Un audit indépendant s’est penché sur l’infrastructure qui permet de créer un compte Mullvad, payer un abonnement et connecter des appareils. Les résultats font état de quelques faiblesses internes, mais aucune ne met en péril les données des utilisateurs et utilisatrices.
Fin 2025, Mullvad a confié à X41 D-Sec un audit avec accès au code source de ses services de compte et de paiement. Le périmètre couvre l’authentification, l’enregistrement des appareils, le traitement des paiements et la distribution des clés WireGuard, soit tout ce qui permet de créer un compte, régler un abonnement et connecter des appareils. Publié en janvier 2026, le rapport recense cinq problèmes de sévérité faible à moyenne, relevant essentiellement de la facturation et de la résistance du VPN aux abus.
Des faiblesses internes, sans remise en cause des garanties de confidentialité
Le point le plus tangible concerne un bug lié au traitement simultané de vouchers. Dans certaines conditions, un même bon pouvait être appliqué à plusieurs comptes si les requêtes étaient traitées simultanément. L’impact est strictement limité à la facturation et aux systèmes internes de Mullvad, et n’ouvre aucun accès aux comptes existants, n’expose aucune information personnelle et n’affecte en rien le fonctionnement du tunnel VPN.
Le reste du rapport ressemble davantage à une liste d’ajustements de fond. Il s’agit de renforcer les échanges entre services internes, de simplifier certaines configurations et de mieux sécuriser les informations que les applications récupèrent pour fonctionner, comme la liste des serveurs et certains paramètres, en vérifiant qu’elles proviennent bien de Mullvad et qu’elles n’ont pas été modifiées. Des mesures invisibles côté client, mais qui renforcent la fiabilité générale du service, et limitent les risques de panne ou de mauvaise surprise en cas d’attaque.
En bref, rien d’inquiétant pour les utilisateurs et utilisatrices, l’audit n’ayant identifié aucun risque de compromission des comptes, de détournement des mécanismes de connexion ou d’exposition de données.
- storage600 serveurs
- language50 pays couverts
- lan5 connexions simultanées
- moodEssai gratuit 14 jours
- thumb_upAvantage : le plus rapide
Mullvad demeure l’un des VPN les plus sérieux du marché dès qu’il est question de confidentialité. Le service mise sur une approche rare, avec compte anonyme, tarif unique, code open source, audits réguliers et un vrai travail sur ses briques techniques, de DAITA à GotaTun. L’ensemble inspire confiance et conserve de bonnes performances globales, avec un excellent niveau de cohérence sur la sécurité. En contrepartie, Mullvad reste plus austère que la plupart des grands VPN grand public, avec une interface peu souple, un réseau plus limité et un confort d’usage moins travaillé sur certains usages.
- Excellente approche de la confidentialité
- Pas de compte utilisateur classique
- Transparence et audits réguliers
- DAITA, GotaTun et protection post-quantique
- Interface peu flexible au quotidien
- Réseau plus limité que celui des grands concurrents
- Garantie de remboursement plus courte que la moyenne
