La réponse honnête en un paragraphe
Aucun VPS n'est anonyme par défaut, et tout hébergeur qui prétend le contraire vous vend une impression. Ce qu'un hébergeur no-KYC comme le nôtre supprime, c'est la couche identité — nous ne demandons jamais de nom, de pièce d'identité officielle, de numéro de téléphone ni d'email vérifié, si bien qu'il n'existe aucun document d'identité à produire sous contrainte puisqu'il n'a jamais été collecté. Ce que nous ne pouvons pas supprimer à votre place, c'est la couche réseau (l'adresse IP depuis laquelle vous vous connectez et provisionnez) et la couche contenu (ce que votre serveur fait sur l'internet public, visible par tout le monde quel que soit l'hébergeur). L'anonymat réel est le produit de ces trois couches, et deux sur trois sont entre vos mains, pas les nôtres.
La bonne façon de voir les choses est donc celle-ci : un VPS est exactement aussi anonyme que le plus faible des trois maillons — votre paiement, votre connexion et votre hygiène opérationnelle. Nous vous donnons le meilleur point de départ possible sur le premier — aucun KYC, paiement crypto uniquement, registres identifiés par simple numéro de commande — et ce guide vous montre comment ne pas ruiner les deux autres.
Trois formes d'anonymat que l'on confond
L'anonymat du paiement signifie qu'aucune trace financière ne relie une identité réelle à la commande. Un paiement par carte échoue instantanément sur ce point — l'acquéreur, la banque et le réseau de cartes détiennent tous votre identité. Monero passe ce test sans réserve ; Bitcoin ne le passe que si les coins n'ont pas été achetés sur un exchange KYC puis envoyés directement chez nous depuis une adresse réutilisée.
L'anonymat réseau signifie que l'hébergeur (et tout observateur sur le fil) ne peut pas relier la session à votre IP personnelle ou professionnelle. Cela dépend entièrement de la façon dont vous nous joignez — via Tor, via un VPN dont vous ne contrôlez pas la sortie, ou à nu depuis votre connexion domestique. Nous voyons l'IP qui se connecte ; nous choisissons de ne pas la journaliser en lien avec votre commande, mais nous ne pouvons pas ne pas la voir sur le moment.
L'anonymat légal / identitaire signifie que même face à une réquisition judiciaire valide, il n'existe aucun dossier permettant de vous démasquer, puisqu'il n'a jamais été constitué. C'est la seule couche qu'un hébergeur no-KYC contrôle réellement, et celle que nous optimisons le plus : aucune pièce d'identité, aucun contact vérifié, aucun nom de facturation, des registres indexés uniquement par un identifiant de commande opaque.
La plupart des angoisses autour de "mon VPS est-il anonyme" viennent d'une hypothèse silencieuse : gagner sur l'un de ces trois plans suffirait à gagner sur les trois. Ce n'est pas le cas. Vous pouvez payer en Monero (paiement ✓) et quand même vous désanonymiser en vous connectant en SSH depuis votre IP personnelle, avec votre vrai nom d'hôte dans la config du client (réseau ✗).
Ce que tout hébergeur voit forcément
Être honnête sur le plancher compte plus que de vendre le plafond. Quelle que soit sa politique KYC, tout hébergeur — nous y compris — dispose d'une visibilité technique sur certains éléments, simplement parce qu'il exploite l'infrastructure. Prétendre le contraire est la signature d'une arnaque.
| Donnée | Visible par l'hébergeur ? | Ce que nous en faisons |
|---|---|---|
| IP depuis laquelle vous provisionnez / vous connectez | Oui, sur le moment | Non inscrite au dossier de commande ; présente uniquement dans des journaux transitoires et éphémères, jamais conservée en lien avec une identité. |
| Le coin & le montant versés | Oui | Enregistrés comme total de commande ; l'adresse de dépôt n'est pas publiée en lien avec votre compte. |
| Ce que votre serveur diffuse publiquement | Oui, comme tout le monde | Non inspecté, sauf si une réquisition locale valide ou un signalement d'abus impose un examen ciblé. |
| Votre email pour les identifiants | Seulement si vous en donnez un vrai | Jamais vérifié ; alias et adresses jetables pleinement pris en charge et encouragés. |
| Votre nom / pièce d'identité officielle | Non — jamais demandé | Non collecté, donc rien à divulguer, quelle que soit la réquisition. |
Le principe est délibéré : minimiser ce qui existe, pour qu'une réquisition de divulgation légale, même valide et strictement circonscrite, ne retourne presque rien d'exploitable. Vous ne pouvez pas remettre un document d'identité qui n'a jamais été demandé, et vous ne pouvez pas produire rétroactivement des journaux de connexion que vous n'avez jamais conservés. Voir notre warrant canary pour la position actuelle sur les procédures légales.
Les métadonnées qui désanonymisent vraiment les gens
En pratique, les clients d'un hébergeur sont rarement démasqués via les registres de l'hébergeur. Ils le sont via les détails les plus banals. L'adresse email réutilisée entre un profil de forum et la commande du serveur. La clé SSH dont le champ commentaire indique me@my-real-laptop. Payer depuis un compte Coinbase à votre nom légal et envoyer directement vers l'adresse de dépôt sans aucun intermédiaire. Se connecter au panneau depuis la même IP résidentielle que vous utilisez pour tout le reste.
Rien de tout cela n'est réparable par l'hébergeur. C'est de l'opsec, et elle vous appartient. La bonne nouvelle, c'est que ces failles coûtent peu à combler : un alias email tout neuf, une clé générée spécifiquement pour cette machine avec un commentaire neutre, des coins passés par un swap ou minés/gagnés plutôt qu'achetés via KYC, et une connexion qui ne provient pas d'une IP qui remonte jusqu'à vous.
C'est pourquoi nous disons que l'hébergeur est la fondation, pas tout l'édifice. Nous pouvons garantir que nous n'avons jamais demandé qui vous êtes. Nous ne pouvons pas garantir que vous ne l'avez pas dit vous-même au reste d'internet en chemin.
Adapter l'effort à votre modèle de menace
L'anonymat n'est pas un simple curseur qu'on pousse à fond ; c'est un budget à dépenser là où se trouve réellement votre adversaire. Sur-blinder contre le mauvais adversaire gaspille des efforts et ajoute parfois de la fragilité.
Adversaire occasionnel / commercial (un concurrent, un scraper, un ayant droit à la recherche d'une cible) : une inscription no-KYC et un paiement crypto suffisent déjà à le mettre en échec. Il n'y a tout simplement aucune identité à acheter ou à réclamer. Vous avez à peine besoin de penser à la couche réseau.
Pression légale civile / d'un ayant droit (une campagne DMCA, un avocat qui envoie des mises en demeure) : nos juridictions offshore et l'absence d'identité collectée font qu'une notification de retrait se heurte à un mur — une notification n'est pas une assignation, et il n'y a aucune identité client à démasquer. Associez-y un paiement en Monero pour que la piste financière soit également morte.
Adversaire des forces de l'ordre ou de niveau étatique : ici, c'est la couche réseau qui domine. Payez en Monero, joignez-nous uniquement via Tor ou un VPN de confiance, ne mettez rien de personnel dans votre email ou vos clés, et partez du principe que le comportement public de votre serveur est intégralement observé. La posture no-KYC de l'hébergeur aide, mais à ce niveau, c'est votre propre opsec qui est déterminante, pas la nôtre.
Comment combler réellement les failles
Concrètement, par ordre d'impact : (1) Payez en Monero, ou en Bitcoin n'ayant pas transité par un exchange KYC lors du dernier saut. (2) Accédez à la fois au parcours de commande et à SSH via Tor ou un VPN non attribuable, jamais depuis votre IP personnelle. (3) Utilisez un alias jetable pour l'email des identifiants — anonaddy, SimpleLogin, une adresse jetable mailtm. (4) Générez une paire de clés SSH dédiée à ce serveur, avec un commentaire neutre (ssh-keygen -C ''). (5) Durcissez la machine elle-même pour qu'elle ne fuite rien — aucune donnée personnelle dans les configs, aucun recoupement avec votre autre infrastructure.
Faites ces cinq choses, et la réponse réaliste à "mon VPS est-il anonyme ?" passe de "pas vraiment" à "oui, face à n'importe quel adversaire hormis un État aux moyens importants — et même dans ce cas, l'hébergeur ne détient rien qui puisse les aider." C'est le plafond honnête, et il est élevé.