ExpressVPN confirme la sûreté de ses applis mobiles par deux audits externes

Nos utilisateurs comptent sur nous pour préserver la confidentialité et la sécurité de leurs activités en ligne grâce à notre logiciel et aux mesures de confidentialité que nous avons mises en place. Afin de vérifier que les mesures de sécurité d’ExpressVPN fonctionnent comme prévu, nous effectuons de nombreux tests en interne et effectuons régulièrement des audits auprès d’organismes tiers.

Nous sommes ravis d’annoncer que la société de cybersécurité Cure53 a effectué des évaluations distinctes de nos applis mobiles Android et iOS au moyen de tests de pénétration par boîte blanche et d’audits du code source !

La vérification de notre appli Android a été effectuée en août, et celle de notre appli iOS entre fin août et début septembre. Les audits comprenaient des examens de ExpressVPN Keys, notre gestionnaire de mots de passe intégré à nos applis mobiles, ainsi que de notre intégration et de nos dépendances au protocole VPN.

Ces évaluations indépendantes sont essentielles pour vérifier de manière impartiale nos revendications en matière de sécurité. Elles donnent également un aperçu de la capacité de notre VPN à résister aux attaques d’utilisateurs malveillants et d’applications tierces. Nous sommes très satisfaits des vérifications effectuées par Cure53 et attendons avec impatience d’autres audits qui nous aideront à renforcer notre position de leader en matière de sécurité.

« Nous sommes conscients du besoin mondial croissant de mesures de protection de la sécurité et de la confidentialité numérique, c’est pourquoi je suis ravi de vous annoncer que les deux applications mobiles d’ExpressVPN ont été auditées par les experts indépendants en sécurité de Cure53. Cette annonce est d’autant plus significative qu’elle intervient quelques semaines seulement après les audits complets de nos trois applications desktop, ainsi que l’audit de KPMG sur notre politique de no-logs », a déclaré Brian Schirmacher, responsable des tests de pénétration chez ExpressVPN.

« Les audits réalisés par des entreprises de cybersécurité de renom telles que Cure53 font partie de nos nombreuses initiatives en matière de confiance du public et de transparence. Nous voulons continuer à placer la barre haut pour l’industrie. »

Les applis mobiles Android et iOS d’ExpressVPN confirmées comme étant sécurisées

Au cours de leur examen approfondi de notre application mobile Android, Cure53 a découvert trois vulnérabilités de sécurité, évaluées comme étant de gravité « moyenne » ou « faible ». Ils ont également fait dix recommandations générales de renforcement, toutes pour des problèmes identifiés comme Divers : « Informatif ».

« Ce résultat prouve clairement que l’équipe d’ExpressVPN est non seulement parfaitement consciente des nombreux problèmes auxquels les applications VPN modernes ont tendance à faire face, mais qu’elle est également capable de les contrer efficacement », indique Cure53 dans son rapport. « D’une manière générale, malgré le nombre relativement élevé de résultats, l’impression générale de l’équipe de test à la suite de cette mission est suffisamment positive. Cela est principalement dû au fait que la grande majorité des constatations sont des variations de mauvaises configurations courantes qui sont souvent présentes dans les applications Android. »

« Cette perspective positive est également corroborée par le fait qu’aucune des vulnérabilités mentionnées ci-dessus ne peut être directement exploitée pour mener des attaques efficaces. »

Consultez le rapport d’audit de Cure53 sur notre appli mobile Android.

En ce qui concerne notre appli iOS, l’évaluation de sécurité approfondie de Cure53 a identifié quatre vulnérabilités, toutes classées comme étant de gravité « moyenne » ou « faible ». Trois de ces problèmes sont liés à la divulgation d’informations au niveau local, ce qui signifie que pour avoir un impact sur l’utilisateur, un acteur de la menace devrait avoir un accès physique à l’appareil de l’utilisateur ou l’avoir compromis. L’étude a également formulé cinq recommandations de renforcement avec un potentiel d’exploitation plus faible.

« Le fait que tous les résultats obtenus aient reçu une note de sévérité moyenne ou inférieure indique une absence totale de surfaces d’attaque significatives et de potentiel de menace dommageable », déclare Cure53. « Dans l’ensemble, l’équipe de développement mérite tous les honneurs pour ses efforts diligents visant à minimiser toute menace potentielle pour l’appli iOS, avec seulement des ajustements mineurs nécessaires pour élever davantage la plate-forme à un niveau exemplaire du point de vue de la sécurité. »

Consultez le rapport d’audit complet de Cure53 pour iOS.

Nous avons depuis traité tous les commentaires mis en évidence lors des audits de nos applis mobiles Android et iOS. Notre équipe de sécurité interne a corrigé la majorité des problèmes. Ceux que nous avons décidé de ne pas modifier étaient dus à l’impact potentiel des correctifs sur la facilité d’utilisation et la fonctionnalité des applis, ce avec quoi Cure53 était d’accord.

Notre engagement à protéger la vie privée de nos utilisateurs

Ces deux nouveaux audits d’applications mobiles portent à 13 le nombre total d’évaluations de sécurité publiées par ExpressVPN. Voici une liste de nos audits externes passés, classés par ordre chronologique:

• Un audit par KPMG de notre politique de no-logs (septembre 2022)
• Un audit par Cure53 de notre appli Linux (août 2022)
• Un audit par Cure53 de notre appli macOS (juillet 2022)
• Un audit de sécurité par Cure53 de notre routeur Aircove (juillet 2022)
• Un audit de sécurité par Cure53 de TrustedServer, notre technologie interne de serveur VPN (mai 2022)
• Un audit par F-Secure de notre appli Windows v12 (avril 2022)
• Un audit de sécurité par F-Secure de notre appli Windows v10 (mars 2022)
• Un audit de sécurité par Cure53 de notre protocole VPN Lightway (août 2021)
• Un audit de PwC Suisse sur notre processus de vérification des versions (juin 2020)
• Un audit par PwC Suisse de la conformité de notre politique de confidentialité et de notre technologie interne TrustedServer (juin 2019)
• Un audit de sécurité par Cure53 de notre extension de navigateur (novembre 2018)

Au fur et à mesure que nous développons notre gamme d’offres en matière de confidentialité et de sécurité, nous sommes enthousiastes à l’idée de publier davantage de vérifications régulières réalisées par des experts indépendants pour nos produits.