Mullvad fait auditer jusqu’à son code et publie tout

Mars 2026 : Mullvad fait auditer son implémentation WireGuard

Si Mullvad auditait déjà sa web app, ce n’est pas le seul chantier qu’ils soumettent à un regard extérieur. En mars 2026, c’est au tour de GotaTun de passer sur la table d’examen.

GotaTun, c’est quoi ? Mullvad a développé sa propre version de WireGuard®, le protocole VPN nouvelle génération qui a quasiment remplacé OpenVPN partout. Mais pourquoi réécrire quelque chose qui existe déjà ? Parce que l’ancienne implémentation qu’ils utilisaient, wireguard-go, en langage Go, leur causait des migraines depuis des années.

Plus de 85% de tous les crashs de leur app Android en provenaient. Ils ont donc réécrit le tout en Rust, le même langage que le reste de leur app, et ça a réglé le problème : le taux de crash est passé de 0,40% à 0,01% après le déploiement.
Sauf que du code nouveau, même bien écrit, ça se vérifie. D’où l’audit.

Le cabinet Assured, les mêmes qui avaient audité la web app, a passé le code en revue entre janvier et février 2026.
Aucune faille majeure n’a été détectée. Deux points mineurs ont toutefois été identifiés, tous les deux corrigés avant même la publication du rapport.
Le premier concernait la façon dont GotaTun générait certains identifiants de session, pas tout à fait conforme à la spécification officielle de WireGuard®, sans conséquence pratique réelle, mais corrigé quand même. Le second, un détail sur le formatage des paquets avant chiffrement, dans le même registre.
Le rapport complet est disponible en accès libre, ici. La réponse détaillée de Mullvad est sur leur GitHub.
Ce qui est notable, ce n’est pas l’absence de problèmes, c’est le fait que Mullvad audite aussi le code qu’ils écrivent eux-mêmes, pas seulement les interfaces visibles. La plupart des VPN se contentent d’auditer leur app. Eux vont jusqu’à l’implémentation du protocole.

Octobre 2025 : Mullvad fait auidité sa web app

Le VPN suédois Mullvad vient de terminer un nouvel audit de sécurité indépendant. Et comme d’habitude, il n’avait rien à cacher.
L’entreprise, connue pour son obsession de la confidentialité (au point de ne pas te demander ton e-mail pour t’inscrire), a fait passer sa web app, celle qui gère les paiements et les comptes, entre les mains d’Assured AB, un cabinet suédois spécialisé dans les tests de sécurité.

L’audit : du sérieux, sans chichi

Assured a passé au crible la web app de Mullvad, notamment :

• les échanges entre le site et les serveurs,
• la logique de paiement et d’authentification,
• la robustesse du code et des API.

Verdict : aucune faille critique. Quelques points mineurs corrigés dans la foulée.
Le rapport complet est d’ailleurs publié en libre accès comme toujours chez Mullvad.
En complément de cet audit, notre avis sur Mullvad VPN explique clairement ce que vaut le service dans la pratique.

En conclusion

Mullvad, c’est le réseau privé virtuel qui prouve au lieu de promettre.
Ce VPN sans logs sécurisé Suédois continue simplement d’appliquer sa philosophie : code open source, audits indépendants, aucune donnée stockée, et maintenant une web app passée au peigne fin.

Un travail propre, transparent et vérifiable.
Et à une époque où la moitié du web vous réclame un e-mail “pour votre bien”, un service qui prouve qu’on peut fonctionner sans pister les utilisateurs, franchement… ça fait un bien fou.