Un VPN peut-il vraiment garantir votre confidentialité en ligne ? Mullvad et Obscura pensent que les belles promesses ne suffisent plus et proposent une alternative inédite.

Ces deux VPN s’unissent pour corriger le plus gros défaut des fournisseurs de réseau privé virtuel © jijomathaidesigners / Shutterstock
Ces deux VPN s’unissent pour corriger le plus gros défaut des fournisseurs de réseau privé virtuel © jijomathaidesigners / Shutterstock

On vous l’a dit et répété : un VPN chiffre votre trafic, masque votre adresse IP, et promet de protéger votre confidentialité. Du moins, en théorie. Car en pratique, les fournisseurs grand public, en tant qu’intermédiaires, peuvent techniquement voir qui vous êtes et ce que vous faites. Toute promesse de respect de la vie privée repose donc sur leur bonne foi, si tant est qu’ils respectent bien leur politique « no-log ». Ce qui, l’histoire l’a déjà prouvé, n’est pas toujours chose acquise. Un problème auquel Mullvad et Obscura – tout nouveau dans le paysage VPN – ont décidé de s’attaquer en s’associant, de manière à proposer un modèle basé non plus sur la confiance, mais sur des garanties techniques vérifiables.

Mullvad et Obscura : naissance d'un VPN à double relais indépendant

Plutôt que de multiplier les engagements sans preuve tangible, Mullvad et Obscura ont choisi une autre approche : faire en sorte qu’aucun des deux services ne puisse, à lui seul, lier une identité à une activité en ligne. De leur partenariat est né un système à double relais indépendant, techniquement conçu pour empêcher un fournisseur de centraliser l’intégralité des données de connexion.

Concrètement, Obscura sert de premier point de connexion. Il masque l’adresse IP d’origine avant de transmettre le trafic, chiffré, à un serveur Mullvad, qui agit comme point de sortie vers le réseau Internet public. En bref, Obscura sait qui se connecte, mais ne voit pas la destination de la connexion. Mullvad voit l'adresse ciblée par le trafic, mais ignore qui en est à l’origine.

Si ce principe vous semble familier, c’est que ce type de modèle n’est pas tout à fait inédit. Apple iCloud Private Relay fonctionne sur un principe similaire, mais reste limité à Safari. Plus largement, l’IETF (Internet Engineering Task Force) travaille à la standardisation de ce type d’architecture via le projet MASQUE, qui exploite HTTP/3 pour créer des tunnels sécurisés et multiplexés. Mullvad et Obscura en proposent donc ici une déclinaison ouverte et indépendante.

Dans le modèle pensé par Mullvad et Obscura, le trafic entre par un serveur Obscura et sort par un serveur Mullvad. De la sorte, ni l'un, ni l'autre n'ont à la fois connaissance de l'identité de l'internaute et de la destination de son trafic © Obscura
Dans le modèle pensé par Mullvad et Obscura, le trafic entre par un serveur Obscura et sort par un serveur Mullvad. De la sorte, ni l'un, ni l'autre n'ont à la fois connaissance de l'identité de l'internaute et de la destination de son trafic © Obscura

Point extrêmement important de ce modèle dit 2-Party Relay : le partenariat fonctionne uniquement dans le sens Obscura > Mullvad. En clair, Obscura agit toujours comme premier relais, tandis que les serveurs Mullvad sont exclusivement configurés comme points de sortie.

De deux choses l’une : cette asymétrie doit pouvoir empêcher tout risque de corrélation entre l’internaute et sa navigation. Mais elle implique aussi que pour pouvoir en profiter, c’est auprès d’Obscura qu’il faut souscrire son abonnement, et non de Mullvad.

Un anonymat vérifiable, pas une promesse marketing

Naturellement, cette séparation des rôles ne serait qu’un concept abstrait sans garanties techniques solides. Mullvad et Obscura ont donc mis en place plusieurs mécanismes permettant aux internautes de vérifier par eux-mêmes qu’aucune des deux entités ne peut accéder à l’ensemble des informations de connexion.

Premier point de contrôle : la clé publique WireGuard. Chaque serveur de sortie Mullvad possède une clé publique que l’on peut consulter directement dans l’application Obscura. Les utilisateurs et utilisatrices peuvent ainsi la comparer avec celles publiées par Mullvad pour s’assurer que leur trafic passe bien par un relais légitime.

Deuxième garantie : une application open source et des builds reproductibles. Le code d’Obscura est disponible sur GitHub, ce qui permet à n’importe qui d’analyser son fonctionnement et de s’assurer qu’aucun élément suspect n’est intégré au client VPN. À terme, des builds reproductibles seront proposés, permettant de vérifier que le programme téléchargé correspond bien au code publié.

Vers un nouveau standard pour l’industrie des VPN ?

Aussi intéressant soit-il d’un point de vue technique, ce partenariat soulève surtout une question de fond : si un VPN peut garantir la confidentialité sans exiger de ses abonnés une confiance aveugle, pourquoi les autres n’en font-ils pas de même ?

Depuis des années, l’industrie des VPN repose sur des déclarations de non-conservation des logs, impossibles à vérifier par soi-même. Certaines entreprises ont été prises en flagrant délit de stockage de données, d’autres ont été rachetées par des groupes aux intentions floues. Or, aujourd’hui, Mullvad et Obscura viennent de prouver qu’il était possible de faire autrement, en donnant aux internautes des outils concrets pour s’assurer que leurs données restaient réellement confidentielles.

Outre ces gages de transparence importants, cette approche pourrait aussi contribuer à lutter plus efficacement contre la censure VPN de manière générale. Obscura intègre en effet un protocole de tunneling basé sur QUIC, conçu pour se fondre dans le trafic HTTP/3 et échapper aux filtres les plus stricts, sans trop sacrifier les performances de la connexion.

À voir, maintenant, si cette initiative suffira à inciter d’autres acteurs à suivre le mouvement. Ce qui serait une bonne chose.

Sources : Mullvad, Obscura

À découvrir
VPN : quel est le meilleur réseau privé ? Comparatif 2025

07 février 2025 à 15h40

Comparatifs services