Pourquoi Mullvad VPN ?
Si vous nous confiez votre vie privée, nous attendons de vous que vous vous posiez cette question.
Ce qui nous distingue
Un compte anonyme
Nous ne demandons aucune information personnelle - pas même votre adresse e-mail - et nous encourageons les paiements anonymes en espèces ou en cryptomonnaies.
Pas de journalisation
Votre vie privée est votre vie privée, c'est pourquoi nous n'enregistrons pas votre activité. Notre objectif à long terme est de ne même pas stocker les détails des paiements.
Audits externes
Nous demandons des audits indépendants de notre application et de notre infrastructure pour assurer la transparence et améliorer nos pratiques de sécurité.
Une juridiction sûre
Les lois qui nous concernent en tant que fournisseur de VPN basé en Suède font de notre emplacement un lieu sûr pour nous et votre vie privée.
Interrupteur intégré
Si vous avez des problèmes de connectivité alors que le VPN Mullvad est activé, l'interrupteur intégré arrêtera automatiquement tout le trafic réseau.
Pas d'avis payés
Nous évitons les affiliations et les avis payants, et laissons plutôt nos résultats parler d'eux-mêmes.
Équipe d'assistance interne
Nous n'externalisons pas vos problèmes. Notre équipe d'assistance dédiée travaille aux côtés de nos développeurs pour vous donner des réponses adaptées.
Adopteurs précoces
Nous sommes régulièrement pionniers dans de nombreuses technologies et fonctionnalités de sécurité qui sont aujourd'hui considérées comme des pratiques standard par les services VPN.
Configuration simple
Même si vous êtes un nouveau client, notre application est conçue pour être facile à utiliser et vous permettre de continuer à protéger votre vie privée.
Caractéristiques
Windows | macOS | Linux | Android | iOS | |
|---|---|---|---|---|---|
Audits externes | ✔ | ✔ | ✔ | ✔ | ✔ |
Le code est open source | ✔ | ✔ | ✔ | ✔ | ✔ |
Split tunneling | ✔ | ✔ | ✔ | ||
Serveur DNS personnalisé | ✔ | ✔ | ✔ | ✔ | ✔ |
Multihopping | ✔ | ✔ | ✔ | ||
Proxy Shadowsocks | ✔ | ✔ | ✔ | ||
Signalement des problèmes dans l'application | ✔ | ✔ | ✔ | ✔ | ✔ |
Bloqueurs de contenu DNS | ✔ | ✔ | ✔ | ✔ | ✔ |
Rotation automatique des clés WireGuard | ✔ | ✔ | ✔ | ✔ | ✔ |
Tunnels résistants aux attaques quantiques | ✔ | ✔ | ✔ | ||
Détails techniques
Vous êtes curieux de connaître les protocoles, les primitives et les autres détails techniques sur lesquels repose le VPN Mullvad ? Voilà !
Protocoles VPN dans l'application
Nous prenons en charge deux protocoles pour le tunnel VPN, OpenVPN et WireGuard :
- Nous limitons OpenVPN à TLS 1.3 (pour le canal de contrôle) et AES-256-GCM (pour le canal de données). Ceci est implémenté dans OpenSSL.
- Pour WireGuard, nous utilisons l'implémentation standard du noyau Linux lorsqu'elle est disponible. Sinon, nous utilisons le wireguard-go.
Connexion à l'API de l'application
L'application utilise TLS 1.2 ou 1.3, mis en œuvre dans Rustls*, pour chiffrer la communication avec l'API. Cela offre deux fonctionnalités :
- La connexion utilise l'épinglage des certificats pour prévenir les attaques MitM.
- Pour éviter l'usurpation de DNS, l'application n'utilise pas de DNS pour obtenir l'IP de l'API.
Pare-feu et sécurité des applications
L'application empêche les fuites et active la fonctionnalité d'interrupteur en s'intégrant au pare-feu du système (WFP sous Windows, nftables sous Linux et PF sous macOS). Apprenez-en plus sur notre page GitHub
Architecture de l'application
Pour limiter la quantité de code exécuté en tant qu'utilisateur privilégié, l'application est divisée en deux parties :
- des interfaces non privilégiées (y compris une CLI))
- un service système privilégié qui fonctionne en arrière-plan et supervise les tunnels et la sécurité des appareils.
Serveurs
Dans tous nos serveurs, nous avons spécifié des configurations par défaut et des ordres de priorité pour le chiffrement afin de fournir le chiffrement le plus fort disponible pour chaque protocole de tunnel.
Serveurs OpenVPN
Nos serveurs OpenVPN présentent les caractéristiques suivantes :
- Des certificats RSA de 4096 bits (avec SHA512) sont utilisés pour l'authentification du serveur.
- Des paramètres Diffie-Hellman de 4096 bits sont utilisés pour l'échange de clés
- Le DHE est utilisé pour un secret de transmission parfait.
- Une version minimale de TLS 1.2 est appliquée pour le canal de contrôle, avec TLS 1.3 disponible.
Pour les dernières versions du client OpenVPN, nous proposons les chiffres suivants, utilisés dans l'ordre indiqué (sauf si l'utilisateur applique une configuration différente) :
- chiffres des canaux de contrôle: TLS_CHACHA20_POLY1305_SHA256, TLS_AES_256_GCM_SHA384.
- chiffres des canaux de données: CHACHA20-POLY1305, AES-256-GCM.
- La redéfinition des clés se fait toutes les 60 minutes.
Serveurs WireGuard
WireGuard est conservateur et ne propose qu'un seul ensemble de primitives cryptographiques. Consultez le site Web de WireGuard pour plus de détails.
Serveurs bridge
Nos passerelles facilitent la connexion à notre site web, à notre API et aux serveurs OpenVPN et WireGuard dans les endroits où l'accès à ces derniers est bloqué. Nos configurations font qu'il est difficile, voire impossible, d'accéder à quoi que ce soit de non chiffré par leur intermédiaire, de sorte que le type de chiffrement utilisé a peu d'importance.
Blocage de serveur
Pour nous protéger, protéger nos clients et assurer la qualité de notre service, nous nous réservons le droit de bloquer toute adresse IP ou port. Nous bloquons en permanence le trafic sortant vers les ports suivants :
- port 25 - pour éviter le spam
- ports 137, 138, 139, 445 - pour protéger les clients contre un problème de sécurité de Microsoft SMB/CIFS
- ports 1900 et 2869 - pour protéger les clients contre les configurations UPnP malveillantes.