Mullvad VPN confronté à une faille de fingerprinting
Image d'illustration. MullvadMullvad / PR-ADN
Une vulnérabilité technique dans la gestion des adresses IP fragilise temporairement la confidentialité du VPN.
Tl;dr
- Une faille de fingerprinting a été découverte chez Mullvad VPN, remettant en cause une partie de sa réputation en matière de confidentialité.
- Le problème vient de l’attribution des adresses IP via WireGuard, qui peut permettre de relier des sessions d’un même utilisateur entre différents serveurs.
- Mullvad a réagi rapidement avec des recommandations temporaires et prépare un correctif serveur sans mise à jour côté utilisateur.
Une faille inédite secoue la réputation de Mullvad VPN
Depuis le 15 mai 2026, l’univers des VPN retient son souffle : une vulnérabilité de fingerprinting découverte chez Mullvad VPN met à mal la confiance d’une partie des utilisateurs. Pourtant considérée comme l’un des bastions de la sécurité et de la confidentialité en ligne, la solution suédoise se retrouve confrontée à une problématique rare dans le secteur.
L’origine du problème : architecture et assignation d’IP
C’est un chercheur indépendant qui a levé le lièvre, constatant que lors du passage d’un serveur à un autre, l’adresse IP de sortie attribuée à l’utilisateur se retrouve presque toujours à la même position relative dans la plage d’adresses du nouveau serveur. Le mécanisme repose sur le fonctionnement interne du protocole WireGuard : chaque appareil reçoit une clé unique liée à une adresse tunnel, et cette dernière détermine sa position dans la plage d’IP disponibles sur chaque serveur. Résultat : si votre position est, mettons, à « 40 % » du premier serveur, elle sera similaire sur le suivant, rendant possible pour un site web averti de faire le lien entre vos activités sur différents serveurs.
Quels risques pour les utilisateurs concernés ?
À ce stade, il est crucial de rappeler que cette faille ne révèle en aucun cas l’identité réelle des usagers. Elle cible surtout ceux qui changent fréquemment de serveur dans l’espoir de séparer leurs différentes sessions et brouiller les pistes. Pour eux, le risque réside précisément dans la capacité d’un tiers à relier ces sessions entre elles grâce au schéma récurrent d’attribution d’IP.
Voici les recommandations actuelles pour les utilisateurs particulièrement soucieux :
- Déconnectez-vous puis reconnectez-vous sur l’application Mullvad VPN.
- Rejoignez alors un nouveau serveur afin que votre clé WireGuard soit régénérée.
Ce geste rompt le schéma traçable et restaure une certaine étanchéité entre vos activités.
Mullvad réagit vite et joue la transparence
Dès la divulgation publique de cette faiblesse technique, inhabituelle chez un acteur aussi reconnu, l’équipe Mullvad VPN a publié une analyse complète sur son blog. Un correctif est déjà en cours de test ; son déploiement côté serveur est prévu sous peu et ne nécessitera aucune mise à jour manuelle des applications par les abonnés. Pour suivre l’évolution du correctif ou obtenir davantage d’informations, une page dédiée a été ouverte par l’éditeur.
En définitive, même si cet épisode écorne momentanément l’image d’excellence associée à Mullvad VPN, sa gestion rapide et transparente rassure quant à sa volonté de préserver au mieux la vie privée en ligne.