Mullvad ressort avec un avis favorable de son nouvel audit MASA sur Android. Pas de grosse alerte au programme, mais plusieurs ajustements utiles pour un service qui fait de la sécurité et de la confiance ses principaux arguments.

Mullvad VPN a fait auditer son application Android, voici ce qui a été corrigé. © Mullvad
Mullvad VPN a fait auditer son application Android, voici ce qui a été corrigé. © Mullvad

C’est le genre d’audit qui ne fait pas trembler les murs, mais qui dit beaucoup de la rigueur d’une application mobile. Mullvad vient en effet de soumettre son appli Android à un nouvel examen de sécurité mené par Leviathan Security Group dans le cadre du programme MASA. Verdict plutôt rassurant pour le fournisseur VPN suédois, qui passe l’évaluation avec succès après quelques corrections mineures liées à la sécurité Android, à l’interface et à la transparence sur les données.

Sécurité Android et affichage sensible, Mullvad resserre la vis

Dans le détail, les constats de Leviathan Security Group relèvent davantage de l’hygiène de sécurité que de la faille critique.

Premier ajustement, Mullvad a revu la sécurité de sa gestion des PendingIntents, ces autorisations confiées au système pour exécuter une action au nom de l’application, même lorsque celle-ci n’est pas ouverte. C’est le cas, par exemple, du bouton affiché dans la notification persistante qui permet de couper le VPN. Pour fonctionner, l’application prépare l’ordre correspondant, puis Android conserve cette autorisation jusqu’à son déclenchement. Afin d’éviter qu’une autre application puisse en altérer le contenu, cet ordre doit en théorie être verrouillé, ce qui n’était pas systématiquement le cas chez Mullvad.

L’audit a aussi relevé deux choix d’affichage malvenus pour une application centrée sur la confidentialité. Le numéro de compte apparaissait en clair sur l’écran de connexion, tandis que le mot de passe renseigné lors de la configuration d’un accès API personnalisé n’était pas masqué par défaut. Rien qui permette de pirater un compte à distance, mais une faiblesse très terre à terre dans les transports, au bureau ou dans tout lieu public.

Collecte de données et suppression de compte, retour dans les clous

Le reste relève davantage de la conformité que du bug de sécurité. Mullvad a mis à jour sa déclaration de collecte de données sur le Play Store pour mieux refléter sa politique de confidentialité, notamment depuis l’ajout des achats intégrés, et ajouté une option de suppression de compte directement dans l’application, comme l’exige le référentiel MASA.

Une note positive, donc, dans un contexte un peu chahuté pour Mullvad. Pour rappel, fin mai, le fournisseur confirmait un problème de corrélation possible entre ses adresses IP de sortie, tandis qu’en avril, son application iOS avait déjà dû être renforcée pour limiter des fuites de trafic liées aux contraintes réseau d’Apple.

Clubic
Mullvad VPN
  • storage600 serveurs
  • language50 pays couverts
  • lan5 connexions simultanées
  • moodEssai gratuit 14 jours
  • thumb_upAvantage : anonymat sans compte
7.8 / 10

Mullvad demeure l’un des VPN les plus sérieux du marché dès qu’il est question de confidentialité. Le service mise sur une approche rare, avec compte anonyme, tarif unique, code open source, audits réguliers et un vrai travail sur ses briques techniques, de DAITA à GotaTun. L’ensemble inspire confiance et conserve de bonnes performances globales, avec un excellent niveau de cohérence sur la sécurité. En contrepartie, Mullvad reste plus austère que la plupart des grands VPN grand public, avec une interface peu souple, un réseau plus limité et un confort d’usage moins travaillé sur certains usages.

Lire le test complet sur Mullvad VPN
Essayer Mullvad VPN maintenant !
Les plus
  • Excellente approche de la confidentialité
  • Pas de compte utilisateur classique
  • Transparence et audits réguliers
  • DAITA, GotaTun et protection post-quantique
Les moins
  • Interface peu flexible au quotidien
  • Réseau plus limité que celui des grands concurrents
  • Garantie de remboursement plus courte que la moyenne
Foire aux questionsContenu généré par l’IA
Qu’est-ce qu’un audit MASA sur Android, et qu’est-ce qu’il vérifie concrètement ?

MASA (Mobile Application Security Assessment) est un référentiel d’évaluation de sécurité pour applications mobiles, souvent utilisé comme cadre d’audit indépendant. Il ne se limite pas à chercher des failles “spectaculaires” : il vérifie aussi des bonnes pratiques Android (stockage, permissions, composants exposés, durcissement), la gestion des données et des exigences de transparence. Le périmètre inclut généralement des points de conformité côté utilisateur, comme l’accès aux informations de collecte et la possibilité de supprimer un compte. Un résultat “favorable” signifie que l’application respecte un socle de contrôles attendus, éventuellement après corrections. Cela ne garantit pas l’absence totale de vulnérabilités, mais indique un niveau d’hygiène et de processus plutôt solide.

Est-ce qu’un audit MASA garantit qu’une application VPN est parfaitement sécurisée ?

Non, et c’est justement la nuance à garder en tête. Un audit MASA permet de vérifier qu’une application respecte un ensemble de bonnes pratiques attendues sur Android, mais il ne promet pas une sécurité absolue. Il s’agit d’une photographie à un instant donné, sur une version précise de l’application, avec un périmètre défini. Une app peut donc passer l’évaluation tout en restant exposée, plus tard, à un bug introduit par une mise à jour, à une faiblesse côté serveur ou à un problème lié au système d’exploitation. Dans le cas d’un VPN, MASA dit surtout que l’application mobile est développée selon des règles sérieuses, ce qui compte déjà beaucoup, sans transformer l’audit en bouclier magique.

Pourquoi l’affichage en clair d’un identifiant, d’un numéro de compte ou d’un mot de passe est-il un problème de sécurité, même sans piratage à distance ?

Afficher des informations sensibles en clair expose au “shoulder surfing”, c’est-à-dire la récupération visuelle par une personne proche (transports, open space, lieux publics). Le risque est aussi présent via des captures d’écran involontaires, l’aperçu des applications récentes, ou certains outils d’accessibilité et de gestion d’appareils. Sur Android, une app peut limiter cela en masquant les champs par défaut (mot de passe) et en empêchant les captures sur certaines vues sensibles (flag sécurisé). Pour un service orienté confidentialité, ces détails comptent car ils conditionnent la sécurité dans des scénarios réalistes, pas uniquement face à un attaquant distant. Ce type de correction améliore la confidentialité sans changer l’architecture réseau du VPN.