Passer au contenu principal

Pourquoi Mullvad VPN ?

Nous mettons votre vie privée au premier plan depuis 2009. Laissez-nous vous présenter ce que vous obtenez avec Mullvad VPN.

Two mobile phones using Mullvad VPN

Un compte anonyme

Nous ne demandons aucune information personnelle - pas même votre adresse e-mail - et nous encourageons les paiements anonymes en espèces ou en cryptomonnaies.

Pas de journalisation

Votre vie privée est votre vie privée, c'est pourquoi nous n'enregistrons pas votre activité. Notre objectif à long terme est de ne même pas stocker les détails des paiements.

Audits externes

Nous demandons des audits indépendants de notre application et de notre infrastructure pour assurer la transparence et améliorer nos pratiques de sécurité.

Une juridiction sûre

Les lois qui nous concernent en tant que fournisseur de VPN basé en Suède font de notre emplacement un lieu sûr pour nous et votre vie privée.

Interrupteur intégré

Si vous avez des problèmes de connectivité alors que le VPN Mullvad est activé, l'interrupteur intégré arrêtera automatiquement tout le trafic réseau.

Pas d'avis payés

Nous évitons les affiliations et les avis payants, et laissons plutôt nos résultats parler d'eux-mêmes.

Équipe d'assistance interne

Nous n'externalisons pas notre assistance. Notre équipe d'assistance dédiée travaille avec nos développeurs pour répondre à vos questions.

Pionniers

Nous sommes pionniers dans de nombreuses technologies et fonctionnalités de sécurité qui sont aujourd'hui considérées comme des pratiques standard. Nous travaillons également étroitement avec des universités.

Combat l'analyse du trafic

Même si vous chiffrez votre trafic à l'aide d'un VPN, il existe toujours un risque qu'il soit analysé. C'est pourquoi nous avons développé DAITA (Defense Against AI-guided Traffic Analysis).

Tunnels VPN résistants aux attaques quantiques

Vous pouvez choisir des tunnels VPN résistants à la technologie quantique sur toutes les plateformes que nous prenons en charge. Au cas où les ordinateurs quantiques du futur parviendraient à briser le chiffrement actuel.

Requêtes DNS via un tunnel chiffré

Lorsque vous utilisez Mullvad VPN, toutes vos requêtes DNS (où les adresses de sites Web sont converties en adresses IP) passent par le tunnel VPN chiffré.

Multihop

Grâce à notre fonction multihop, vous pouvez acheminer votre trafic via deux ou plusieurs serveurs situés à des endroits différents et relevant de juridictions distinctes.

Caractéristiques

Windows

macOS

Linux

Android

iOS

Audits externes

Le code est open source

Split tunneling

Serveur DNS personnalisé

Multihop

OpenVPN sur Shadowsocks

WireGuard sur Shadowsocks

WireGuard sur TCP

Rotation automatique des clés WireGuard

Signalement des problèmes dans l'application

Bloqueurs de contenu DNS

Tunnels résistants aux attaques quantiques

DAITA

  1. Le split tunneling n'est disponible que sur macOS 13 et les versions ultérieures
Laptop with Mullvad connected

Détails techniques

Vous êtes curieux de connaître les protocoles, les primitives et les autres détails sur lesquels repose le VPN Mullvad ? Voilà !

Protocoles VPN dans l'application

Nous prenons en charge deux protocoles pour le tunnel VPN, OpenVPN et WireGuard :

  • Nous limitons OpenVPN à TLS 1.3 (pour le canal de contrôle) et AES-256-GCM (pour le canal de données). Ceci est implémenté dans OpenSSL.
  • Pour WireGuard, nous utilisons l'implémentation standard du noyau Linux lorsqu'elle est disponible. Sinon, nous utilisons le wireguard-go.

Connexion à l'API de l'application

L'application utilise TLS 1.2 ou 1.3, mis en œuvre dans Rustls*, pour chiffrer la communication avec l'API. Cela offre deux fonctionnalités :

  • La connexion utilise l'épinglage des certificats pour prévenir les attaques MitM.
  • Pour éviter l'usurpation de DNS, l'application n'utilise pas de DNS pour obtenir l'IP de l'API.
*Sur iOS, le TLS par défaut pris en charge par URLSession est utilisé

Pare-feu et sécurité des applications

L'application empêche les fuites et active la fonctionnalité d'interrupteur en s'intégrant au pare-feu du système (WFP sous Windows, nftables sous Linux et PF sous macOS). Apprenez-en plus sur notre page GitHub

Architecture de l'application

Pour limiter la quantité de code exécuté en tant qu'utilisateur privilégié, l'application est divisée en deux parties :

  • des interfaces non privilégiées (y compris une CLI))
  • un service système privilégié qui fonctionne en arrière-plan et supervise les tunnels et la sécurité des appareils.
Apprenez-en plus sur notre page GitHub

Serveurs

Dans tous nos serveurs, nous avons spécifié des configurations par défaut et des ordres de priorité pour le chiffrement afin de fournir le chiffrement le plus fort disponible pour chaque protocole de tunnel.

Serveurs OpenVPN

Nos serveurs OpenVPN présentent les caractéristiques suivantes :

  • Des certificats RSA de 4096 bits (avec SHA512) sont utilisés pour l'authentification du serveur.
  • Des paramètres Diffie-Hellman de 4096 bits sont utilisés pour l'échange de clés
  • Le DHE est utilisé pour un secret de transmission parfait.
  • Une version minimale de TLS 1.2 est appliquée pour le canal de contrôle, avec TLS 1.3 disponible.

  • Pour les dernières versions du client OpenVPN, nous proposons les chiffres suivants, utilisés dans l'ordre indiqué (sauf si l'utilisateur applique une configuration différente) :

    • chiffres des canaux de contrôle: TLS_CHACHA20_POLY1305_SHA256, TLS_AES_256_GCM_SHA384.
    • chiffres des canaux de données: CHACHA20-POLY1305, AES-256-GCM.
  • La redéfinition des clés se fait toutes les 60 minutes.

Serveurs WireGuard

WireGuard est conservateur et ne propose qu'un seul ensemble de primitives cryptographiques. Consultez le site Web de WireGuard pour plus de détails.

Serveurs bridge

Nos passerelles facilitent la connexion à notre site web, à notre API et aux serveurs OpenVPN et WireGuard dans les endroits où l'accès à ces derniers est bloqué. Nos configurations font qu'il est difficile, voire impossible, d'accéder à quoi que ce soit de non chiffré par leur intermédiaire, de sorte que le type de chiffrement utilisé a peu d'importance.

Blocage de serveur

Pour nous protéger, protéger nos clients et assurer la qualité de notre service, nous nous réservons le droit de bloquer toute adresse IP ou port. Nous bloquons en permanence le trafic sortant vers les ports suivants :

  • port 25 - pour éviter le spam
  • ports 137, 138, 139, 445 - pour protéger les clients contre un problème de sécurité de Microsoft SMB/CIFS
  • ports 1900 et 2869 - pour protéger les clients contre les configurations UPnP malveillantes.