ExpressVPN vient d'apporter la preuve de la sécurité offerte par son logiciel avec de nouveaux audits

ExpressVPN
(Crédit photo: ExpressVPN)

Après avoir confirmé avoir réussi trois audits de sécurité indépendants il y a seulement un mois environ, ExpressVPN vient de publier les résultats de tests supplémentaires sur son logiciel.

Une fois encore, le fournisseur semble avoir passé ces derniers audits avec une note parfaite.

Cette fois, les experts en cybersécurité de Cure53 ont été appelés à évaluer les applications mobiles d'ExpressVPN. Son propre outil de gestion des mots de passe, ExpressVPN Keys, qui est fourni gratuitement avec ses applications iOS et Android, a également été testé pour détecter d'éventuelles vulnérabilités.

Malgré quelques bugs mineurs, que le fournisseur dit avoir déjà corrigés, Cure53 s'est dit satisfait des résultats et de l'engagement dont a fait preuve l'équipe d'ExpressVPN pour lutter contre "de nombreux problèmes auxquels les applications VPN modernes ont tendance à faire face."

"Des efforts diligents pour minimiser les menaces potentielles".

"Dans l'ensemble, l'équipe de développement mérite tous les éloges pour les efforts diligents qu'elle a déployés afin de réduire au maximum les menaces potentielles pour l'application iOS, seuls des ajustements mineurs étant nécessaires pour élever davantage la plate-forme à un niveau exemplaire du point de vue de la sécurité", a conclu le cabinet d'audit dans son rapport d'audit iOS.

Un résultat similaire a également été obtenu pour le rapport d'audit Android. Dans le même temps, Cure53 a été satisfait de l'accès et de la collaboration accordés par le fournisseur tout au long du processus.

Des équipes de trois et cinq testeurs seniors ont effectué des tests en boîte blanche et des audits de code source sur les apps iOS et Android d'ExpressVPN entre août 2022 et septembre 2022. Ceux-ci avaient pour but de déterminer si les apps mobiles d'ExpressVPN pouvaient résister avec succès aux attaques externes.

Pour la première fois, les clés ExpressVPN ont également été testées afin de s'assurer qu'elles sécurisent correctement les données de connexion des utilisateurs.

Les deux audits n'ont révélé qu'une poignée de vulnérabilités mineures, mais avec un risque très faible pour les données des utilisateurs.

Plus précisément, les audits iOS ont identifié un total de neuf problèmes. Parmi ceux-ci, seuls quatre ont été classés comme des vulnérabilités de sécurité à risque faible ou moyen. Les cinq autres ont été qualifiés de "faiblesses générales à faible potentiel d'exploitation". 

Tandis que les tests effectués sur Android ont révélé un total de 13 vulnérabilités. Là encore, seules trois d'entre elles ont été considérées comme des bogues de sécurité de gravité faible ou moyenne.

Cependant, comme le rapporte Cure53 : "La grande majorité des découvertes sont des variations de mauvaises configurations courantes qui sont souvent présentes dans les applications Android. Ce point de vue positif est également corroboré par le fait qu'aucune des vulnérabilités susmentionnées ne peut être directement exploitée pour mener des attaques réussies."

Le gestionnaire de mots de passe propre à ExpressVPN a également reçu des commentaires positifs, obtenant "une impression solide dans l'ensemble."    

Ces derniers tests portent le total des audits indépendants de VPN publiés par ExpressVPN à 13 depuis 2018. Qui plus est, une évaluation de sécurité sur l'extension de navigateur ExpressVPN Keys est également en route.

"Nous reconnaissons le besoin mondial croissant de protections numériques en matière de confidentialité et de sécurité", a déclaré Brian Schirmacher, responsable des tests de pénétration chez ExpressVPN. "Les audits réalisés par des entreprises de cybersécurité estimées telles que Cure53 sont l'une de nos nombreuses initiatives de confiance et de transparence. Nous voulons continuer à placer la barre haut pour l'industrie."

Chiara Castro
Senior Staff Writer

Chiara is a multimedia journalist committed to covering stories to help promote the rights and denounce the abuses of the digital side of life—wherever cybersecurity, markets and politics tangle up. She mainly writes news, interviews and analysis on data privacy, online censorship, digital rights, cybercrime, and security software, with a special focus on VPNs, for TechRadar Pro, TechRadar and Tom’s Guide. Got a story, tip-off or something tech-interesting to say? Reach out to chiara.castro@futurenet.com