 32 caractères, aucun e-mail, aucune identité
  • Toutes les autres affirmations autour de la « vie privée » ne sont au fond que du marketing

À lire aussi

2 commentaires

 
GN⁺ 2025-12-21
Commentaires sur Hacker News
  • Au début, je pensais que c’était juste un blog, mais en fait c’était une entreprise
    Leur page de confidentialité indique qu’ils enregistrent dans les logs serveur les adresses IP, l’heure des requêtes et l’user-agent
    C’est présenté comme nécessaire pour la sécurité et le débogage, mais comparé à la politique sans logs de Mullvad, l’écart semble énorme
    • Tout à fait d’accord. Je viens de désactiver tous les logs Apache et je vais mettre à jour la page de confidentialité dans l’heure
    • Au départ, l’idée semblait bonne, mais ce qui est réellement proposé n’inspire pas confiance
      Si c’était vraiment un cloud privé, ça ne pourrait pas être vendu sous forme d’abonnement ; au final, il faudrait du bare metal
    • C’est encore plus étrange quand on compare ça à l’affirmation du billet selon laquelle il n’y a « que 3 points de données »
    • Techniquement c’est vrai, mais je considère que ce niveau de logging est inoffensif
  • Vous mentez. La page des datacenters indiquait qu’ils avaient des certifications ISO27001 et SOC2
    Mais la recherche officielle des certifications ne montre aucune certification
    Il faut dire qui a certifié cela et quel est le numéro de certification
    • Je ne sais pas si c’est parce que je suis sur mobile, mais je ne trouve plus aucune mention d’ISO ou de SOC2 sur cette page
      Si c’était bien affiché avant, cela voudrait dire qu’ils ont publié de fausses certifications puis les ont retirées, ce qui est extrêmement grave
      @ybceo, si vous êtes le dirigeant de l’entreprise, il faut expliquer ce point
  • J’ai l’impression qu’on a déjà dépassé le point critique de la société de surveillance
    La surveillance technique fait désormais partie du quotidien, et les grandes entreprises utilisent les données pour réordonner les contenus et en abuser sous le nom d’« expérience personnalisée »
    • Le « point de non-retour » n’a jamais vraiment existé
      L’industrie et les chaînes d’approvisionnement n’ont jamais été conçues dès le départ avec la sécurité et la confidentialité au centre
      Au final, la formation à la sécurité et la régulation n’arrivent qu’après l’accumulation des accidents
      C’est juste qu’il n’y a pas encore eu assez de catastrophes de confidentialité
    • Au final, les gouvernements iront dans le sens d’un plus grand contrôle de leurs citoyens
      Il est très probable que les standards numériques mondiaux deviennent un système de surveillance à la chinoise
    • C’est trop défaitiste. Anonymiser et obfusquer les données n’a rien de difficile
      Le problème, c’est que les gens abandonnent la sécurité pour plus de confort
      En fin de compte, le « point de non-retour » est un choix individuel
  • Puisqu’on parle de Mullvad, j’ai découvert récemment Mullvad Browser
    C’est une version de Tor Browser dont seule la connexion réseau a été retirée, avec une très forte résistance au fingerprinting
    Il n’est pas nécessaire d’utiliser le réseau Tor, et il fonctionne aussi sans VPN Mullvad
    On peut le vérifier avec le test d’empreinte navigateur de l’EFF
    • La plupart des gens ne se préoccupent que de l’anonymat réseau et sous-estiment à quel point la configuration du navigateur divulgue leur identité
    • Pour info, Mullvad Browser a été co-développé avec le projet Tor
  • Je pense qu’une entreprise moins anonyme que Mullvad a déjà compromis son modèle économique
    Sauf raison légale absolument nécessaire, il n’y a aucune raison de conserver des données personnelles
    Vu le nombre de fuites de données, il n’y a aucun intérêt à assumer ce risque
    • Il faut une explication honnête du type : « nous stockons les données X pour la fonctionnalité Y, et le risque associé est Z »
      Le fait que la plupart des services exigent par défaut e-mail, cookies et données d’analyse n’est pas honnête
    • Si les entreprises acceptent ce risque, c’est parce qu’elles n’ont pas à en répondre
      Il y a eu d’innombrables fuites, mais presque aucun dirigeant n’a été sanctionné
    • En tant qu’ingénieur infra, je dirais que les logs, métriques et traces sont indispensables pour le débogage
      Ces données finissent inévitablement par contenir des informations identifiantes
      À moins d’avoir une base client sans état comme Mullvad, ce n’est pas réaliste
    • Si on exige le niveau d’anonymat de Mullvad, la majorité des entreprises du monde ne passeraient pas le test
      Je me demande combien d’entreprises on pourrait réellement citer comme satisfaisant ce critère
  • L’anonymat lui aussi a finalement une portée limitée
    Prenez l’exemple d’un wallet crypto : l’adresse est anonyme, mais l’historique des transactions est entièrement public
    Dès la première transaction, la confidentialité disparaît
    • En réalité, pseudonyme est plus exact qu’« anonyme »
      Les adresses crypto ou les handles sur les réseaux sociaux ont une identité cohérente, sans être directement liées à un nom réel
      De nos jours, on peut sans doute trouver facilement des corrélations entre pseudonymes via l’analyse du style d’écriture ou l’usage de LLM pour écrire à votre place
    • C’est pour cela que la plupart des gens créent plusieurs wallets et essaient de ne pas les réutiliser
  • Grâce à l’auteur du post, j’ai l’impression que le débat s’est clarifié
    Ce qui est bien avec Mastodon, c’est que chaque serveur existe comme une unité pouvant être supprimée
    Contrairement aux réseaux sociaux centralisés qui « prennent tout », cela évite selon moi de créer une archive sociale impossible à effacer
    • Mais dire que « personne ne possède mes données » ne revient-il pas en pratique à dire que tout le monde les possède ?
    • Mastodon aussi réplique les publications sur plusieurs serveurs, donc la suppression complète est difficile
      Ce n’est pas différent de publier sur Internet en général, mais ce n’est pas une solution au problème de l’effacement
  • Il y a un paradoxe : plus on protège sa vie privée, plus le fingerprinting devient facile
    Au fond, la « vie privée », est-ce simplement se fondre dans la foule ?
    • Là, vous parlez du fingerprinting côté client
      Moi, je parle de l’anonymat côté serveur
      Si on ne collecte jamais l’e-mail, l’IP ou les habitudes d’usage, il n’y a rien à comparer, donc le fingerprinting devient impossible
      Autrement dit, le point clé, c’est une conception qui ne crée pas du tout ces données
    • C’est précisément le principe de base de Tor : faire en sorte que tous les utilisateurs se ressemblent
      Comme dans les Moscow Rules, l’idée est de « suivre le mouvement et ne pas se faire remarquer »
    • Mais se fondre dans la foule ne garantit pas la sécurité
      Par exemple, le groupe des utilisateurs de Chrome sur Windows est grand, mais c’est aussi un groupe unique identifiable
    • La discussion continue aussi dans ce commentaire
    • À un certain point, la vie privée finit par devenir une forme de singularité
  • @ybceo, si le trafic utilisateur est déchiffré via Cloudflare, l’argument d’anonymat est peu convaincant
    Confier la terminaison TLS à un CDN externe augmente le risque de fingerprinting
  • La promesse « nous ne conservons pas de logs » est impossible à vérifier
    La vraie solution, c’est de permettre aux utilisateurs d’employer facilement des outils d’anonymisation
    Protection contre le fingerprinting du navigateur, VPN/Tor, e-mails distincts par compte et moyens de paiement anonymes sont nécessaires
    • C’est exactement ce que je dis depuis des années
      S’il existait des cartes prépayées anonymes rechargeables en espèces, accompagnées d’adresses e-mail jetables,
      il serait beaucoup plus facile de soutenir l’open source ou d’effectuer de petits paiements
      Mais les gouvernements risquent de l’interdire pour des raisons de lutte contre le blanchiment
      Au fond, si je ne peux pas faire de dons, c’est aussi parce qu’il n’existe aucun moyen de le faire anonymement
    • Je me demande pourquoi un vendeur ne devrait pas connaître l’identité de son acheteur
      Dans le monde réel, ce serait un peu comme payer en espèces avec une cagoule sur la tête, non ?
    • Dans ce cas, les cryptomonnaies peuvent être une alternative
 
youknowone 2025-12-22

Publicité