1 points par GN⁺ 2025-05-29 | 5 commentaires | Partager sur WhatsApp
  • Un métamoteur de recherche axé sur la protection de la confidentialité, qui agit comme proxy en traitant les requêtes des utilisateurs à leur place pour récupérer les résultats depuis Google ou Brave Search
  • Il n’utilise pas son propre index de recherche : il repose sur une approche de proxy d’API, dans laquelle le serveur de Leta envoie la requête de recherche à la place du navigateur, reçoit les résultats puis les transmet
  • L’historique de recherche est stocké dans un cache en RAM (jusqu’à 30 jours), avec hachage afin de minimiser le risque de suivi et de garantir la confidentialité
  • Le suivi des utilisateurs, la publicité, la recherche d’actualités ou d’images ne sont pas pris en charge ; seuls des résultats de recherche textuels sont fournis
  • Tout le monde peut facilement l’ajouter comme moteur de recherche par défaut dans son navigateur, et son caractère open source favorise la transparence et les contributions de la communauté

Qu’est-ce que Mullvad Leta ?

  • Mullvad Leta est un moteur de recherche centré sur la confidentialité proposé par Mullvad
  • Leta signifie en suédois « trouver », « chasser » ou « explorer », et se prononce approximativement « lé-ta »

Principales fonctionnalités et utilisation

  • Depuis la page d’accueil de Leta, l’utilisateur peut saisir un mot-clé et choisir de lancer la recherche via l’API Google ou Brave Search
  • Les recherches spécialisées, comme les images ou les actualités, ne sont pas prises en charge ; seuls des résultats textuels sont proposés
  • Les requêtes de recherche sont envoyées par le serveur de Leta, ce qui empêche la transmission de l’IP réelle de l’utilisateur ou des informations de son navigateur au moteur de recherche
  • Il peut être défini comme moteur de recherche par défaut, et les paramètres de requête permettent de configurer différents environnements de recherche

Traitement des données et protection de la confidentialité

  • Tout l’historique de recherche est stocké uniquement dans un cache en mémoire vive (RAM) en mémoire, jusqu’à 30 jours
    • Les historiques de recherche vieux de plus de 30 jours sont supprimés automatiquement
    • Au redémarrage du serveur, un nouveau hachage secret est appliqué, rendant impossible la restauration des recherches précédentes
  • L’historique de recherche est stocké sous forme de hachage non identifiable, de sorte que personne ne peut consulter les recherches d’un utilisateur en particulier
  • Si un cache de recherche existe, les résultats d’une requête identique effectuée au cours des 30 derniers jours peuvent être renvoyés immédiatement
  • Si l’on utilise déjà un environnement totalement sans suivi (VPN sans logs, DNS privé, navigateur anti-tracking, etc.), le gain de confidentialité supplémentaire reste limité

Architecture technique

  • Les serveurs de Leta fonctionnent sur les mêmes serveurs STBooted RAM-only que l’infrastructure Mullvad VPN
  • L’application est basée sur Node.js et utilise un cache en mémoire Redis
  • Seules des informations d’exploitation du serveur (nombre d’entrées en cache, utilisation CPU/RAM, etc.) sont collectées sous forme de statistiques anonymes ; ni l’historique de recherche ni les informations utilisateur ne sont stockés

Différences et avantages

  • Il n’est pas nécessaire d’utiliser directement les moteurs de recherche commerciaux existants, ce qui contribue à réduire au minimum le suivi et le profilage
  • Grâce à son approche open source, chacun peut l’auditer en toute transparence et y contribuer
  • Il offre un environnement de recherche textuelle fiable pour les utilisateurs soucieux de leur confidentialité

Contexte d’usage et limites

  • Il convient aux environnements où la protection de la confidentialité est importante (particuliers, entreprises, chercheurs)
  • Son efficacité est maximisée lorsqu’il est utilisé avec un VPN, un DNS privé, etc.
  • En revanche, il ne propose pas de recherche spécialisée pour les images ou les actualités, ni d’indexation propre, ni de recherche réseau fondée sur les métadonnées
  • Son objectif et son architecture diffèrent de ceux des moteurs de métadonnées réseau classiques pour des recherches telles que clés WireGuard, IP, ASN ou domaines

5 commentaires

 
kunggom 2025-11-11

Cela fait à peine quelques mois qu’il avait été présenté ici, et voilà qu’ils annoncent la fermeture du service.

Mullvad : fin du service Leta, le proxy de recherche

 
kunggom 2025-05-29

Il semble que des hallucinations importantes se soient produites dans le résumé IA de GN+.
En consultant la page FAQ, il est clairement indiqué que ce service est un proxy pour les API de recherche de Google et de Brave. Qu’est-ce que l’IA a bien pu voir pour imaginer qu’il s’agissait d’un site web présentant un outil open source de visualisation du trafic réseau ?

 
xguru 2025-05-29

On dirait qu’il a inventé ça de toutes pièces alors qu’il n’y a absolument aucun contenu sur la page.
Je lui avais pourtant indiqué d’ignorer le cas où il n’y a pas de contenu, donc c’est étrange, snif.

J’ai d’abord essayé de le faire re-résumer à partir de la FAQ.

 
unsure4000 2025-05-29

C’est un service que j’utilise bien, mais la description est tellement différente que j’ai cru qu’il s’agissait d’un nouveau produit....

 
GN⁺ 2025-05-29
Avis sur Hacker News
  • Il est intéressant que Leta fonctionne, comme un VPN, sur des serveurs sans disque
    D’après la citation, il s’agit de serveurs uniquement en RAM démarrés avec STBoot, utilisant la dernière Ubuntu LTS et un noyau Mullvad VPN maison allégé, tandis que les résultats de recherche mis en cache sont conservés dans un magasin clé-valeur Redis en mémoire
    Mais cela semble entrer légèrement en contradiction avec l’explication selon laquelle ils veulent mettre les résultats en cache pendant 30 jours. Si le serveur redémarre, ils perdent tous les résultats ; avec un VPN, il n’y a pas grand-chose à conserver après une session, mais avec un cache de recherche visant 30 jours, je me demande comment ils gèrent cela
    Ce n’est pas une fonctionnalité qui exige des garanties strictes, et le cache améliore seulement un peu la protection de la vie privée, donc une approche best effort peut suffire

    • À strictement parler, il ne suffit pas de redémarrer un seul serveur : il faut redémarrer tous les serveurs en même temps pour être sûr de perdre l’ensemble des résultats
      S’ils ont conçu un système qui partage et réplique les résultats en cache entre tous les serveurs, il est théoriquement possible de conserver le cache indéfiniment
    • D’après la FAQ, le cache est réinitialisé lorsqu’il y a une mise à jour système. Le caching sert à réduire le coût des requêtes de recherche
    • Le fait qu’il n’y ait pas de disque ne veut pas dire qu’il n’y a ni SSH ni réseau
      Les données peuvent tout aussi bien être récupérées ou poussées ; dans ce cas, le diskless ne semble pas apporter grand-chose par rapport aux partitions en lecture seule vérifiables de ChromeOS ou Android
    • Si cela tourne dans une machine virtuelle, on peut la déplacer vers une autre machine par migration à chaud lorsqu’un redémarrage est nécessaire. Ou bien il peut s’agir d’un cluster de cache Redis
  • Voici les discussions précédentes lors du lancement initial il y a 2 ans
    https://news.ycombinator.com/item?id=36402162
    https://news.ycombinator.com/item?id=35964397

  • J’ai l’impression que Mullvad se met soudainement à miser gros. J’ai aussi vu un panneau publicitaire à South San Francisco, au point de me demander s’ils avaient levé des fonds
    Je me demande pourquoi ils se développent tout d’un coup, et honnêtement je pensais qu’ils auraient déjà changé de nom

    • Il n’y a pas eu d’arrivée de capitaux. Nous avons grandi pendant quelques années comme les autres services VPN, tout en restant encore nettement plus petits que Nord ou Express
      Pour la publicité, nous essayons cette approche parce que nous ne gérons pas de programme d’affiliation et que nous ne voulons pas non plus suivre les clients avec de la publicité en ligne. C’est moins cher qu’on ne l’imagine
      // Fredrik, cofondateur de Mullvad
    • Ils semblent préférer la publicité extérieure à la publicité en ligne ciblée
      https://mullvad.net/en/blog/advertising-that-targets-everyon...
    • J’espère qu’ils ne changeront pas de nom. « Mullvad » veut dire taupe en suédois, « Leta » veut dire recherche, et j’aime bien ça ; tout n’a pas besoin d’être centré sur l’anglais
      Même si la société suédoise semble presque inexistante en matière de protection de la vie privée, elle a historiquement compté des personnalités IT intéressantes sur ces sujets et sur les enjeux numériques ; en cherchant l’origine du nom, on peut tomber sur ce contexte
      [1] https://youtu.be/rHVVpNRwLk0?feature=shared
      [2]https://en.m.wikipedia.org/wiki/Bahnhof
      [3] Peter Löthberg
      https://www.reddit.com/r/todayilearned/comments/1d8056g/comm...
      [4] https://en.m.wikipedia.org/wiki/The_Pirate_Bay
    • Je me demande pourquoi il faudrait changer le nom. Honnêtement, ça m’a tout de suite rappelé l’épisode de Seinfeld où Jerry oublie le prénom d’une femme

      Mullva ?

    • Ils placardent aussi énormément de pubs dans le métro de London. Ils ont forcément gagné à la loterie ou bouclé une série A
  • Ces dernières semaines, j’ai vraiment vu cette pub partout à London
    Mais je ne comprenais pas vraiment la pub, et je ne voyais absolument pas ce que faisait le produit

    • On dirait une stratégie marketing à la fois nouvelle et ancienne : rendre la chose assez intrigante pour que les gens la remarquent, mais sans qu’ils comprennent ce que c’est, afin qu’ils aillent chercher eux-mêmes
      C’est une stratégie audacieuse, mais puisqu’elle existe encore, elle doit parfois fonctionner
    • Je ne savais toujours pas ce que c’était. Même en ouvrant le lien du titre, je ne comprenais pas ; chercher « what is this » ne m’a pas aidé non plus, et ce n’est qu’en lisant les commentaires HN que j’ai finalement compris que c’était un proxy de recherche
  • La page FAQ (https://leta.mullvad.net/faq) dit ceci

    However, Leta is useless as a service if you use the perfect non-logging VPN, a privacy focussed DNS service, a web browser that resists fingerprinting, and correlation attacks from global actors. Leta is also useless if your browser blocks all cookies, tracking pixels and other tracking technologies.
    Autrement dit, cela signifie que tout le monde peut en bénéficier. À part des navigateurs atypiques comme Lynx, je ne connais aucun navigateur qui bloque complètement le fingerprinting

    • Mullvad développe aussi un navigateur résistant au fingerprinting. Il utilise des techniques comme l’affichage du contenu dans une fenêtre plus petite pour ressembler à des ordinateurs portables et téléphones populaires
      https://mullvad.net/en/browser
      Ce n’est pas parfait. Comme il est basé sur Firefox, cela le rend visible en soi, mais c’est tout de même mieux que ce qui serait possible autrement
    • Utiliser un navigateur rare qui ne masque pas son user-agent peut au contraire être pire du point de vue du fingerprinting
  • C’est aujourd’hui pratiquement la seule façon d’utiliser la recherche Google comme une page web HTML, et non comme une application web JavaScript. C’est très bien, et ça rappelle l’époque du proxy scroogle.com
    À part sur des machines rétro, j’utilise ça partout, ce qui est un peu dommage. Je sais que Mullvad est une entreprise de « protection de la vie privée », mais j’aimerais qu’elle reconnaisse aussi que HTTP+HTTPS résiste mieux à la censure gouvernementale que le fait de s’appuyer uniquement sur TLS avec des autorités de certification centralisées
    Prendre en charge HTTP+HTTPS permettrait aussi de rechercher à nouveau depuis des machines rétro qui ne peuvent pas utiliser les versions modernes de TLS

  • Je me demande comment ils gagnent de l’argent avec ça. Cherchent-ils à convertir les utilisateurs vers leur service VPN, ou essaient-ils simplement de rester sous la limite du niveau gratuit de l’API Google ?

    • Leta est un moteur de recherche pris en charge par Mullvad Browser, et Mullvad Browser est une version de Firefox axée sur la protection de la vie privée intégrée à Mullvad VPN
      Par analogie, Mullvad Browser:Internet classique se rapproche de Tor Browser:sites Onion. C’est donc une partie de l’écosystème destiné aux abonnés VPN
      En tant que client Mullvad, c’est ainsi que je l’utilise ; je ne suis pas affilié à Mullvad
    • Auparavant, Leta était un service accessible uniquement aux utilisateurs Mullvad payants. Je ne sais pas quand ils l’ont ouvert au public, mais au départ, il avait un sens commercial de cette manière
  • Malheureusement, contrairement à DDG, celui-ci est bloqué dans beaucoup d’entreprises à cause de son domaine

    • Je me demande pourquoi une entreprise bloquerait le domaine mullvad.net. Ou est-ce plutôt une logique de liste d’autorisation ?
    • Après vérification, c’est aussi bloqué dans mon entreprise. On dirait que je suis monté d’un cran sur la liste « surveillez cette personne »
      Je ne sais pas exactement comment il faudrait gérer ça, mais ce serait bien d’avoir un tag du type NSFWCP (Not Safe For Work Cybersecurity Policy) pour certains liens
  • Ces moteurs de recherche alternatifs donnent fortement l’impression de mener la guerre d’hier
    Le contenu web est tellement hostile aux lecteurs qu’il faut des outils capables d’extraire la réponse ou l’information recherchée, plutôt que de simplement fournir des liens vers des pages

    • Pas forcément. J’ai vu bien trop de résumés IA où un LLM fusionne les données de deux personnes différentes portant le même nom pour créer la biographie d’une personne inexistante
      Et si les chatbots se généralisent dans ce rôle, je ne crois pas que les entreprises s’abstiendront de les dégrader comme elles l’ont fait avec le SEO, au point de les rendre aussi inutiles que la recherche actuelle
    • Si la théorie de l’Internet mort devient réalité, je me demande s’il apparaîtra un « Internet curated » auquel seuls les acteurs vertueux pourront participer
  • Je ne sais pas où il est indiqué comment ils traitent les informations des utilisateurs, c’est-à-dire ce qu’ils collectent, combien de temps ils le conservent et à quoi ils l’utilisent
    Avec Mullvad, on s’attendrait à ce qu’ils disent ne rien collecter, mais où est-ce écrit exactement ? Je me demande s’il existe une politique de confidentialité
    Modification : il est seulement indiqué qu’ils protègent contre Google et Brave

    When a search isn't in the cache, our server (leta.mullvad.net) queries the search engines on your behalf. Only the search query is sent; no personal data is shared.
    Et aussi
    Returned search results contain only direct links to the final destination. All tracking elements and third-party content are removed to protect your privacy.