Le 15 janvier 2026, Mullvad, l’un des VPN Open Source les plus respectés pour sa politique stricte de non-journalisation, désactive définitivement le support OpenVPN. Cette décision, annoncée été 2025 et appliquée progressivement depuis décembre 2025, marque la fin d’une transition amorcée il y a près de 8 ans avec l’adoption de WireGuard®.

Si vous utilisez encore ce protocole, il est temps de planifier la transition.

Pourquoi ce choix ?

OpenVPN a longtemps été le protocole VPN de référence, apprécié pour sa robustesse et son large support. Mais Mullvad mise désormais tout sur WireGuard®, pour plusieurs raisons :

• Performance : WireGuard® est plus rapide et plus léger.
• Simplicité : configuration plus facile, code plus court et auditable.
• Compatibilité : les applications Mullvad intègrent WireGuard par défaut, avec des notifications claires lorsqu’on utilise encore OpenVPN.

En clair, Mullvad veut concentrer ses efforts sur un protocole nouvelle génération, mieux adapté aux usages actuels.

Si vous souhaitez une analyse complète de ses performances avec WireGuard® et une évaluation détaillée de son fonctionnement réel, consultez notre avis sur Mullvad VPN, où nous testons le service dans des conditions réelles.

Une transition préparée, pas un sacrifice

Contrairement à ce qu’un retrait brutal de protocole pourrait laisser penser, Mullvad a méthodiquement compensé les avantages historiques d’OpenVPN avant de le supprimer. Le fournisseur a développé deux solutions spécifiques pour maintenir les fonctionnalités critiques :

• L’obfuscation du trafic WireGuard® via QUIC et LWO pour contourner les blocages et la censure
• UDP-over-TCP et Shadowsocks pour imiter le comportement d’OpenVPN dans les environnements restrictifs
• DAITA (Defense Against Traffic Analysis) pour résister à l’analyse de trafic avancée 

Mullvad affirme que WireGuard® avec ces méthodes d’obfuscation offre « le même niveau de camouflage qu’OpenVPN avec une sécurité supérieure ». En revanche, le fournisseur précise que l’activation de l’obfuscation peut dégrader les performances (et c’est clairement le cas avec DAITA d’après nos tests de vitesse).
La suppression d’OpenVPN n’est donc pas un abandon de fonctionnalités anti-censure, mais une simplification technique rendue possible par le déploiement de ces alternatives.

Concrètement, que faire ?

Si vous êtes utilisateur de Mullvad et encore sur OpenVPN :

• Passez à WireGuard® dès maintenant via l’application Mullvad (c’est automatique) ou en configurant votre routeur.
• Testez vos flux et scripts si vous aviez intégré OpenVPN dans vos automatisations.
• Vérifiez la compatibilité de votre matériel : sur ordinateur et mobile, WireGuard est déjà intégré sans problème. Mais si vous utilisez un routeur ancien ou un firmware non mis à jour, il se peut que WireGuard® ne soit pas pris en charge. Dans ce cas, une mise à jour ou un matériel plus récent peut être nécessaire.

Mullvad propose des guides pratiques pour accompagner cette migration.

Mullvad, seul sur ce coup là

A ce jour, aucun autre fournisseur VPN n’a suivi Mullvad dans l’abandon d’OpenVPN. Certains ont même renforcé leur support OpenVPN en 2025 en ajoutant les modes UDP et TCP, tandis que NordVPN, Proton VPN et Surfshark maintiennent une offre multi-protocole combinant OpenVPN et WireGuard®.
Cette position isolée reflète la philosophie toujours aussi radicale de Mullvad : privilégier la simplification technique et la sécurité maximale, quitte à perdre des utilisateurs attachés à OpenVPN. Pour un fournisseur qui refuse déjà les paiements récurrents et les partenariats affiliés agressifs, c’est une cohérence assumée.

Source : Blog officiel de Mullvad

Notre test pratique : résultats mitigés

Nous avons testé la création d’un compte hash le 23 décembre 2025, sur une machine vierge de toute installation Windscribe.

Création du compte : ✅ Fonctionnel
L’inscription via windscribe.com/signup s’est déroulée sans problème. Le hash généré apparaît clairement dans le dashboard, avec la mention « ACCOUNT HASH ».

Connexion : ❌ Non fonctionnel

Tentatives de connexion sur l’interface web et l’application Windows : échec dans les deux cas. Message d’erreur demandant de « réinitialiser le mot de passe », ce qui suggère que le système d’authentification ne reconnaît pas encore le hash comme méthode de login valide.

Deux hypothèses probables :

• Rollout progressif : Annonce le 22 décembre, test le 23, le déploiement côté serveur n’est peut-être pas finalisé
• Limitation non-documentée : Certaines conditions (version d’app, région, type de compte) pourraient être nécessaires

Nous mettrons à jour cet article dès que le système sera pleinement opérationnel.

Ce que le hash change (et ce qu’il ne change pas)

Ce que le hash élimine

• Phishing sur email
• Sans email associé, impossible de recevoir des tentatives de récupération de compte frauduleuses.
• Réutilisation de mot de passe
• Un hash de 32 caractères haute entropie élimine ce risque classique.
• Fuites de bases de données
• En cas de breach, aucun email n’est exposé. Le hash seul ne révèle aucune information personnelle.
• Lien identité/compte
• Vous détachez votre usage VPN de votre identité numérique habituelle.

Ce que le hash ne change PAS

• Tracking de la bande passante
• Windscribe stocke pour tous les comptes (hash ou standard) :
• Total des données transférées sur 30 jours
• Timestamp de dernière activité
• Nombre de connexions parallèles

Pourquoi ? Leur modèle de VPN gratuit impose des quotas (2GB ou 10GB/mois). Sans mesure de consommation, impossible de faire respecter ces limites.
Cette pratique est transparente et documentée dans leur Privacy Policy. Windscribe ne l’a jamais caché.

Juridiction canadienne
Le hash ne change rien au fait que Windscribe opère depuis le Canada, membre des 5 Eyes.

Comparaison technique : Mullvad vs Windscribe

La différence essentielle

Mullvad a conçu l’intégralité de son infrastructure pour maximiser la confidentialité. Pas de tracking de bandwidth car tous les utilisateurs paient le même prix (5€/mois) sans limitation. Le numéro de compte aléatoire existe depuis 2009, bien avant que ce soit tendance.
Windscribe a ajouté une option de connexion anonyme à son service existant. Le tracking de bandwidth reste nécessaire pour gérer les quotas du modèle freemium.
Il s’agit là de deux philosophies différentes de VPN sans engagement, adaptées à deux business models différents.

Pour qui le hash login est-il pertinent ?

✅ Le hash Windscribe a du sens si :

• Vous voulez détacher votre compte VPN de votre email principal
• Vous utilisez déjà un gestionnaire de mots de passe et gérez des secrets complexes
• Vous testez le freemium (10GB/mois) sans lien d’identité
• Vous payez en crypto et voulez minimiser les traces

❌Le hash n’a pas de sens si :

• Vous oubliez régulièrement vos mots de passe (hash perdu = compte perdu)
• Vous cherchez un « VPN anonyme » (le hash ne change pas le tracking bandwidth/timestamps/juridiction)
• Vous voulez le maximum de confidentialité → Mullvad est plus adapté

✅ Mullvad a du sens si :

• Vous maximisez la confidentialité dans un contexte sensible (journalisme, activisme)
• Vous refusez toute limitation de data (unlimited pour tous, 5€/mois)
• Vous voulez l’infrastructure la plus auditée (Cure53, VerSprite)
• Vous pouvez payer en cash si nécessaire

❌ Mullvad n’a pas de sens si :

• Vous voulez tester gratuitement (Mullvad = payant uniquement)
• Vous voulez débloquer Netflix/Disney+ (Mullvad ne se positionne pas sur le streaming)

Pour conclure

Notre test 24h après l’annonce n’a pas été concluant : ni l’interface web ni l’application n’ont accepté le hash comme méthode de connexion. Probable rollout progressif ou bug de déploiement initial. Nous mettrons à jour cet article dès que le système sera pleinement opérationnel.
Au-delà de l’aspect technique, ce hash login illustre deux approches de la confidentialité dans l’industrie VPN : Mullvad a construit son infrastructure entière autour de l’anonymat depuis 2009, Windscribe ajoute une option de connexion anonyme à son modèle freemium existant. Les deux sont transparents sur leurs pratiques. Aucun ne survend ce qu’un VPN peut réellement offrir.
Rappel essentiel : Un VPN protège vos données contre la surveillance de masse, pas contre un adversaire déterminé. L’anonymat complet n’existe pas avec un VPN seul.

IVPN vient d’annoncer l’intégration de v2ray sur l’ensemble de ses plateformes. Cette fonctionnalité d’obfuscation permet de rendre le trafic VPN beaucoup plus difficile à identifier, en le faisant ressembler à du trafic HTTPS standard, une technique principalement utilisée pour contourner la censure internet dans les pays où les VPN sont activement bloqués. Avec la montée des restrictions sur internet en Chine, en Russie ou en Iran, l’obfuscation devient un enjeu technique de plus en plus documenté par les fournisseurs VPN.

Qu’est-ce que v2ray ?

v2ray n’est pas un protocole VPN, mais une plateforme de proxy et de transport réseau, utilisée ici comme couche d’obfuscation. Elle permet d’encapsuler le trafic VPN dans des flux chiffrés qui ressemblent à du trafic HTTPS classique.

Contrairement à WireGuard® ou OpenVPN, qui sont facilement identifiables par leur signature réseau, une connexion VPN obfusquée via v2ray est beaucoup plus difficile à classifier automatiquement par les systèmes de surveillance. Les autorités ou les FAI peuvent difficilement distinguer ce type de trafic d’une navigation HTTPS classique, sans recourir à des méthodes d’analyse plus avancées.

Cette approche est particulièrement utile dans les pays où le Deep Packet Inspection (DPI) est utilisé pour détecter et bloquer les protocoles VPN standards. Le DPI analyse les paquets réseau et leurs caractéristiques : avec une obfuscation basée sur v2ray, les signatures VPN classiques disparaissent, même si certaines métadonnées réseau restent observables.

Comment IVPN implémente v2ray

L’implémentation d’IVPN rend v2ray disponible sur toutes les plateformes : Windows, macOS, Linux, iOS et Android. La fonctionnalité s’active manuellement dans les paramètres de connexion, ce qui signifie qu’elle n’est pas activée par défaut.

Concrètement, v2ray est utilisé comme couche de transport obfusquée, au-dessus du tunnel VPN classique. Le protocole VPN sous-jacent reste inchangé, mais son trafic est encapsulé afin de réduire sa détectabilité.

Ce choix s’explique par un compromis : l’obfuscation ajoute une couche de traitement supplémentaire, ce qui peut légèrement réduire les performances. Pour les utilisateurs en Europe ou en Amérique du Nord, où les VPN ne sont pas bloqués, cette fonctionnalité est inutile au quotidien.

IVPN fait partie des VPN certifiés sans log par audit indépendant, ce qui renforce la cohérence de leur démarche : transparence technique et respect de la vie privée vont de pair. L’ajout de v2ray s’inscrit dans cette logique, en offrant une solution pour les utilisateurs confrontés à la censure.

Cas d’usage réels de v2ray

Chine : contourner le Great Firewall

Le grand pare-feu chinois bloque activement les protocoles VPN standards. WireGuard® et OpenVPN sont généralement détectés et bloqués rapidement. L’obfuscation via v2ray permet de réduire significativement la probabilité de détection, en faisant passer le trafic pour du HTTPS classique.
Attention toutefois : l’obfuscation ne rend pas une connexion invisible. Elle améliore les chances de fonctionnement, mais ne garantit ni une stabilité permanente ni une absence totale de blocage. Les autorités chinoises adaptent régulièrement leurs méthodes de détection.

Russie et Iran : échapper au DPI

En Russie et en Iran, l’inspection approfondie des paquets de données est utilisée pour identifier les connexions VPN. Les protocoles comme WireGuard®, même s’ils sont rapides et sécurisés, restent facilement reconnaissables par leur signature réseau. L’obfuscation via v2ray permet d’encapsuler ce trafic dans du TLS, ce qui complique fortement son identification automatique, sans pour autant supprimer toute analyse possible des métadonnées.

France et Europe : un intérêt plus que limité

Pour la grande majorité des utilisateurs français, v2ray n’apporte aucun avantage pratique. Les VPN ne sont pas bloqués en Europe, et l’obfuscation ajoute de la complexité sans bénéfice réel.

L’exception concerne les voyageurs qui se rendent régulièrement dans des pays censurés, ou ceux qui anticipent une évolution du cadre réglementaire européen. Mais dans l’usage quotidien, WireGuard® ou OpenVPN suffisent largement.

Comparaison avec d’autres approches d’obfuscation

v2ray n’est pas la seule solution d’obfuscation disponible sur le marché. Plusieurs fournisseurs ont développé leurs propres approches.

Mullvad et l’obfuscation QUIC

Mullvad a récemment introduit une approche basée sur des transports réseau modernes inspirés de QUIC, un protocole utilisé par HTTP/3. L’objectif est similaire à celui de v2ray : rendre le trafic VPN moins identifiable en l’intégrant dans des schémas de transport courants du web moderne. Les mécanismes techniques diffèrent, mais la finalité reste comparable.

Shadowsocks

Shadowsocks est une alternative encore répandue en Chine. Développé initialement pour contourner le grand pare-feu, il utilise également des techniques d’obfuscation pour masquer le trafic. Shadowsocks est souvent considéré comme plus léger que v2ray, mais moins flexible en termes de configuration et d’adaptation aux environnements de censure évolutifs.

obfs4 (Tor)

Le réseau Tor utilise obfs4 pour obfusquer le trafic de ses utilisateurs. Cette approche est spécifiquement conçue pour échapper aux systèmes de censure, mais elle est principalement utilisée dans le cadre de Tor, pas des VPN commerciaux.

Chaque approche a ses forces et ses faiblesses. Il n’y a pas de « meilleur » protocole d’obfuscation : tout dépend du contexte d’usage et des contraintes techniques locales.

Conclusion

v2ray est un outil de niche, conçu pour les utilisateurs confrontés à la censure active. IVPN poursuit sa stratégie de transparence et d’innovation technique en intégrant cette fonctionnalité, sans en faire un argument marketing exagéré.

Pour les utilisateurs européens, v2ray restera probablement une option méconnue. Mais pour ceux qui voyagent en Chine, en Russie ou en Iran, cette fonctionnalité peut faire la différence entre une connexion bloquée et un accès fonctionnel à internet.