Récemment, une étude menée par un chercheur a mis en lumière une faiblesse inattendue dans la configuration de Mullvad, un VPN souvent valorisé pour sa politique strictement sans logs. La problématique concerne la manière dont la clé WireGuard utilisée par Mullvad génère les adresses IP de sortie, un aspect que peu d’utilisateurs considèrent en profondeur mais qui pourrait compromettre leur anonymat.
En effet, la clé WireGuard ne produit pas une IP de sortie aléatoire à chaque connexion, mais plutôt de façon déterministe. Le chercheur a testé 3650 clés publiques différentes et n’a obtenu que 284 combinaisons d’IPs distinctes, un chiffre bien inférieur aux milliards théoriques possibles. Cela signifie que, contrairement à ce qu’on pourrait croire, la variabilité des IPs est très limitée et peut permettre de relier plusieurs connexions à une même personne, même si celles-ci proviennent de pays différents.
De plus, cette génération d’IP de sortie se produit tous les 1 à 30 jours, sauf si l’utilisateur utilise le client kernel Linux de WireGuard, auquel cas aucune rotation n’est effectuée. La conséquence est qu’en utilisant cette configuration, l’adresse IP de sortie devient une empreinte permanente, facilitant la corrélation entre différentes connexions sur une longue période et augmentant les risques de traçage.
Le mécanisme de génération d’IP revient à une empreinte digitale pour l’utilisateur, ce qui peut réduire considérablement la confidentialité même avec un VPN réputé pour sa politique stricte.
Pour limiter ces risques, il est recommandé de ne pas jongler entre plusieurs serveurs avec la même clé, de forcer la rotation en se déconnectant régulièrement ou encore de régénérer manuellement la clé lorsque vous utilisez WireGuard en direct. En somme, quelques précautions simples peuvent éviter de transformer votre VPN en un outil de traçage involontaire.
Malgré cette faiblesse technique, Mullvad reste l’un des VPN les plus crédibles du marché, ayant prouvé en justice en avril 2023 qu’il ne conservait aucun log si cherché par la police. Toutefois, cet incident souligne la nécessité pour l’équipe de développer un mécanisme de rotation plus aléatoire, par exemple en utilisant un seed aléatoire à chaque renouvellement de clé, pour renforcer la confidentialité des utilisateurs.
En conclusion, si vous utilisez Mullvad avec WireGuard, il est crucial de respecter ces recommandations afin de préserver votre anonymat : éviter de changer de serveur avec la même clé, effectuer des déconnexions régulières, ou régénérer votre clé pour couvrir vos traces. La transparence sur cette faiblesse technique doit en tout cas pousser les développeurs à améliorer rapidement leur système.
