Un audit indépendant s’est penché sur l’infrastructure qui permet de créer un compte Mullvad, payer un abonnement et connecter des appareils. Les résultats font état de quelques faiblesses internes, mais aucune ne met en péril les données des utilisateurs et utilisatrices.
Fin 2025, Mullvad a confié à X41 D-Sec un audit avec accès au code source de ses services de compte et de paiement. Le périmètre couvre l’authentification, l’enregistrement des appareils, le traitement des paiements et la distribution des clés WireGuard, soit tout ce qui permet de créer un compte, régler un abonnement et connecter des appareils. Publié en janvier 2026, le rapport recense cinq problèmes de sévérité faible à moyenne, relevant essentiellement de la facturation et de la résistance du VPN aux abus.
Des faiblesses internes, sans remise en cause des garanties de confidentialité
Le point le plus tangible concerne un bug lié au traitement simultané de vouchers. Dans certaines conditions, un même bon pouvait être appliqué à plusieurs comptes si les requêtes étaient traitées simultanément. L’impact est strictement limité à la facturation et aux systèmes internes de Mullvad, et n’ouvre aucun accès aux comptes existants, n’expose aucune information personnelle et n’affecte en rien le fonctionnement du tunnel VPN.
Le reste du rapport ressemble davantage à une liste d’ajustements de fond. Il s’agit de renforcer les échanges entre services internes, de simplifier certaines configurations et de mieux sécuriser les informations que les applications récupèrent pour fonctionner, comme la liste des serveurs et certains paramètres, en vérifiant qu’elles proviennent bien de Mullvad et qu’elles n’ont pas été modifiées. Des mesures invisibles côté client, mais qui renforcent la fiabilité générale du service, et limitent les risques de panne ou de mauvaise surprise en cas d’attaque.
En bref, rien d’inquiétant pour les utilisateurs et utilisatrices, l’audit n’ayant identifié aucun risque de compromission des comptes, de détournement des mécanismes de connexion ou d’exposition de données.
- storage696 serveurs
- language50 pays couverts
- lan5 connexions simultanées
- moodEssai gratuit 14 jours
- thumb_upAvantage : le plus rapide
Mullvad s’adresse surtout aux internautes qui veulent un VPN radicalement transparent, avec un tarif unique, des comptes anonymes et une politique no log auditée. Ces derniers mois, le service a renforcé son socle technique avec des tunnels WireGuard à résistance quantique activés par défaut, une nouvelle version de DAITA pour compliquer l’analyse de trafic et plusieurs modes d’obfuscation pensés pour les réseaux les plus surveillés. À cela s’ajoutent des débits parmi les plus élevés observés dans nos tests et une infrastructure intégralement en RAM, au prix d’un parc de serveurs plus restreint, d’applications assez dépouillées et d’une période de remboursement plus courte que chez la plupart des concurrents.
- Transparence poussée de l’entreprise
- Pas de création de compte utilisateur classique
- Bouclier post-quantique et technologie DAITA
- Excellents débits avec WireGuard
- Interface qui gagnerait à être plus intuitive et flexible
- Domicilié en Suède (membre des 14 Eyes)
- Parc de serveurs plus limité que celui des grands acteurs du marché
