Audit indépendant des services Mullvad : résultats et implications

Fin 2025, Mullvad a sollicité X41 D-Sec pour un audit exhaustif de ses systèmes de création de compte et de paiement. Cet examen, rendu public en janvier 2026, révèle quelques vulnérabilités mineures mais ne compromet en rien la sécurité de ses utilisateurs. Découvrez les principaux enseignements de cette évaluation.

L’essentiel à retenir

• Un audit commandé par Mullvad a révélé cinq faiblesses internes de sévérité faible à moyenne.
• Aucun risque de compromission des données des utilisateurs n’a été identifié.
• Améliorations suggérées pour renforcer la fiabilité générale des services Mullvad.

Les objectifs de l’audit de Mullvad

Mullvad, un fournisseur de VPN réputé pour son engagement envers la transparence et la sécurité, a fait appel à X41 D-Sec pour auditer ses systèmes de gestion des comptes et des paiements. L’objectif était d’examiner en détail l’authentification, l’enregistrement des appareils, le traitement des paiements et la distribution des clés WireGuard. L’analyse a permis de détecter certaines faiblesses, principalement liées à la facturation et à la résistance aux abus.

Principales conclusions de l’audit

Le rapport d’audit, publié en janvier 2026, a identifié cinq problèmes de sécurité classés de faible à moyenne gravité. Parmi ces découvertes, un bug notable concernait le traitement simultané des vouchers, permettant dans certaines conditions l’application d’un même bon à plusieurs comptes. Ce problème, bien que significatif pour les systèmes internes de Mullvad, ne mettait pas en danger les informations personnelles des utilisateurs ni le fonctionnement des tunnels VPN.

Recommandations et améliorations proposées

Les résultats de l’audit ont conduit à des recommandations visant à améliorer les interactions entre les services internes de Mullvad et à simplifier certaines configurations. Une autre suggestion clé visait à renforcer la sécurité des informations essentielles que les applications récupèrent, telles que les listes de serveurs et certains paramètres, garantissant ainsi leur authenticité et leur intégrité.

Ces mesures, bien que transparentes pour les utilisateurs, contribuent à accroître la fiabilité globale du service, réduisant ainsi les risques de pannes ou de mauvaises surprises en cas d’attaque.

Contexte de Mullvad et innovations récentes

Mullvad se distingue par sa proposition unique de VPN avec un tarif fixe et des comptes anonymes, sans conservation de logs. Récemment, l’entreprise a renforcé son infrastructure technique avec l’intégration de tunnels WireGuard à résistance quantique, activés par défaut, et une nouvelle version de DAITA pour compliquer l’analyse du trafic. Ces améliorations, combinées à des vitesses de connexion parmi les plus rapides, positionnent Mullvad comme un acteur majeur du marché, malgré un parc de serveurs plus restreint et des applications minimalistes.

Source : https://www.x41-dsec.de/static/reports/X41-Mullvad-Audit-Public-Report-2026-01-20.pdf