Pourquoi Mullvad VPN ?

Si vous nous confiez votre vie privée, nous attendons de vous que vous vous posiez cette question.

Ce qui nous distingue

Un compte anonyme

Nous ne demandons aucune information personnelle - pas même votre adresse e-mail - et nous encourageons les paiements anonymes en espèces ou en cryptomonnaies.

Pas de journalisation

Votre vie privée est votre vie privée, c'est pourquoi nous n'enregistrons pas votre activité. Notre objectif à long terme est de ne même pas stocker les détails des paiements.

Audits externes

Nous demandons des audits indépendants de notre application et de notre infrastructure pour assurer la transparence et améliorer nos pratiques de sécurité.

Une juridiction sûre

Les lois qui nous concernent en tant que fournisseur de VPN basé en Suède font de notre emplacement un lieu sûr pour nous et votre vie privée.

Interrupteur intégré

Si vous avez des problèmes de connectivité alors que le VPN Mullvad est activé, l'interrupteur intégré arrêtera automatiquement tout le trafic réseau.

Pas d'avis payés

Nous évitons les avis et les affiliations payants et laissons plutôt nos résultats parler d'eux-mêmes.

Équipe d'assistance interne

Nous n'externalisons pas vos problèmes. Notre équipe d'assistance dédiée travaille aux côtés de nos développeurs pour vous donner des réponses adaptées.

Adopteurs précoces

Nous sommes régulièrement pionniers dans de nombreuses technologies et fonctionnalités de sécurité qui sont aujourd'hui considérées comme des pratiques standard par les services VPN.

Configuration simple

Même si vous êtes un nouveau client, notre application est conçue pour être facile à utiliser et vous permettre de continuer à protéger votre vie privée.

Caractéristiques

Caractéristiques

Windows

macOS

Linux

Android

iOS

Audits externes

Le code est open source

Split tunneling

bientôt

Serveur DNS personnalisé

bientôt

Multihopping

Transfert de port

Proxy Shadowsocks

Signalement des problèmes dans l'application

Rotation automatique des clés WireGuard

Ordinateur portable avec Mullvad connecté

Détails techniques

Vous êtes curieux de connaître les protocoles, les primitives et les autres détails techniques sur lesquels repose le VPN Mullvad ? Voilà !

Protocoles VPN dans l'application

Nous prenons en charge deux protocoles pour le tunnel VPN, OpenVPN et WireGuard :

  • Nous limitons OpenVPN à TLS 1.3 (pour le canal de contrôle) et AES-256-GCM (pour le canal de données). Ceci est implémenté dans OpenSSL.
  • Pour WireGuard, nous utilisons l'implémentation standard du noyau Linux lorsqu'elle est disponible. Sinon, nous utilisons le wireguard-go.

Connexion à l'API de l'application

L'application utilise TLS 1.2 ou 1.3, mis en œuvre dans Rustls, pour chiffrer la communication avec l'API. Cela offre deux fonctionnalités :

  • La connexion utilise l'épinglage des certificats pour prévenir les attaques MitM.*
  • Pour éviter l'usurpation de DNS, l'application n'utilise pas de DNS pour obtenir l'IP de l'API
*pas encore implémenté sur iOS

Pare-feu et sécurité des applications

L'application empêche les fuites et active la fonctionnalité d'interrupteur en s'intégrant au pare-feu du système (WFP sous Windows, nftables sous Linux et PF sous macOS). Apprenez-en plus sur notre page GitHub

Architecture de l'application

Pour limiter la quantité de code exécuté en tant qu'utilisateur privilégié, l'application est divisée en deux parties :

  • des interfaces non privilégiées (y compris une CLI)
  • un service système privilégié qui fonctionne en arrière-plan et supervise les tunnels et la sécurité des appareils.
Apprenez-en plus sur notre page GitHub

Serveurs

Dans tous nos serveurs, nous avons spécifié des configurations par défaut et des ordres de priorité pour le chiffrement afin de fournir le chiffrement le plus fort disponible pour chaque protocole de tunnel.

Serveurs OpenVPN

Nos serveurs OpenVPN présentent les caractéristiques suivantes :

  • Des certificats RSA de 4096 bits (avec SHA512) sont utilisés pour l'authentification du serveur.
  • Des paramètres Diffie-Hellman de 4096 bits sont utilisés pour l'échange de clés.
  • Le DHE est utilisé pour un secret de transmission parfait.
  • Une version minimale de TLS 1.2 est appliquée pour le canal de contrôle, avec TLS 1.3 disponible.
  • Pour les dernières versions du client OpenVPN, nous proposons les chiffres suivants, utilisés dans l'ordre indiqué (sauf si l'utilisateur applique une configuration différente) :

    • chiffres des canaux de contrôle : TLS_CHACHA20_POLY1305_SHA256, TLS_AES_256_GCM_SHA384
    • chiffres des canaux de données : CHACHA20-POLY1305, AES-256-GCM, AES-256-CBC.
  • La redéfinition des clés se fait toutes les 60 minutes.

Serveurs WireGuard

WireGuard est conservateur et ne propose qu'un seul ensemble de primitives cryptographiques. Consultez le site Web de WireGuard pour plus de détails.

Serveurs bridge

Nos passerelles facilitent la connexion à notre site web, à notre API et aux serveurs OpenVPN et WireGuard dans les endroits où l'accès à ces derniers est bloqué. Nos configurations font qu'il est difficile, voire impossible, d'accéder à quoi que ce soit de non chiffré par leur intermédiaire, de sorte que le type de chiffrement utilisé a peu d'importance.

Blocage de serveur

Pour nous protéger, protéger nos clients et assurer la qualité de notre service, nous nous réservons le droit de bloquer toute adresse IP ou port. Nous bloquons en permanence le trafic sortant vers les ports suivants :

  • port 25 - pour éviter le spam
  • ports 137, 138, 139, 445 - pour protéger les clients contre un problème de sécurité de Microsoft SMB/CIFS
  • ports 1900 et 2869 - pour protéger les clients contre les configurations UPnP malveillantes.