Surfshark est-il sûr ? Analyse de la sécurité, de la confidentialité et des audits
Surfshark est-il sûr ? Résultats d'audits indépendants, protocoles de chiffrement, analyse de la juridiction, tests du coupe-circuit et vérification de la politique sans journaux.
Surfshark est-il sûr ? Une évaluation directe
Surfshark obtient un score de confiance de 85/100. Il opère sous la juridiction des Pays-Bas, utilise le chiffrement AES-256-GCM et maintient une politique stricte sans journaux vérifiée par des audits indépendants réalisés par Deloitte. Avec plus de 3 200 serveurs dans plus de 100 pays, il offre une protection par coupe-circuit, une prévention des fuites DNS et une infrastructure de serveurs entièrement basée sur la RAM. Surfshark est sûr pour la plupart des utilisateurs.
La juridiction et ce qu’elle implique pour les demandes de données
Surfshark a déplacé son siège social légal des Îles Vierges britanniques aux Pays-Bas en 2021. Les Pays-Bas font partie de l’UE, mais offrent des avantages spécifiques aux fournisseurs de VPN. La législation néerlandaise n’oblige pas les entreprises de VPN à conserver les données des utilisateurs.
Les Pays-Bas font partie de l’alliance de partage de renseignements des 9 Eyes. Cela préoccupe certains défenseurs de la vie privée. Cependant, l’appartenance à une alliance ne compte que si le fournisseur stocke des données que les gouvernements peuvent demander. Une politique sans journaux vérifiée neutralise entièrement ce risque.
Si les autorités néerlandaises émettent une demande légale valide, Surfshark ne peut remettre que ce qu’il possède. Selon son rapport de transparence, Surfshark a reçu des demandes gouvernementales et a procédé à zéro transfert de données. L’entreprise ne peut physiquement pas produire d’historiques de navigation, d’horodatages de connexion ou de journaux d’adresses IP.
Historique des audits indépendants
Audit sans journaux par Deloitte
Deloitte a réalisé un audit indépendant de l’infrastructure sans journaux de Surfshark en 2023. Le cabinet Big Four a examiné les configurations des serveurs, les processus de déploiement et les procédures internes de gestion des données. Deloitte a confirmé que l’infrastructure de Surfshark est conforme à sa politique sans journaux déclarée.
Cet audit de Surfshark a fait suite à un premier examen réalisé par Deloitte en 2022, couvrant le même périmètre. Les deux évaluations n’ont trouvé aucune preuve de journalisation de l’activité des utilisateurs sur quelque serveur que ce soit.
Audit de sécurité par Cure53
Cure53, une entreprise allemande de cybersécurité, a audité les extensions de navigateur de Surfshark en 2018. L’équipe a identifié 2 vulnérabilités critiques, 2 de haute sévérité et 2 de sévérité moyenne. Surfshark a corrigé les 6 problèmes avant la publication du rapport d’audit.
Cure53 a également effectué une évaluation complémentaire de l’infrastructure serveur de Surfshark en 2021. Cet examen n’a révélé aucune vulnérabilité critique. Le cabinet a noté que la posture de sécurité de Surfshark s’était considérablement améliorée depuis l’examen initial.
Ce que signifient ces audits
Deux entreprises distinctes ont désormais validé les affirmations de Surfshark en matière de confidentialité et de sécurité. Deloitte s’est concentré sur les pratiques de journalisation tandis que Cure53 a testé les défenses techniques. Ensemble, ces audits offrent une assurance plus solide que chacun d’eux séparément.
Détails de la politique de journalisation
La politique de confidentialité de Surfshark précise exactement ce que l’entreprise collecte et ce qu’elle ne collecte pas. Cette distinction importe davantage que n’importe quelle affirmation marketing.
Ce que Surfshark NE stocke PAS
- L’historique de navigation ou les destinations du trafic
- Les adresses IP utilisées pour se connecter au VPN
- Les horodatages de session indiquant les heures de connexion ou de déconnexion
- Le volume de trafic réseau ou la consommation de bande passante
- Les requêtes DNS effectuées lors de la connexion
Ce que Surfshark COLLECTE
Surfshark stocke votre adresse e-mail et votre mot de passe chiffré pour la gestion du compte. Il collecte des informations de facturation traitées par des prestataires de paiement tiers. L’entreprise recueille des données de diagnostic anonymisées et des rapports de plantage pour améliorer ses performances.
Surfshark suit également des données agrégées sur la fréquence de connexion. Cela signifie qu’il sait combien de fois un utilisateur se connecte par jour, mais pas quand ni où. Ces données ne peuvent pas identifier des sessions de navigation individuelles ni des sites Web visités.
Infrastructure de serveurs entièrement sur RAM
L’ensemble des 3 200+ serveurs de Surfshark fonctionnent entièrement sur de la mémoire RAM volatile. Cela signifie que chaque serveur efface automatiquement toutes les données au redémarrage. Même une saisie physique d’un serveur ne fournirait aucune information exploitable. Cette architecture rend la politique sans journaux de Surfshark techniquement applicable, plutôt que de n’être qu’une simple déclaration.
Normes de chiffrement et protocoles
Surfshark utilise le chiffrement AES-256-GCM comme algorithme par défaut. Cette norme protège les communications gouvernementales classifiées dans le monde entier. Aucune attaque connue ne peut briser l’AES-256 avec la technologie informatique actuelle.
Protocoles disponibles
| Protocole | Vitesse | Niveau de sécurité | Idéal pour |
|---|---|---|---|
| WireGuard | Le plus rapide | Élevé | Navigation quotidienne, streaming |
| OpenVPN UDP | Modérée | Très élevé | Compatibilité maximale |
| OpenVPN TCP | Plus lente | Très élevé | Réseaux restrictifs |
| IKEv2 | Rapide | Élevé | Appareils mobiles |
WireGuard est le protocole par défaut sur la plupart des applications Surfshark. Il offre des vitesses environ 40 % supérieures à OpenVPN tout en maintenant une sécurité comparable. Surfshark ajoute un système de double NAT par-dessus WireGuard pour pallier sa limitation connue en matière de confidentialité liée à l’attribution d’adresses IP statiques.
OpenVPN reste disponible pour les utilisateurs qui préfèrent ses 20 ans de bilan éprouvé. Les deux variantes UDP et TCP utilisent des clés de poignée de main RSA de 4096 bits en complément du chiffrement du canal de données AES-256.
Comportement du coupe-circuit et protection contre les fuites DNS
Surfshark inclut un coupe-circuit sur les applications Windows, macOS, iOS, Android et Linux. Cette fonctionnalité bloque tout le trafic Internet si la connexion VPN se coupe de manière inattendue. Elle empêche votre véritable adresse IP de fuiter lors de brèves déconnexions.
Le coupe-circuit fonctionne au niveau système sur les plateformes de bureau. Il intercepte le trafic au niveau de l’adaptateur réseau avant que les paquets puissent s’échapper non chiffrés. Les implémentations mobiles utilisent des API spécifiques à la plateforme pour obtenir une protection similaire dans les contraintes du système d’exploitation.
Protection contre les fuites DNS
Surfshark gère ses propres DNS sur chaque serveur de son réseau. Toutes les requêtes DNS transitent par des tunnels chiffrés vers des résolveurs contrôlés par Surfshark. Cela élimine les risques de fuites DNS provenant de fournisseurs DNS tiers comme votre FAI.
Des tests indépendants sur dnsleaktest.com et ipleak.net montrent régulièrement zéro fuite DNS pour toutes les options de protocole de Surfshark. La protection contre les fuites IPv6 est activée par défaut, bloquant le trafic IPv6 susceptible de contourner le tunnel VPN IPv4.
Incidents de sécurité passés
Surfshark n’a subi aucune violation de données ou compromission de serveur confirmée au début de l’année 2025. Aucune donnée d’utilisateur n’est apparue dans des bases de données de violations publiques liées à l’infrastructure de Surfshark.
En 2020, des chercheurs en sécurité ont signalé une vulnérabilité potentielle dans l’application Windows de Surfshark. Le problème concernait une bibliothèque OpenSSL obsolète qui aurait pu théoriquement permettre une élévation de privilèges. Surfshark a publié un correctif dans les 48 heures suivant la divulgation. Aucune exploitation dans la nature n’a été documentée.
L’audit Cure53 de 2018 représente la découverte de vulnérabilités la plus significative. Ces 6 failles dans les extensions de navigateur ont été corrigées avant la divulgation publique. Surfshark attribue à son programme de prime aux bugs la détection précoce des problèmes. L’entreprise rémunère les chercheurs externes qui divulguent de manière responsable des vulnérabilités valides.
Fonctionnalités de sécurité uniques propres à Surfshark
CleanWeb
CleanWeb bloque les publicités, les trackers et les domaines malveillants au niveau DNS. Il a empêché plus d’un milliard de tentatives de suivi au sein de sa base d’utilisateurs en 2023. Cette fonctionnalité fonctionne sans installer d’extensions de navigateur séparées.
MultiHop (Double VPN)
MultiHop achemine le trafic simultanément à travers 2 serveurs VPN dans des pays différents. Cela ajoute une deuxième couche de chiffrement et rend les attaques par corrélation de trafic nettement plus difficiles. Les utilisateurs choisissent parmi des paires de serveurs prédéfinies ou créent des combinaisons personnalisées.
Technologie Nexus
Surfshark Nexus connecte les utilisateurs à l’ensemble de son réseau de serveurs plutôt qu’à un seul serveur. Le trafic entre par un serveur et peut sortir par un autre grâce au routage SDN. Cela réduit la latence tout en améliorant la rotation des IP et la distribution de charge sur plus de 3 200 serveurs.
Alternative ID
Alternative ID génère des adresses e-mail jetables et des identités en ligne. Les utilisateurs peuvent s’inscrire à des services sans exposer leurs véritables informations personnelles. Cette fonctionnalité distingue Surfshark des concurrents qui se concentrent uniquement sur la confidentialité au niveau de la connexion.
IP tournante
Surfshark change votre adresse IP visible toutes les 5 à 10 minutes sans interrompre la session VPN. Votre connexion reste active tandis que votre empreinte numérique évolue en continu. Cela rend le suivi à long terme sur plusieurs sites Web considérablement plus difficile.
Foire aux questions
Surfshark conserve-t-il des journaux ?
Surfshark ne conserve pas de journaux de l’activité de navigation, des adresses IP, des horodatages de connexion ou de l’utilisation de la bande passante. Deloitte a vérifié cette affirmation par des audits indépendants en 2022 et 2023. L’entreprise ne stocke que les identifiants de compte et des données de connexion agrégées anonymisées.
Surfshark a-t-il déjà été piraté ?
Surfshark n’a pas été piraté ni victime d’une violation. L’audit Cure53 de 2018 a trouvé des vulnérabilités dans les extensions de navigateur, mais celles-ci ont été corrigées avant la publication. Aucune donnée d’utilisateur n’a jamais été compromise via l’infrastructure de Surfshark. Un programme de prime aux bugs permet d’identifier proactivement les faiblesses potentielles.
Peut-on faire confiance à Surfshark ?
Surfshark inspire confiance grâce à 2 audits indépendants réalisés par Deloitte et Cure53, des serveurs entièrement sur RAM et des rapports de transparence réguliers. Son score de confiance de 85/100 reflète de solides garanties techniques avec une marge d’amélioration en matière de fréquence des audits. La garantie de remboursement de 30 jours vous permet de tester le service sans risque.
Surfshark peut-il voir mes données ?
Surfshark ne peut pas voir vos données de navigation ni vos informations de connexion. Les serveurs entièrement sur RAM empêchent tout stockage persistant des données. Le chiffrement AES-256 protège les données en transit. Même les employés de Surfshark ne peuvent pas accéder au trafic des utilisateurs, car l’infrastructure est conçue pour ne jamais l’enregistrer ni le stocker.