BitVPS est une société d'hébergement offshore construite autour d'un refus unique : nous ne deviendrons pas l'intermédiaire entre vous et un gouvernement qui n'aime pas ce que vous pensez. Nous vendons de la puissance de calcul, du réseau et du stockage — pas de la mise en conformité de façade. Aucun KYC, aucun journal, crypto uniquement, les demandes DMCA vont à la poubelle.
Quelque part entre 2013 et 2024, le fonctionnement par défaut du web a basculé de « publiez et possédez » à « prouvez votre identité, s'il vous plaît ». Nous l'avons remarqué. Nos clients aussi.
La première décennie de l'hébergement cloud commercial reposait sur un marché implicite : vous achetiez de la puissance de calcul avec une carte bancaire, et le prestataire se tenait à l'écart. Le prestataire n'était pas co-auteur de votre contenu. Le prestataire n'était pas un détective. Le prestataire n'était pas un notaire.
Ce marché s'est effondré publiquement et rapidement. Cloudflare des forums déplatformés au journal télévisé. AWS des comptes suspendus sous la pression de meutes Twitter. Hetzner des relais Tor bannis. OVH et DigitalOcean ont commencé à transmettre les métadonnées de compte à n'importe quelle autorité rédigeant l'e-mail le plus convaincant. Stripe a fait de sa politique de contenu un communiqué de presse. La vague KYC — portée par un patchwork de la AMLD européenne, des directives FinCEN et des règles PSD britanniques qui s'appliquent techniquement aux banques — a avalé le secteur de l'hébergement quand même, parce que les juristes n'ont pas le sens de la nuance et que les directeurs financiers n'aiment pas le risque.
Nous étions les ingénieurs qui corrigeaient les VMs pendant ce temps. Nous avons regardé des clients que nous connaissions depuis dix ans passer de « envoyez-nous simplement le serveur » à « veuillez nous faxer une facture de service public ». Nous avons regardé les nœuds de sortie Tor disparaître région après région. Nous avons regardé un véritable organe d'investigation se faire arracher toute sa stack du jour au lendemain parce que l'outil de conformité d'un prestataire de paiement avait signalé un mot-clé voisin.
Le marché avait besoin d'un endroit où aller. Alors, le premier mai 2024, dans un petit bureau de Charlestown, à Nevis, nous l'avons construit.
La thèse de cette société est plus ancienne qu'elle. Elle a un visage et un nom. Il était menotté à l'aéroport du Bourget pendant que nous rédigions nos Conditions d'utilisation.
En 2006, à 22 ans, Pavel Durov a co-fondé VK — l'équivalent russe de Facebook — à un moment où Moscou faisait encore semblant de tolérer la société civile. En 2011, lorsque le FSB lui a ordonné de fermer les groupes VK organisant des protestations contre les fraudes électorales, il a refusé. En 2014, lorsque le FSB a exigé les données personnelles des organisateurs d'Euromaïdan en Ukraine, il a de nouveau refusé et publié l'ordre, tamponné, sur son profil public.
Il a été licencié le lendemain. Il a quitté la Russie avec une valise, un frère et une feuille de route : une plateforme de communication structurellement incapable de livrer ce qu'il venait de refuser de livrer. C'est devenu Telegram.
Telegram a été autofinancé depuis les avoirs crypto de Durov pendant près d'une décennie — sans capital-risque, sans publicité, sans growth hacking — parce que Durov pensait (à juste titre) que le modèle financé par la publicité était le mécanisme par lequel les comportements hostiles aux utilisateurs entrent dans un produit social. Il a adopté la citoyenneté de Saint Kitts and Nevis dans le cadre d'une stratégie multi-passeports conçue pour rendre la coercition unilatérale de l'État plus difficile. Puis celle des Émirats Arabes Unis. Il a établi la société à Dubaï.
En août 2024, il a été arrêté à l'aéroport Paris–Le Bourget puis mis en examen pour — dépouillé du jargon juridique — ne pas avoir livré suffisamment de ses utilisateurs. Il a passé une période sous contrôle judiciaire en France, a refusé l'accord qui lui aurait permis de partir, et est sorti de l'affaire avec sa posture opérationnelle inchangée. Telegram n'a pas ajouté de backdoor accessible au PDG. Il n'a pas mis en place un KYC de masse. Il n'a transmis le contenu des messages à aucun gouvernement à notre connaissance, ni avant ni après l'arrestation.
Nous sommes une société d'hébergement, pas une messagerie. Nous n'avons aucune illusion sur le fait d'opérer à l'échelle de Telegram ou avec sa visibilité. Mais la leçon est transposable : on peut construire un produit d'infrastructure qui refuse, refuser publiquement, et survivre. Nous avons pris des notes.
La vie privée n'est pas quelque chose dont il faut s'excuser. Ce n'est pas un avantage qu'on accorde à ses utilisateurs en échange de leur fidélité. C'est un droit — et sur une planète avec sept milliards de téléphones, c'est aussi un protocole qu'on intègre dans un produit ou qu'on regarde s'évaporer.
Tout ce qui suit est une décision commerciale avec des conséquences opérationnelles. Rien de tout cela n'est du texte marketing. Si l'une des six promesses change un jour, nous le dirons sur le canari avant de le dire ici.
Une adresse e-mail est tout ce que nous demandons à l'inscription — et une adresse jetable fonctionne. Pas de scan de pièce d'identité, pas de « selfie avec document », pas de justificatif de domicile, pas d'exigence de vrai nom. Vous pourriez être [email protected], et nous vous vendrions quand même un serveur.
Aucune de nos juridictions ne confère une force légale au DMCA américain. Nous consignons chaque demande reçue, anonymisée, sur le canari de surveillance par souci de transparence — puis nous ne prenons aucune mesure contre le contenu du client. Les ordonnances des juridictions compétentes reçoivent une réponse différente.
Les factures se règlent en Monero, Bitcoin, Litecoin, Ethereum, Dash, BCH ou Dogecoin. Pas de Stripe, pas de PayPal, pas de virements bancaires, pas de cartes. Les rails fiat impliquent des intermédiaires avec leurs propres appétits de conformité — et aucun d'eux n'est de notre côté.
IPs de session du panneau purgées à 24 h. Pas de netflow, pas de PCAP, pas de mirroring de NIC, aucune conservation ARP/MAC au-delà de ce dont un switch sain a besoin. Rien dont nous n'avons pas besoin pour traiter la prochaine requête. Si nous ne l'avons pas, nous ne pouvons pas le remettre.
Chaque message de support qui compte — abus, juridique, sécurité, litiges de facturation — est signé avec la même clé qui signe notre canari. Vérifiez la signature, et vous vérifiez qu'il vient de nous et non d'un fantôme agissant sous contrainte judiciaire sur notre infrastructure.
Le canari est resigné chaque semaine avec une clé que nous gardons hors ligne. Les ordonnances de silence que nous ne pouvons pas divulguer directement se manifestent par des signatures manquantes ou tardives. Si nous nous taisons, c'est que nous y avons été contraints. Agissez en conséquence.
Aucun de ces événements ne nous concerne directement. Tous ont façonné la raison de notre existence.
La collecte en masse a cessé d'être une rumeur d'internet. Chaque équipe d'infrastructure sérieuse dans le monde a réécrit son modèle de menace cet été-là. La plupart ont oublié d'ici 2016. Pas nous.
Pavel Durov publie la demande du FSB concernant les données des organisateurs d'Euromaïdan sur son profil public, et est évincé de VK le lendemain. Il quitte la Russie avec la feuille de route de Telegram. Le modèle du refus comme produit était posé.
Roskomnadzor ordonne à Telegram de remettre les clés de chiffrement des messages. Telegram refuse, est bloqué en Russie pendant plus de 2 ans, survit, et le blocage est discrètement levé sans concession. Les fournisseurs d'infrastructure prennent note : la pression étatique peut être surmontée.
Hetzner, OVH, DigitalOcean, Linode commencent à renforcer les exigences d'identité. Les options de paiement en crypto disparaissent une à une. Les équipes de conformité ajoutent discrètement la « vérification du vrai nom » aux flux d'inscription. L' espace pour l'hébergement anonyme se contracte d'un ordre de grandeur.
Six opérateurs mettent leurs économies en commun, achètent des espaces rack à Reykjavik, AMS, Bucarest et Zurich, et publient un canari de surveillance dès le premier jour. La société est C 59284-2024. La juridiction est délibérée : la même fédération qui a délivré un passeport à Durov.
L'État français met en examen un opérateur de plateforme milliardaire pour, essentiellement, avoir refusé de surveiller ses utilisateurs. Le message adressé aux fournisseurs d'infrastructure est sans ambiguïté. Notre réponse est de publier nos principes en plus grands caractères, et de continuer à opérer.
Quatre datacenters offshore, quelques milliers de clients, six opérateurs sur trois fuseaux horaires. Aucun KYC transmis, aucune action suite à un DMCA, aucun journal conservé au-delà de ce dont le service a besoin pour fonctionner. Nous vous le dirons sur le canari si cela change un jour.
Société dans un pays qui se mêle de ses affaires. Infrastructure dans quatre pays choisis pour un seul critère — une ordonnance judiciaire est un document, pas un e-mail.
Une fédération de 67 000 habitants dans les Caraïbes orientales, avec une garantie constitutionnelle de liberté d'expression, aucun traité d'entraide judiciaire avec les États-Unis qui contourne le contrôle judiciaire local, et une tradition juridique (common law anglaise via la Cour suprême des Caraïbes orientales) qui prend la souveraineté des entreprises au sérieux.
Notre secrétaire de société est un cabinet d'avocats nevissien agréé. Nos livres de comptes sont audités annuellement. Notre déclaration Article 18 — celle qui stipule que nous ne transmettrons pas volontairement les données utilisateurs en dehors d'une ordonnance des tribunaux de Saint-Kitts — est déposée, signée et publique.
C'est la même juridiction qui a délivré un passeport à Pavel Durov. Nous l'avons choisie indépendamment, pour les mêmes raisons que lui.
Six opérateurs, trois fuseaux horaires, pas de photos. Collectivement une quarantaine d'années d'expérience en infrastructure et vingt ans en ingénierie de la vie privée. Nous nous identifions mutuellement par empreinte PGP, et au secrétaire de société nevissien par notre nom légal, et à personne d'autre.
Ce n'est pas de la paranoïa. C'est adapté au modèle de menace. Le sens d'un prestataire comme celui-ci est qu'un adversaire ne peut pas compromettre les opérateurs plus facilement qu'il ne peut compromettre les clients.
Qui, où, quand, comment — répondu sans détour. Tout ce qui n'est pas couvert ici appartient à /panel/?section=support ou /pgp/.
Une adresse e-mail — même jetable — vous donne une facture. Une confirmation Monero vous donne des identifiants SSH. Le reste vous appartient.
