- Surfshark a été testé de manière indépendante à l’aide de scénarios d’attaque « en conditions réelles »
- SecuRing n’a identifié aucune vulnérabilité critique ni aucun problème à haut risque
- Un problème mineur de configuration SSL/TLS a été détecté et rapidement corrigé
Des auditeurs indépendants ont confirmé que l’infrastructure technique derrière Surfshark, régulièrement classé parmi les meilleurs services dans notre guide des meilleurs VPN, répond aux normes de sécurité les plus élevées.
Mené par la société externe de cybersécurité SecuRing, cet audit de sécurité approfondi visait à vérifier la résistance du réseau Surfshark face à des cyberattaques sophistiquées et réalistes. Les auditeurs avaient pour mission d’identifier d’éventuels points faibles dans la conception, la configuration et la maintenance des serveurs chargés de protéger les données des utilisateurs.
Les résultats semblent valider les protocoles de sécurité internes de Surfshark. Le rapport de SecuRing confirme qu’aucune vulnérabilité critique n’a été обнаружée et qu’aucun problème à haut risque susceptible d’affecter la sécurité des utilisateurs n’a été identifié. Les tests ont également confirmé que l’infrastructure offre une protection solide face aux scénarios d’attaque spécifiques utilisés lors de l’évaluation.
Tests de résistance en conditions réelles
Pour l’utilisateur moyen, la nature « boîte noire » de cet audit se révèle particulièrement rassurante. Plutôt que d’examiner le code avec des indications préalables, les auditeurs ont attaqué le système depuis l’extérieur, exactement comme le ferait un pirate malveillant.
Tomas Stamulis, directeur de la sécurité chez Surfshark, a expliqué que les tests reproduisaient des scénarios d’attaque réels afin de simuler des attaquants externes tentant de compromettre le réseau. « Ces tests ont été réalisés sans identifiants privilégiés, sans informations internes et sans accès particulier », a-t-il précisé.
L’objectif était de s’assurer qu’aucun aspect ne soit négligé.
« L’objectif était de garantir que des utilisateurs non autorisés ne puissent pas accéder à notre infrastructure, que les données des clients restent toujours protégées, que les serveurs ne puissent pas être perturbés pour nos utilisateurs, que des erreurs de configuration de sécurité ne puissent pas survenir et que toute faiblesse potentielle soit identifiée immédiatement avant de pouvoir être exploitée », a déclaré Stamulis.
Si aucune vulnérabilité critique ni aucun problème à haut risque n’a été détecté, l’audit a néanmoins mis en évidence un point d’amélioration : un unique problème mineur de configuration SSL/TLS. Surfshark a toutefois confirmé que celui-ci avait été « rapidement corrigé ».
La transparence concernant des corrections mineures est souvent perçue comme un signe positif dans la communauté de la cybersécurité, aucun système complexe n’étant jamais totalement sécurisé à 100 %. La volonté d’identifier, de corriger et de publier ces défauts mineurs distingue généralement les fournisseurs haut de gamme des solutions plus économiques qui se réfugient derrière un discours marketing.
« La sécurité numérique est constamment sous la surveillance d’acteurs malveillants, et un audit indépendant examinant nos systèmes de sécurité constitue un élément clé pour instaurer la confiance et garantir la transparence, tout en permettant d’identifier et de mettre en œuvre des améliorations mineures », a ajouté Stamulis.
Pourquoi c’est important
Ce n’est pas la première démarche de Surfshark en matière de transparence. Il a déjà été évoqué que Surfshark avait confirmé son engagement en faveur de la confidentialité des utilisateurs grâce à un deuxième audit no-log réalisé en juin, démontrant que le fournisseur ne conserve pas les données des utilisateurs.
Un audit d’infrastructure relève toutefois d’une autre catégorie. Là où un audit no-log vérifie que l’entreprise n’espionne pas ses utilisateurs, un audit d’infrastructure permet de s’assurer qu’un tiers ne peut pas s’introduire dans les systèmes pour le faire.
En invitant SecuRing à attaquer ses systèmes sans « accès spécial », Surfshark a soumis ses capacités défensives à un véritable test de résistance.
Cette initiative s’inscrit dans une tendance plus large du secteur, qui privilégie désormais une « sécurité par la vérification » plutôt qu’une « sécurité fondée sur la confiance ». Des concurrents majeurs comme NordVPN et ExpressVPN recourent eux aussi régulièrement à des tests réalisés par des tiers pour valider leurs affirmations.
Pour Surfshark, cet audit spécifique de l’infrastructure constitue une preuve concrète que son réseau de serveurs ne se contente pas d’être rapide, mais qu’il est également renforcé contre les intrusions.
« La réussite de cet audit d’infrastructure démontre une fois de plus que nos systèmes répondent aux normes de sécurité les plus élevées et fournit une preuve tangible à nos utilisateurs que les services qu’ils utilisent sont protégés », conclut Stamulis.
Les utilisateurs souhaitant approfondir les aspects techniques peuvent consulter la version détaillée du rapport d’audit SecuRing ici.
