vpn

Mullvad est-il sûr ? Analyse de la sécurité, de la confidentialité et des audits

Mullvad est-il sûr ? Résultats d'audits indépendants, protocoles de chiffrement, analyse de juridiction, test du kill switch et vérification de la politique de zéro journal.

VPN.com Editorial Team · ·9 min de lecture

Mullvad est-il sûr ? Une évaluation directe

Mullvad obtient un score de 86/100 sur notre indice de confiance. Il opère sous juridiction suédoise, facture un tarif fixe de 5 €/mois sans comptes, et applique une politique de zéro journal vérifiée. Des audits indépendants réalisés par Cure53 et Assured AB ont confirmé un nombre minimal de vulnérabilités. Mullvad ne stocke aucun journal de connexion, aucune donnée de trafic, ni aucune information personnellement identifiable sur ses 700+ serveurs répartis dans 50+ pays.

Juridiction suédoise et demandes légales de données

La Suède fait partie de l’alliance de partage de renseignements des 14 Eyes. Cela peut sembler alarmant au premier abord. En pratique, le cadre juridique révèle une histoire plus nuancée pour les fournisseurs de VPN.

La loi suédoise n’oblige pas les entreprises de VPN à conserver les données des utilisateurs. Mullvad n’a aucune obligation de conservation des données en vertu des réglementations actuelles suédoises sur les télécommunications. Cela signifie que les autorités peuvent émettre des demandes, mais Mullvad ne dispose d’aucune donnée stockée à transmettre.

En avril 2023, la police suédoise a physiquement pénétré dans les bureaux de Mullvad à Gothenburg avec un mandat de perquisition. Les agents avaient l’intention de saisir des ordinateurs contenant des données clients. Le personnel de Mullvad a expliqué qu’aucune donnée client n’existait sur les machines, et la police est repartie les mains vides. Ce test réel a prouvé que la politique de zéro journal tient face à une pression légale.

Historique des audits indépendants

Mullvad a réalisé plusieurs audits de sécurité par des tiers. Chaque audit a examiné différentes parties de l’infrastructure et des applications clients.

Audit Cure53 (2020)

Cure53, une entreprise de tests de pénétration basée à Berlin, a audité les applications VPN de Mullvad en 2020. L’équipe a identifié 7 vulnérabilités au total : 2 de gravité moyenne et 5 de faible gravité. Mullvad a corrigé les 7 problèmes avant de publier intégralement le rapport d’audit sur son site web.

Audit Assured AB (2023)

Assured AB a réalisé un audit d’infrastructure des serveurs et des systèmes internes de Mullvad en 2023. L’évaluation a couvert les configurations de serveurs, la mise en œuvre du chiffrement et les procédures de traitement des données. Les résultats ont confirmé que l’infrastructure de Mullvad correspondait à ses déclarations publiques de zéro journal. Aucune vulnérabilité critique n’a été découverte au cours de cet engagement.

Audit d’application Cure53 (2023)

Cure53 est revenu pour un second tour en 2023, se concentrant sur le code d’application mis à jour. Ce suivi a révélé moins de problèmes que l’audit de 2020. Mullvad a traité toutes les conclusions et a de nouveau publié le rapport complet pour examen public.

La publication de rapports d’audit complets est rare dans le secteur des VPN. Mullvad ne rédige pas les conclusions ni ne sélectionne les résultats favorables. Cette transparence renforce considérablement la crédibilité de ses affirmations en matière de sécurité.

Politique de journalisation : ce que Mullvad stocke et ne stocke pas

Données que Mullvad ne collecte pas

Mullvad ne consigne pas les données de trafic, les horodatages de connexion, les durées de session ou les adresses IP. Il ne stocke aucune requête DNS, aucun enregistrement d’utilisation de bande passante ni aucune attribution de serveur VPN. L’activité du compte reste entièrement dissociée du comportement de navigation ou des métadonnées de connexion.

Données que Mullvad traite

Mullvad traite le nombre total de connexions simultanées par compte (plafonné à 5). Ce compteur existe en temps réel et n’est écrit dans aucun stockage persistant. Au moment où vous vous déconnectez, ce compteur est décrémenté. Aucun historique ne persiste.

Mullvad traite également des données agrégées de charge de serveur à court terme pour l’optimisation des performances. Ces données ne contiennent aucune information permettant d’identifier les utilisateurs et se renouvellent automatiquement.

Le système de compte

Mullvad génère un numéro de compte aléatoire à 16 chiffres. Aucun e-mail, aucun nom, aucun mot de passe n’est requis. Vous pouvez payer en espèces envoyées par courrier, en Bitcoin ou en Monero. Cette conception élimine entièrement les informations personnellement identifiables du processus d’inscription.

Normes de chiffrement et protocoles

Mullvad prend en charge deux protocoles : WireGuard et OpenVPN. Les deux implémentations utilisent des normes cryptographiques solides et bien éprouvées.

Implémentation de WireGuard

WireGuard utilise ChaCha20 pour le chiffrement symétrique, Curve25519 pour l’échange de clés et BLAKE2s pour le hachage. Mullvad utilise WireGuard par défaut sur toutes les plateformes. Les poignées de main de connexion se terminent en moins de 100 millisecondes sur la plupart des réseaux.

Implémentation d’OpenVPN

Les connexions OpenVPN utilisent AES-256-GCM pour le chiffrement du canal de données. L’échange de clés repose sur des certificats RSA-4096 avec authentification SHA-512. Mullvad configure OpenVPN avec tls-auth pour prévenir les attaques par empreinte digitale et les attaques DDoS sur le tunnel VPN.

Tunnels résistants aux attaques quantiques

Mullvad a ajouté un échange de clés post-quantique aux tunnels WireGuard en 2023. Cette fonctionnalité superpose l’encapsulation de clés Classic McEliece et Kyber sur la cryptographie WireGuard standard. Mullvad a été le premier VPN commercial à déployer cette fonctionnalité sur les plateformes de bureau.

Kill switch et protection contre les fuites DNS

Comportement du kill switch

Le kill switch de Mullvad s’active par défaut sur toutes les plateformes. Il bloque tout le trafic internet lorsque le tunnel VPN tombe de manière inattendue. L’implémentation fonctionne au niveau du pare-feu, et non au niveau de l’application. Cela prévient les fuites même si l’application Mullvad plante complètement.

Sous Linux, Mullvad utilise des règles nftables pour imposer le blocage du trafic. Sous Windows, il modifie la plateforme de filtrage Windows. Sous macOS, il utilise des règles de filtre de paquets. Chaque implémentation prévient simultanément les fuites IPv4 et IPv6.

Protection contre les fuites DNS

Mullvad achemine toutes les requêtes DNS via ses propres serveurs DNS chiffrés. L’application bloque les requêtes DNS système qui tentent de contourner le tunnel. Mullvad exploite des serveurs DNS sur chaque emplacement de serveur VPN, résolvant les requêtes localement sans les transmettre à des tiers.

Les utilisateurs peuvent également configurer un DNS personnalisé dans l’application. Même avec un DNS personnalisé, les requêtes transitent toujours dans le tunnel chiffré. Les tests de fuite indépendants montrent systématiquement zéro fuite DNS, WebRTC ou IPv6 sur tous les clients Mullvad.

Incidents de sécurité passés

Descente de police (avril 2023)

Six agents de la police nationale suédoise sont entrés dans les bureaux de Mullvad à Gothenburg. Ils portaient un mandat de perquisition d’un tribunal de district à la recherche d’informations clients. Le PDG de Mullvad a expliqué que la société ne stocke aucune donnée client. La police n’a saisi aucun équipement et est repartie après que l’équipe juridique de Mullvad a contesté l’applicabilité du mandat.

Aucune violation de données connue

Au dernier cycle d’audit en date, Mullvad n’a signalé aucune violation de données. Aucune donnée utilisateur n’est apparue dans des bases de données divulguées. Aucune attaque par credential stuffing ne s’applique car Mullvad n’utilise ni mots de passe ni adresses e-mail. Le système de numéro de compte à 16 chiffres réduit considérablement la surface d’attaque.

Divulgations de vulnérabilités

Mullvad maintient une approche active de prime aux bugs et publie des avis de sécurité sur son blog. Toutes les vulnérabilités découvertes lors des audits ont reçu des correctifs dans les semaines suivant leur découverte. La société n’a subi aucune exploitation zero-day de son infrastructure de production.

Fonctionnalités de sécurité uniques

DAITA (Defense Against AI-Guided Traffic Analysis)

Mullvad a développé DAITA pour contrer les attaques d’analyse de trafic. Cette fonctionnalité remboure les paquets à des tailles uniformes et injecte des motifs de trafic leurres. Elle empêche les adversaires d’identifier les sites web visités par les utilisateurs en se basant sur les empreintes de trafic.

DNS chiffré via HTTPS (DoH)

Mullvad propose un service DoH public sur dns.mullvad.net. Les utilisateurs peuvent chiffrer les requêtes DNS même sans que le VPN soit actif. Le service comprend des profils DNS optionnels de blocage des publicités et des traceurs.

Serveurs sans disque en RAM uniquement

Mullvad fait fonctionner l’ensemble de son parc de serveurs en mode RAM uniquement. Aucun disque dur n’existe dans les serveurs. Chaque redémarrage efface complètement toutes les données. Cette architecture garantit que les saisies physiques de serveurs ne produisent aucune information utilisable.

Routage multisaut

Les utilisateurs peuvent acheminer le trafic via 2 serveurs VPN distincts dans des pays différents. Cela ajoute une deuxième couche de chiffrement et sépare le point d’entrée du point de sortie. Le multisaut est configurable directement dans l’application sans configuration manuelle.

Foire aux questions

Mullvad conserve-t-il des journaux ?

Mullvad ne conserve aucun journal persistant. Aucun journal de trafic, horodatage de connexion, adresse IP ou donnée de session n’est écrit sur le stockage disque. Deux audits indépendants ont vérifié cette affirmation. L’infrastructure de serveurs en RAM uniquement garantit que même les données temporaires disparaissent au redémarrage. La descente de police de 2023 chez Mullvad a confirmé qu’aucune donnée utilisateur n’existait à saisir.

Mullvad a-t-il été piraté ?

Mullvad n’a pas été piraté. Aucune violation de données ni aucun événement d’accès non autorisé n’a été signalé publiquement ou découvert lors des audits. Le système de compte sans mot de passe et les serveurs en RAM uniquement réduisent la surface d’attaque en dessous de celle des fournisseurs VPN typiques. Cure53 n’a trouvé aucune vulnérabilité critique lors des audits de 2020 et 2023.

Mullvad est-il digne de confiance ?

Mullvad démontre sa fiabilité par des audits indépendants répétés, une transparence totale des rapports et un test légal réel. La société publie son code source ouvertement sur GitHub. Elle accepte les paiements anonymes en espèces. Elle a survécu à une perquisition policière sans divulguer de données. Ces actions vérifiées ont plus de poids que des promesses marketing.

Mullvad peut-il voir mes données ?

Mullvad ne peut pas voir vos données de navigation. Le trafic à l’intérieur du tunnel VPN utilise le chiffrement AES-256 ou ChaCha20. Les serveurs de Mullvad traitent des paquets chiffrés mais n’inspectent pas, n’enregistrent pas et ne stockent pas le contenu. L’architecture en RAM uniquement empêche toute donnée de traitement temporaire de persister au-delà de la session active.

Conclusion sur la sécurité de Mullvad

Mullvad mérite son score de confiance de 86/100 grâce à son architecture, et non à des promesses. Les serveurs en RAM uniquement, l’anonymat des comptes, les rapports d’audit publiés et l’issue vérifiée de la descente de police le distinguent. Le tarif fixe de 5 €/mois sans essais ni réductions reflète une entreprise axée sur le service plutôt que sur le volume d’abonnés. Pour les utilisateurs qui privilégient la vérification de la confidentialité au décompte des fonctionnalités, Mullvad reste l’une des options les plus solides disponibles sur ses 700+ serveurs dans 50+ pays.