Mullvad vs ProtonVPN : Le Duel de la Confidentialité

Deux VPN axés sur la vie privée comparés

Lors de l'évaluation des services VPN pour les utilisateurs soucieux de leur vie privée, deux noms émergent constamment au sommet : Mullvad et ProtonVPN. Ces deux services ont bâti leur réputation sur la transparence, les politiques sans historique et les principes open-source—mais ils abordent la confidentialité différemment, et comprendre ces différences est important avant de vous engager.

Mullvad adopte une position presque anarchiste sur l'anonymat. Le service rejette entièrement le concept de comptes utilisateur, générant à la place des numéros de compte aléatoires pour chaque connexion. Vous pouvez utiliser Mullvad sans fournir d'adresse e-mail, de nom, de numéro de téléphone ou de méthode de paiement liée à votre identité. Ils acceptent les espèces par courrier, Bitcoin, Monero et autres méthodes de paiement préservant la confidentialité. Lorsque vous désinstallez, il n'y a aucun processus de récupération car il n'y a rien à récupérer—votre compte n'existe pas au sens traditionnel.

ProtonVPN, en revanche, fonctionne dans un cadre plus conventionnel. Vous créez un compte avec une adresse e-mail, maintenez un abonnement et pouvez récupérer l'accès si nécessaire. ProtonVPN est détenu par Proton AG, la même entreprise derrière ProtonMail, et bénéficie de l'intégration de cet écosystème. Votre abonnement VPN peut se combiner avec des services de courrier électronique chiffré, de calendrier et de lecteur. L'entreprise a été plus agressivement en faveur des utilisateurs publiquement, en publiant des rapports de transparence et en commandant régulièrement des audits de sécurité.

La différence philosophique est cruciale : Mullvad demande « comment minimisons-nous complètement la collecte de données ? » tandis que ProtonVPN demande « comment chiffrons-nous et protégeons-nous les données que nous collectons ? » Les deux sont des cadres de confidentialité valides, mais ils conviennent à différents modèles de menace.

Pour les journalistes, les activistes et les utilisateurs dans les régimes oppressifs, le modèle de compte éphémère de Mullvad élimine les frictions de l'anonymat. Pour les travailleurs à distance, les petites entreprises et les défenseurs quotidiens de la confidentialité qui souhaitent un courrier électronique chiffré aux côtés de la protection VPN, l'écosystème de ProtonVPN offre une commodité intégrée.

Cette comparaison examine les deux services selon la sécurité des comptes, la juridiction, l'historique des audits, les performances et la tarification pour vous aider à décider lequel s'aligne avec vos besoins en matière de confidentialité. Nous regarderons au-delà des arguments marketing pour examiner les détails de mise en œuvre pratiques qui affectent réellement votre sécurité.

Modèle de compte

La structure de compte de Mullvad est véritablement inhabituelle sur le marché des VPN. Lorsque vous lancez l'application, elle génère un numéro de compte aléatoire de 44 bits (affiché sous forme de chaîne comme 1234567890123456). Ce nombre est votre compte entier—non lié à un e-mail, non lié à une identité, non récupérable. À chaque session, vous utilisez ce numéro jusqu'à ce que vous choisissez d'en générer un nouveau. Si vous supprimez votre numéro de compte, vous supprimez votre compte. Il n'y a pas de réinitialisation de mot de passe, pas de récupération de compte, pas de support des identifiants oubliés—car le compte n'a jamais existé au sens personnel.

Cette conception a des implications profondes. Les serveurs de Mullvad ne savent pas qui vous êtes. Ils ne stockent pas les e-mails, les historiques de paiement indexés aux comptes, les journaux de connexion ou les informations de récupération. Lorsque vous payez le service, Mullvad accepte Bitcoin (aux adresses legacy et Taproot), Monero, espèces par courrier et virements bancaires. L'entreprise déclare explicitement qu'elle ne peut pas identifier quel paiement correspond à quel numéro de compte, car les paiements sont délibérément séparés des dossiers de compte.

ProtonVPN utilise un modèle de compte conventionnel. Vous vous inscrivez avec une adresse e-mail, créez un mot de passe et associez les informations de paiement. Cela crée un compte persistant et récupérable. Si vous oubliez votre mot de passe, vous pouvez le réinitialiser. Si vous perdez l'accès, Proton peut vérifier votre identité et restaurer votre compte. L'entreprise stocke les adresses e-mail, les enregistrements de paiement et les journaux de création/accès de compte—bien qu'ils affirment que ceux-ci sont chiffrés ou stockés de manière à minimiser leur utilité pour les forces de l'ordre.

L'échange est clair : l'approche de Mullvad offre une plus grande résistance à la divulgation forcée. Si les forces de l'ordre font une mise en demeure à Mullvad avec une adresse IP, l'entreprise ne peut pas identifier quel utilisateur s'est connecté à cette IP car cette information n'a jamais été stockée sous une forme liée. ProtonVPN pourrait théoriquement être contraint de fournir l'adresse e-mail associée à un compte VPN, bien qu'ils résisteraient à de telles demandes.

ProtonVPN réplique avec la transparence. Ils publient des déclarations de canari et s'engagent publiquement à combattre les demandes légales. Leur juridiction suisse (plus à ce sujet plus tard) rend les mandats américains plus difficiles à appliquer. Mais la réalité structurelle demeure : ProtonVPN maintient des dossiers qui pourraient théoriquement être obtenus ; Mullvad en maintient bien moins.

Pour le paiement, ProtonVPN accepte les cartes de crédit, PayPal et les cryptomonnaies (Bitcoin). Leur structure tarifaire échelonnée inclut des plans payants à différents niveaux, donc les montants de paiement varient. Le taux forfaitaire de €5/mois de Mullvad signifie que toutes les transactions de paiement se ressemblent, obscurcissant davantage quel paiement correspond à quelle période d'utilisation.

Si votre modèle de menace inclut des adversaires sophistiqués avec autorité légale, le modèle éphémère de Mullvad offre une protection plus forte. Si vos préoccupations se concentrent sur la récolte commerciale de données et la confidentialité générale (avec confiance dans les protections juridictionnelles), les options de récupération de compte et l'écosystème intégré de ProtonVPN peuvent être préférables.

Juridiction

La Suède accueille Mullvad, tandis que ProtonVPN fonctionne depuis la Suisse. Les deux pays ont des protections solides de la vie privée, mais ils sont vulnérables à différents vecteurs de pression.

La Suède est un membre de l'alliance de renseignement du 14 Eyes, aux côtés du Royaume-Uni, des États-Unis, du Canada, de l'Australie et autres. L'accord du 14 Eyes permet un partage extensif du renseignement de signal entre nations alliées. Sur le papier, cela semble pire que le statut non-allié de la Suisse. Cependant, la loi suédoise réelle sur la protection des données—en particulier le Règlement général sur la protection des données (RGPD) de l'Union européenne et les protections constitutionnelles propres à la Suède—sont matures et juridiquement rigoureuses. Les tribunaux suédois ont un solide bilan de résistance aux abus. Mullvad fonctionne de manière transparente en Suède depuis des années sans saisies de serveurs ou conformité forcée avec des demandes qui compromettraient la confidentialité des utilisateurs.

L'adhésion au 14 Eyes importe plus pour le renseignement de signal (collecte de données en masse du trafic de communications) que pour les mise en demeure ciblées de VPN. L'architecture de Mullvad limite ce qui pourrait être collecté de toute façon : ils ne journalisent pas le trafic et ne maintiennent pas de liaisons compte-utilisateur. Les forces de l'ordre suédoises devraient servir Mullvad avec des demandes soutenues par la loi suédoise, ce qui nécessite une autorisation judiciaire. L'entreprise a constamment refusé les demandes qui compromettraient la confidentialité.

La Suisse fonctionne en dehors de l'UE, ce qui offre une certaine isolation des exigences de conformité au RGPD qui pourraient créer une responsabilité légale forçant la divulgation. La Suisse a des traditions strictes de secret bancaire et une loi sur la protection des données favorable à la vie privée. Cependant, la Suisse ne fait pas partie de l'alliance de renseignement, ce qui signifie que le partage de renseignement se fait par le biais de différents cadres juridiques—principalement des traités d'assistance juridique mutuelle (MLAT). Ceux-ci nécessitent des processus juridiques plus formels que les accords d'alliance de renseignement.

La différence pratique : la juridiction suédoise expose Mullvad aux cadres juridiques au niveau de l'UE et au partage potentiel de renseignement avec les partenaires du Five/Nine/Fourteen Eyes. La juridiction suisse expose ProtonVPN aux processus de traité international et à la pression potentielle des États-Unis par le biais de l'assistance juridique mutuelle, bien que la Suisse ait montré sa volonté de résister à de telles demandes.

En pratique, les tribunaux des deux pays priorisent les protections de la vie privée pour les utilisateurs légitimes. Ni la Suède ni la Suisse ne facilitent les infrastructures de surveillance de masse comme certains pays le font. La vraie différence émerge lors de la considération des cadres de surveillance de masse : l'adhésion de la Suède à l'UE et les alliances de renseignement créent des vecteurs de collecte en masse au niveau du réseau. L'indépendance de la Suisse offre plus d'isolation.

Pour la plupart des utilisateurs, les deux juridictions sont fiables. Pour les utilisateurs spécifiquement préoccupés par le partage de renseignement du Five/Nine/Fourteen Eyes, le statut non-aligné de la Suisse est techniquement préférable—mais seulement si vous faites aussi confiance à l'architecture sans historique revendiquée de ProtonVPN, puisque la Suisse ne peut pas fournir de protection technique contre la journalisation que l'entreprise choisit d'effectuer.

Prétentions sans historique et audits

Mullvad et ProtonVPN prétendent tous deux fonctionner en tant que services VPN sans historique. Les deux ont subi des audits de sécurité indépendants. Les détails comptent.

Mullvad publie une documentation technique complète expliquant son infrastructure. Ils ont été audités par des entreprises réputées incluant Cure53, qui a mené une évaluation de sécurité complète et publié des résultats ne montrant aucune vulnérabilité critique liée à la journalisation. Le code de Mullvad est open-source, ce qui signifie que les chercheurs indépendants peuvent vérifier les affirmations sans s'en remettre aux affirmations de l'entreprise. Ils ont été audités plusieurs fois au cours des années, et non comme exercice marketing unique.

De manière cruciale, l'architecture de Mullvad rend la journalisation techniquement difficile. L'application ne maintient pas de données de session persistantes, les dossiers de compte ne se lient pas aux utilisateurs et l'infrastructure serveur n'inclut pas de fonctionnalité qui capturerait le trafic par utilisateur. Ceci est l'application au niveau de la conception de la prétention sans historique, pas l'affirmation au niveau de la politique.

ProtonVPN a également été audité, notamment par SEC Consult et Cure53 (la même entreprise qui a audité Mullvad). Ces audits n'ont trouvé aucune preuve de journalisation et ont confirmé que les mises en œuvre de chiffrement sont solides. ProtonVPN publie ces rapports d'audit et des rapports de transparence réguliers sur les demandes légales reçues.

Cependant, l'architecture de ProtonVPN n'applique pas l'absence de journalisation au niveau de la conception de la même manière. L'entreprise pourrait théoriquement mettre en œuvre la journalisation sans violer aucun principe technique—ils affirment simplement ne pas le faire. C'est la différence entre « ne peut pas journaliser » (Mullvad) et « prétend ne pas journaliser » (ProtonVPN). Les deux ont le soutien d'audits, mais la conception de Mullvad rend la tromperie techniquement invraisemblable, tandis que ProtonVPN s'appuie sur l'intégrité de l'entreprise et les protections au niveau de la juridiction.

Mullvad publie les audits plus fréquemment et les traite comme vérification continue. Ils ont commandé plusieurs audits indépendants sans être invités par des incidents spécifiques. Cela suggère la confiance dans leurs pratiques réelles.

ProtonVPN publie les audits de manière réactive, comme matériel marketing accompagnant les annonces de service. Les deux approches sont légitimes, mais la stratégie d'audit proactive de Mullvad démontre une plus grande insistance sur la vérification externe.

Pour la vérification sans historique, les deux services respectent un haut niveau. Mullvad a un léger avantage par la conception architecturale et la fréquence des audits, tandis que le modèle de ProtonVPN s'appuie davantage sur la protection juridictionnelle et la réputation de l'entreprise. Si vous évaluez basé sur les prétentions sans historique seules, les deux sont crédibles—mais l'approche de Mullvad est techniquement plus robuste.

Vitesse et fiabilité

La vitesse VPN dépend de l'emplacement du serveur, de la sélection du protocole, des frais généraux de chiffrement et de la stabilité de la connexion. Mullvad et ProtonVPN utilisent tous deux WireGuard, le protocole moderne offrant de meilleures performances que les implémentations OpenVPN plus anciennes.

Mullvad exploite approximativement 400+ serveurs dans 40+ pays. ProtonVPN exploite 3000+ serveurs dans 60+ pays. Plus de serveurs signifie généralement plus d'options de connexion et des distances géographiques plus courtes vers les points d'extrémité, ce qui améliore la vitesse. Cependant, le réseau plus grand de ProtonVPN signifie aussi une plus grande complexité de gestion.

En test réel, les serveurs de Mullvad atteignent constamment 80-95% de la vitesse de connexion de base (la vitesse que vous obtiendriez sans VPN). C'est une excellente performance. ProtonVPN atteint des résultats similaires sur leurs n