Nos utilisateurs nous font confiance quotidiennement pour protéger leurs activités en ligne. L’une des conditions pour gagner cette confiance est d’engager régulièrement des experts indépendants en cybersécurité pour évaluer nos produits et valider la conformité de nos services avec nos déclarations de sécurité.
Aujourd’hui, nous sommes ravis de partager avec vous trois nouveaux audits, portant sur l’ensemble des applications d’ExpressVPN pour ordinateurs. Nous avons confié à Cure53 la responsabilité d’effectuer des tests d’intrusion et des audits du code source sur nos clients macOS et Linux. F-Secure a également été engagée pour examiner notre application Windows ExpressVPN v12 grâce à des tests d’intrusion et des audits du code source, quelques mois seulement après l’audit de notre précédente application Windows (ExpressVPN v10).
Nous sommes satisfaits des résultats de ces audits, ainsi que de notre collaboration de longue date avec les deux entreprises de cybersécurité. Aujourd’hui, nous sommes heureux de partager avec vous d’autres informations résultant de ces audits.
« … Dans le cadre de nos efforts continus en faveur de la confiance et de la transparence, nous sommes fiers d’annoncer que toutes nos applications pour ordinateurs ont désormais été auditées », a déclaré Brian Schirmacher, responsable des tests d’intrusion chez ExpressVPN. Il a rajouté : « Ces audits témoignent des efforts que nous consacrons à l’amélioration et à la sécurité de notre produit. Nous sommes heureux d’avoir reçu la confirmation de Cure53 et de F-Secure. Nous nous engageons à mener prochainement des audits sur nos applications mobiles et nous continuerons à garantir la confidentialité et la sécurité à chaque étape du développement de notre produit. »
Cure53 confirme la sécurité de nos applications macOS et Linux
Cure53 a évalué nos applications pour macOS et Linux en effectuant des tests d’intrusion white-box et des audits du code source entre juin et août 2022. Cela permet de déterminer si nos applications sont suffisamment sécurisées pour résister à des cyberattaques ou à des hackers. Ces tests permettent ainsi de valider le travail minutieux effectué par nos experts en ingénierie informatique et en sécurité.
Des erreurs mineures ont été relevées dans notre application macOS par les experts. Deux vulnérabilités de sécurité et quatre défaillances informationnelles à faible potentiel d’exploitation ont été mises au jour. Nous avons rapidement examiné toutes les données pertinentes pour apporter des correctifs. Cure53 a vérifié les résultats afin d’éviter toute nouvelle défaillance.
« … Pour conclure, cette évaluation de la dernière application d’ExpressVPN pour macOS nous laisse une impression exceptionnellement forte en matière de sécurité », a écrit Cure53 dans son rapport. Elle a rajouté : « Dans l’ensemble, l’équipe d’ExpressVPN mérite de grands éloges pour ses efforts visant à développer un client macOS exceptionnellement sécurisé. Seules quelques améliorations mineures pour renforcer la sécurité du système sont nécessaires pour hisser la plateforme au niveau supérieur. »
Parallèlement, l’audit de notre application Linux a mis en lumière quelques défaillances de sécurité. Parmi les problèmes découverts (5 en tout), il y avait deux vulnérabilités de sécurité et trois défaillances générales avec un potentiel d’exploitation plus faible, qui ont toutes été examinées par notre équipe interne. « … L’absence de vulnérabilités excédant le niveau moyen est un autre indicateur fortement positif concernant l’état du système de sécurité d’ExpressVPN pour Linux », a indiqué Cure53.
Lisez les rapports d’audits complets pour macOS ici et Linux ici.
L’application Windows ExpressVPN v12 est plus sécurisée que jamais
F-Secure a effectué un audit de sécurité sur notre dernière application Windows (v12) de février 2022 à mars 2022. L’audit a évalué deux fonctionnalités importantes de l’app :
- L’application ne peut pas être manipulée pour divulguer des informations (telles que l’adresse IP d’un utilisateur) en dehors du tunnel VPN.
- L’application n’est pas vulnérable aux attaques d’exécution de code à distance.
Nous avons le plaisir de vous annoncer que F-Secure n’a pas trouvé de failles de sécurité importantes. Les experts indépendants de F-Secure n’ont relevé qu’un seul problème informationnel dans notre application Windows ExpressVPN v12, qui n’était pas exploitable. Ce problème est déjà corrigé, ce que F-Secure a confirmé lors d’un nouveau test en avril 2022.
Aucun problème critique, grave, moyen ou mineur n’a été identifié. Comme dans le rapport précédent, F-Secure nous a attribué une excellente évaluation avec la conclusion suivante : « Il était impossible d’obtenir des informations sur les clients d’ExpressVPN ou sur le trafic du réseau. Il n’était pas non plus possible d’exécuter un code à distance par des attaques de type Man-in-the-Middle (MitM), dégradation TLS ou injection de paquets. »
Lisez le rapport complet de F-Secure sur ExpressVPN v12 pour Windows.
ExpressVPN v12 apporte des améliorations significatives à la sécurité de l’application et à sa compatibilité avec Windows. Elle est également dotée d’un backend optimisé pour Lightway, notre protocole exclusif que nous avons conçu pour une expérience VPN plus rapide, plus fiable et plus sécurisée. Ces évolutions ouvrent la voie à de nouvelles fonctionnalités intéressantes pour nos utilisateurs Windows. Compte tenu de ces mises à niveau en cours d’exécution, nous voulions que la sécurité d’ExpressVPN v12 soit validée dès que possible.
Note : ExpressVPN v12 n’est disponible que pour les utilisateurs de Windows 10 et versions ultérieures.
Notre engagement pour des audits de sécurité et de confidentialité indépendants
Ces trois nouveaux audits de nos applications pour ordinateurs portent à 11 le nombre total d’audits publiés par ExpressVPN. Nous veillons ainsi à offrir à nos utilisateurs une expérience plus sécurisée en ligne. Voici nos audits de sécurité précédents :
- Un audit par KPMG sur notre politique des données personnelles (septembre 2022)
- Un audit de sécurité par Cure53 sur notre routeur Aircove (juillet 2022)
- Un audit de sécurité par Cure53 sur TrustedServer, notre technologie VPN exclusive (mai 2022)
- Un audit de sécurité par F-Secure sur notre application Windows ExpressVPN v10 (mars 2022)
- Un audit de sécurité par Cure53 sur notre protocole VPN Lightway (août 2021)
- Un audit de PwC Suisse sur nos systèmes de contrôle de versions (juin 2020)
- Un audit par PwC Suisse sur la conformité de notre politique de confidentialité et sur notre technologie TrustedServer (juin 2019)
- Un audit de sécurité par Cure53 sur notre extension de navigateur (novembre 2018)
Nous continuerons à respecter notre engagement pour procéder à plus d’audits indépendants. Il s’agit d’une mesure qui vient s’ajouter aux nombreuses solutions que nous mettons en œuvre pour que nos utilisateurs bénéficient d’une expérience VPN hautement sécurisée.
Même si une partie du contenu est toujours dans sa langue d’origine, nous pensons qu’il est pertinent de l’avoir sur le post, nous espérons que vous pourrez toujours en profiter !