ExpressVPN a déclaré un état de santé impeccable après un audit de sécurité complet.
La société a fait appel à la société de cybersécurité Cure53 pour mener un audit de sécurité de son extension de navigateur VPN pour Chrome et Firefox afin d'apaiser tout problème de sécurité. Le rapport de test de pénétration (ou Pentest) est moins complet que celui que la société berlinoise a fait pour Tunnelbear en 2017 avant son acquisition par McAfee.
En tant que spécialiste des tests de pénétration et de l'audit de code, Cure53 teste tout, des applications et extensions aux sites Web, blog, configuration, serveur, conteneur, infrastructure et cryptage, bien que dans le cas d'ExpressVPN, seule l'extension du navigateur ait été examinée.
Une équipe de quatre membres a travaillé pendant une semaine sur les deux extensions de navigateur - un audit complet d'une solution VPN peut prendre jusqu'à six semaines en fonction de la complexité.
Dans une interview par e-mail, Harold Li, vice-président d'ExpressVPN, a ajouté: "Nous effectuons régulièrement des audits et des tests de pénétration approfondis sur toutes les applications et tous les systèmes ExpressVPN. Il s'agit du premier audit que nous avons publié, mais ce ne sera certainement pas le dernier. Nous mènent régulièrement des audits approfondis et des tests de pénétration sur toutes les applications et tous les systèmes ExpressVPN. C'est le premier audit que nous publions, mais ce ne sera certainement pas le dernier. "
Défauts de sécurité
Cure53 a identifié quatre vulnérabilités, trois classées comme moyennes, avec quatre problèmes divers, dont aucun ne justifierait une mise à niveau hors bande.
Il note en outre qu '«aucun problème de sécurité qui permettrait (aux attaquants) d'influencer l'état de la connexion VPN via une page Web malveillante ou similaire n'a été découvert». ajoutant que «plusieurs fonctionnalités qui visaient initialement à offrir une meilleure confidentialité aux utilisateurs mais qui étaient victimes de lacunes du navigateur ont été supprimées» après ce test, ce qu'il considère comme positif.
En plus de l'audit, le code source de l'extension de navigateur (qui nécessite l'exécution du client VPN), a été publié sous une licence open-source permettant à d'autres d'examiner l'extension plus en détail.
ExpressVPN, qui est actuellement le meilleur guide d'achat de VPN, s'est déjà engagé à effectuer des audits de sécurité publique plus indépendants, une tendance à laquelle d'autres comme NordVPN, VyprVPN, IPVanish et Tunnelbear ont déjà rejoint.
IVPN, Mullvad, TunnelBear et VyprVPN et ExpressVPN se sont également associés au Center for Democracy & Technology, une organisation à but non lucratif qui défend les libertés civiles et les droits de l'homme en ligne dans le monde et a appelé à un cadre plus transparent pour que l'industrie VPN opère à l'intérieur.
- Découvrez les meilleurs fournisseurs de VPN du moment