Mullvad et le problème de corrélation WireGuard : pourquoi même les meilleurs VPN ont leurs limites
En mai 2026, la communauté de la vie privée s'est enflammée après la découverte d'une limitation technique chez Mullvad VPN, l'un des fournisseurs les plus respectés du secteur.
Le problème : même avec Mullvad, il est possible de corréler les sessions d'un même utilisateur lors de changements de serveur, à cause de la façon dont les adresses IP sont attribuées dans leur infrastructure WireGuard.
TLDR : Mullvad est excellent, mais son attribution d'IP WireGuard crée un vecteur de corrélation de sessions que la plupart des utilisateurs ignorent. Si votre modèle de menace est sérieux, il existe une configuration plus complexe qui résout ce problème (et qui coûte plus cher que vous ne le pensez).
Le Problème, Expliqué Simplement
Chaque utilisateur Mullvad se voit attribuer une clé WireGuard privée et une IP de tunnel interne. Les serveurs Mullvad utilisent des plages d'IP publiques, et la position relative de votre IP de sortie (celle que les sites voient réellement) reste statistiquement stable dans la plage du serveur. Cela signifie qu'un observateur (un site web, un tracker, ou un adversaire) peut, avec une probabilité non négligeable, déduire que 2 sessions appartiennent au même utilisateur même après un changement de serveur.
Cela affaiblit directement la non-traçabilité : la garantie que vos sessions ne peuvent pas être liées entre elles. C'est crucial pour les journalistes, les lanceurs d'alerte, les chercheurs OSINT, ou toute personne avec un vrai modèle de menace.
Mullvad a reconnu le problème et recommande de se déconnecter complètement et de se reconnecter pour régénérer une nouvelle clé à chaque changement majeur de serveur. Pas idéal pour un usage quotidien fluide.
Les Options, du Simple à l'Avancé
1. Rester sur Mullvad (approche minimale)
Avantages : simplicité, fort camouflage parmi des milliers d'utilisateurs, politique no-log prouvée. Inconvénient : vous devez vous reconnecter fréquemment pour casser la corrélation. Correct pour un usage occasionnel ou si vous acceptez ce compromis.
2. Auto-hébergé avec un nœud de sortie
Au lieu d'un VPN partagé, vous montez votre propre sortie internet via un VPS. 3 options solides ici :
- Tailscale : excellente UX, très facile à configurer, mais propriétaire (utilisez Headscale si vous voulez un auto-hébergement complet)
- NetBird : entièrement open-source, interface moderne, ACL granulaires, bon pour l'auto-hébergement
- Nostr VPN : l'option la plus décentralisée. L'identité et la découverte de pairs se font via les clés Nostr (npub). Aucune entreprise tierce dans la couche de coordination.
Les 3 suivent le même principe : vous louez un VPS, le configurez comme nœud de sortie, et tous vos appareils routent à travers via WireGuard. Tout sort par l'IP de ce VPS. La philosophie d'auto-hébergement ici n'est pas loin de reconstruire une config à 200€/mois pour une fraction du coût (contrôle et réduction des coûts, même combat).
Contrôle total, aucun tiers dans la couche de coordination. L'inconvénient majeur : les IP de datacenter sont faciles à détecter, ce qui signifie captchas, blocages, et scores de risque élevés sur la plupart des services.
3. Auto-hébergé + proxy résidentiel
C'est la configuration difficile. Vous routez le trafic de votre VPS à travers un proxy résidentiel au lieu de laisser les sites voir une IP de fournisseur d'hébergement. Ils voient une IP résidentielle normale, idéalement en rotation. C'est à peu près la même mentalité faire-tourner-sa-propre-infra-sur-un-VPS-pas-cher, appliquée à l'infrastructure de vie privée au lieu des agents IA.
Moins de signalements, meilleur camouflage, rotation d'IP optionnelle. Ça marche. Je pense que cette config scale bien pour les modèles de menace individuels, même si je ne suis honnêtement pas sûr de sa tenue sous un ciblage adversaire soutenu (c'est un autre jeu).
Fournisseurs de proxy à regarder : Bright Data, Oxylabs, Decodo, IPRoyal, NetNut, et Webshare.io (prix compétitifs, bon point d'entrée).
Webshare.io : Une Option Budget Solide pour Cette Config
Webshare.io propose des proxies datacenter, des IP résidentielles statiques, et des IP résidentielles en rotation. Quelques raisons pour lesquelles ça colle ici : prix agressifs, support SOCKS5 (facile à câbler dans une config VPS), options résidentielles statiques et en rotation, et 10 proxies gratuits pour tester la config avant de s'engager.
Avec NetBird ou Nostr VPN + un VPS + Webshare en sortie, vous obtenez un mesh chiffré entre vos appareils, une sortie IP résidentielle (en rotation si vous voulez), et un contrôle total de l'infrastructure.
Comparaison des Options
Mullvad seul : excellent camouflage, résistance aux signalements moyenne, contrôle moyen, environ 5-6 EUR/mois, complexité quasi nulle.
VPS + Tailscale ou NetBird (sans proxy) : camouflage faible, mauvaise résistance aux signalements, excellent contrôle, 10-30 EUR/mois, complexité moyenne.
VPS + NetBird ou Nostr VPN + proxy résidentiel : bon camouflage, bonne résistance aux signalements, excellent contrôle, 50-300 EUR+/mois, complexité élevée.
Auto-hébergé + Webshare : bon camouflage, bonne résistance aux signalements, très bon contrôle, 40-250 EUR/mois, complexité moyenne à élevée.
La limitation de Mullvad est un bon rappel de la vérité fondamentale en matière de vie privée : tout n'est que compromis.
Mullvad reste excellent pour la plupart des gens grâce au camouflage naturel à grande échelle. Les configs auto-hébergées avec proxies résidentiels sont pour ceux qui veulent un contrôle maximal et sont prêts à le payer en argent et en complexité. Ajouter Webshare améliore significativement l'expérience en masquant l'origine datacenter.
Si votre modèle de menace est sérieux, la combo auto-hébergé + proxy résidentiel en rotation est l'une des approches les plus solides disponibles actuellement.
Sources
Cet article peut contenir des liens d'affiliation. Si vous cliquez dessus, je pourrais toucher une petite commission (ça ne vous coûte rien, et ça m'aide à continuer de pondre des articles de qualité tous les jours pour votre plaisir de lecture).