ExpressVPN : 27 audits de sécurité, mais que valent vraiment ces certifications ?

ExpressVPN multiplie les audits de sécurité

ExpressVPN a annoncé jeudi l'achèvement de 27 audits de sécurité indépendants. Le dernier, réalisé par Cure53, a examiné deux nouveaux produits : ExpressMailGuard, un service de masquage de courriels, et Identity Defender, un outil de surveillance destiné aux utilisateurs américains qui analyse les registres publics, les bases de données piratées et le dark web à la recherche d'indicateurs d'usurpation d'identité.

Cure53 a inspecté le code source de chaque produit à la recherche de failles de sécurité, de vulnérabilités ou d'éléments suspects susceptibles de remettre en question la posture de sécurité d'ExpressVPN et sa politique de non-conservation des logs. La liste complète des 27 audits est disponible sur le site d'ExpressVPN, avec des évaluations réalisées par Cure53 et KPMG.

Qu'examine un audit de sécurité VPN ?

Les audits de sécurité couvrent plusieurs domaines clés :

• Infrastructure : sécurité des serveurs, stockage et gestion des données, chiffrement, contrôles d'authentification, configuration réseau
• Code source : recherche de vulnérabilités, faiblesses, identifiants par défaut ou erreurs de programmation
• Applications : évaluation des logiciels de bureau, mobiles et extensions de navigateur pour détecter des problèmes de codage, un chiffrement insuffisant ou des données exposées
• Politiques de non-conservation des logs : vérification des pratiques de gestion des données, des durées de stockage et du partage de données
• Protocoles de chiffrement : examen des normes appliquées et de leur implémentation
• Fuites DNS : détection de toute exposition d'informations ou d'activité de navigation
• Nouveaux produits : évaluation lors du lancement de produits ou de mises à jour importantes

Pourquoi ces audits comptent pour ExpressVPN

Shay Peretz, directeur des opérations d'ExpressVPN, explique : « Les audits indépendants comptent pour les consommateurs parce qu'ils constituent l'un des moyens les plus solides de bâtir une confiance réelle. Un VPN peut dire n'importe quoi publiquement, mais un audit ouvre ses systèmes, ses processus et ses hypothèses à un examen externe, et prouve que ces affirmations résistent à des tests en conditions réelles. »

Il ajoute que ce n'est pas seulement le protocole VPN qui doit être examiné. Les applications que les utilisateurs téléchargent, l'infrastructure sur laquelle le service repose, et tous les systèmes complémentaires dont dépend un VPN moderne doivent tous faire l'objet d'une évaluation indépendante.

Comparer les audits : au-delà du nombre

Certains fournisseurs VPN annoncent 27 audits indépendants, d'autres n'en ont publié que deux ou trois. Quelle différence cela fait-il ?

Les audits liés aux VPN ne se limitent pas au logiciel VPN lui-même. Les tests peuvent couvrir l'ensemble de la pile de sécurité, et les audits peuvent donc se concentrer sur des domaines ou services spécifiques. Le dernier audit d'ExpressVPN porte sur ExpressMailGuard et Identity Defender, et non sur le service VPN lui-même.

Certains audits portent sur les politiques de non-conservation des logs mais s'étendent aussi aux serveurs, à la configuration et aux accès. D'autres se concentrent sur des produits spécifiques, ce qui, bien que précieux, peut gonfler le compteur global. De ce fait, le nombre total d'audits n'est pas nécessairement le facteur le plus important : la fréquence, la transparence des rapports et le périmètre couvert sont les critères clés.

Les audits de sécurité sont-ils vraiment importants ?

Les fournisseurs VPN, comme toute autre entreprise logicielle, peuvent promettre monts et merveilles. Sans audits et évaluations indépendants, il n'existe aucun moyen de vérifier leurs affirmations. Sans audit publié, il est impossible de savoir si les promesses de confidentialité et de sécurité ne sont que des arguments marketing.

Un audit de sécurité n'est pas une garantie de sécurité absolue, mais c'est un indicateur solide de la façon dont un fournisseur VPN aborde la protection des utilisateurs et la gestion des données.

Il est essentiel que les audits publiés soient rigoureux : ils doivent clairement définir le périmètre de l'audit, ce qui a été testé, quand et comment, les résultats positifs ou négatifs, et la manière dont le client a répondu aux observations. Aucune solution de sécurité n'est parfaite. Lorsqu'on examine l'audit d'un service VPN, il faut observer comment l'entreprise a répondu aux remarques, dans quel délai, et avec quelle transparence — cela en dit souvent plus long que tout le reste de l'audit.

Comment choisir un VPN fiable

Pour choisir un nouveau fournisseur VPN, ne vous arrêtez pas aux audits de sécurité seuls. Recherchez également :

• Des rapports de divulgation de vulnérabilités
• Une politique de non-conservation des logs
• Des certifications de sécurité comme l'ISO 27001

Évitez toujours les VPN ne disposant d'aucun rapport de sécurité transparent, d'aucune politique publiée ou d'aucun audit indépendant. Il existe d'innombrables services VPN « gratuits » en ligne qui promettent tout et n'importe quoi sans étayer leurs affirmations par des recherches indépendantes ou des évaluations de sécurité. Cela signifie qu'ils pourraient se livrer à des pratiques douteuses ou stocker et revendre vos données.

L'indépendance : le critère décisif

Les audits VPN doivent être indépendants, sans quoi ils ne valent rien. Quand la confidentialité et la sécurité des utilisateurs sont en jeu, il ne suffit pas qu'un fournisseur affirme que ses évaluations internes constituent une preuve suffisante d'une bonne approche face aux menaces modernes.

Face à la prolifération des faux VPN vendus à grand renfort de promesses, des audits indépendants et fréquents sont l'un des meilleurs moyens pour les acteurs sérieux de se distinguer.