Mullvad ressort avec un avis favorable de son nouvel audit MASA sur Android. Pas de grosse alerte au programme, mais plusieurs ajustements utiles pour un service qui fait de la sécurité et de la confiance ses principaux arguments.


C’est le genre d’audit qui ne fait pas trembler les murs, mais qui dit beaucoup de la rigueur d’une application mobile.

Mullvad vient en effet de soumettre son appli Android à un nouvel examen de sécurité mené par Leviathan Security Group dans le cadre du programme MASA.

Verdict plutôt rassurant pour le fournisseur VPN suédois, qui passe l’évaluation avec succès après quelques corrections mineures liées à la sécurité Android, à l’interface et à la transparence sur les données.


Sécurité Android et affichage sensible, Mullvad resserre la vis

Dans le détail, les constats de Leviathan Security Group relèvent davantage de l’hygiène de sécurité que de la faille critique.

Premier ajustement, Mullvad a revu la sécurité de sa gestion des PendingIntents, ces autorisations confiées au système pour exécuter une action au nom de l’application, même lorsque celle-ci n’est pas ouverte.

C’est le cas, par exemple, du bouton affiché dans la notification persistante qui permet de couper le VPN.

Pour fonctionner, l’application prépare l’ordre correspondant, puis Android conserve cette autorisation jusqu’à son déclenchement. Afin d’éviter qu’une autre application puisse en altérer le contenu, cet ordre doit en théorie être verrouillé, ce qui n’était pas systématiquement le cas chez Mullvad.

L’audit a aussi relevé deux choix d’affichage malvenus pour une application centrée sur la confidentialité.

Le numéro de compte apparaissait en clair sur l’écran de connexion, tandis que le mot de passe renseigné lors de la configuration d’un accès API personnalisé n’était pas masqué par défaut.

Rien qui permette de pirater un compte à distance, mais une faiblesse très terre à terre dans les transports, au bureau ou dans tout lieu public.


Collecte de données et suppression de compte, retour dans les clous

Le reste relève davantage de la conformité que du bug de sécurité.

Mullvad a mis à jour sa déclaration de collecte de données sur le Play Store pour mieux refléter sa politique de confidentialité, notamment depuis l’ajout des achats intégrés, et ajouté une option de suppression de compte directement dans l’application, comme l’exige le référentiel MASA.

Une note positive, donc, dans un contexte un peu chahuté pour Mullvad.

Pour rappel, fin mai, le fournisseur confirmait un problème de corrélation possible entre ses adresses IP de sortie, tandis qu’en avril, son application iOS avait déjà dû être renforcée pour limiter des fuites de trafic liées aux contraintes réseau d’Apple.