Un bug dans l’application Windows d’ExpressVPN a brièvement exposé l’adresse IP réelle de certains utilisateurs. Corrigée rapidement, cette vulnérabilité relance la question de la transparence et de la confiance envers les services VPN. On fait le point sur qui est concerné et ce qu’il s’est vraiment passé.

Une faille sur Windows ? Oui. Une fuite grave ? Pas vraiment.

Le mot « fuite » suffit à déclencher l’alerte rouge dans le monde des VPN. Pourtant, tous les bugs ne se valent pas. ExpressVPN a récemment publié un article de blog officiel pour revenir sur une vulnérabilité découverte en avril 2025 dans son application Windows, liée au protocole Remote Desktop (RDP).

La faille a été corrigée depuis des semaines. Mais que s’est-il passé, concrètement ? Et surtout, faut-il s’en inquiéter en tant qu’utilisateur ?

Le bug RDP : un contournement du tunnel VPN sur le port 3389

Dans certaines versions de son application Windows (de la 12.97 à la 12.101.0.2-beta), ExpressVPN avait laissé du code de débogage actif, destiné à faciliter le diagnostic en interne. Problème : ce code permettait au trafic RDP (Remote Desktop Protocol) d’éviter le tunnel VPN et de transiter en clair sur le réseau local ou via le FAI.

C’est quoi une « fuite RDP » ?

Le protocole RDP (Remote Desktop Protocol) permet de se connecter à distance à un ordinateur, souvent utilisé pour du télétravail ou du support technique. Normalement, avec un VPN actif, tout le trafic réseau, y compris celui de RDP, passe par un tunnel chiffré.

Mais dans ce cas précis, un ancien code de débogage avait laissé le trafic RDP (port 3389) en dehors du tunnel, exposant l’adresse IP réelle de l’utilisateur au fournisseur d’accès à Internet et/ou sur le réseau local.

👉 Ce n’est pas une fuite de contenu, mais une fuite d’IP, ce qui peut suffire à compromettre la confidentialité dans certains contextes.

Concrètement : si vous utilisiez RDP avec ExpressVPN activé, votre adresse IP réelle pouvait être exposée, alors que vous pensiez être entièrement protégé.

À noter que cela ne concernait que le port 3389, et aucune donnée n’était déchiffrée. Le contenu des communications restait chiffré, mais l’IP source, celle que le VPN est censé masquer, pouvait être visible.

Qui était concerné ? (Probablement pas vous)

Cette faille ne touche pas les utilisateurs classiques : elle concerne uniquement ceux qui :

• Utilisent Windows,
• Exécutent une session Remote Desktop,
• Ont une version spécifique du client ExpressVPN,
• Et ne se trouvent pas derrière un autre pare-feu ou routeur limitant le trafic sortant.

Autrement dit, l’écrasante majorité des utilisateurs n’a jamais été exposée.

© Microsoft 2025

Une réponse rapide, un patch efficace

Voici le déroulé précis :

• 25 avril 2025 : la vulnérabilité est signalée par le chercheur « Adam‑X » via le programme de bug bounty d’ExpressVPN.
• 5 jours plus tard : ExpressVPN publie un correctif dans la version 12.101.0.45.
• Juin 2025 : le rapport est clôturé après vérification complète.
• 22 juillet 2025 : ExpressVPN rend l’information publique via son blog.

L’entreprise a également annoncé avoir renforcé ses processus internes, notamment ses tests automatisés, pour éviter qu’un code de debug se retrouve en production à l’avenir.

Ce que cela dit d’ExpressVPN

On peut toujours reprocher à un VPN d’avoir laissé passer une faille, surtout sur un aspect aussi critique que la confidentialité IP. Mais ici, ExpressVPN :

• A identifié le bug grâce à son programme de divulgation responsable,
• A corrigé l’erreur en moins d’une semaine,
• A communiqué publiquement une fois la correction confirmée.

Cette gestion de crise est plutôt exemplaire.

Que devez-vous faire si vous êtes concerné ?

• Si vous êtes sous Windows et que vous utilisez ExpressVPN, vérifiez que votre application est bien à jour (version 12.101.0.45 ou supérieure).
• Si vous ne savez pas ce qu’est RDP ou que vous n’en avez jamais eu besoin, cette faille ne vous a probablement jamais touché.
• Conseil général : mettez vos applications VPN à jour régulièrement. C’est encore la meilleure protection contre ce type d’incident, qui, je le répète n’est pas rare.

En conclusion : pas de scandale, mais un rappel salutaire

Cette faille, bien que réelle, n’a pas exposé massivement les utilisateurs, ni permis l’interception de données sensibles. Elle rappelle cependant que même les meilleurs VPN peuvent avoir des bugs, et que la clé, c’est leur capacité à les corriger vite, proprement, et ouvertement.

Dans un contexte où la confiance est essentielle, ExpressVPN sort de cet épisode sans tâche durable, mais avec un bon rappel pour tout le monde : vérifiez vos paramètres, tenez vos outils à jour, et ne misez pas tout sur la magie d’un bouton ON.

Note de transparence :

Cet article n'est pas sponsorisé. Il traite simplement d'un sujet d'actualité pertinent dans le domaine de la protection des données.

Si vous décidez d’essayer un service via le lien fourni, l’équipe de VPN Mon Ami recevra une petite commission sans frais supplémentaires pour vous. Cette commission nous permet de continuer à fournir du contenu de qualité et à maintenir ce site indépendant sans bannières publicitaires intrusives, pour une lecture plus agréable sans suivi.

Soyez assuré que notre analyse et nos opinions sont objectifs et basées sur nos recherches et notre expérience dans le domaine de la cybersécurité. Nous sommes indépendants.

Windscribe propose 6 mois gratuits de son VPN, sans engagement ni carte bancaire. L’accès inclut toutes les fonctionnalités premium. L’offre s’accompagne d’un tarif préférentiel pour continuer ensuite.

Mais alors pourquoi une telle offre ?

BulletVPN ferme ses portes après plus de 8 ans d’activité. En réaction, Windscribe propose six mois d’abonnement gratuit à ses anciens utilisateurs. Si le geste semble altruiste, il en dit long sur l’état du marché, les limites des abonnements « à vie », et l’agilité de certains acteurs à récupérer des abonnés actifs.

Une offre inattendue… mais très ciblée

Début juillet 2025, BulletVPN, un petit fournisseur basé en Estonie, a annoncé la fermeture immédiate de ses services, invoquant des changements de marché et une activité devenue non-viable.
Selon plusieurs sources (Tom’s guide, Tech Radar) BulletVPN comptait quelques milliers d’utilisateurs actifs au moment de sa fermeture. Un volume modeste, certes, mais suffisant pour qu’un concurrent plus solide y voie une opportunité stratégique.

C’est Windscribe, fournisseur canadien bien implanté et surtout connu pour son VPN gratuit, qui a saisi l’occasion : l’entreprise propose aux ex-abonnés de BulletVPN six mois d’abonnement gratuit à Windscribe Pro, sur simple demande avant le 9 août 2025.

Une offre sans contrepartie commerciale ni reprise de données, ni rachat mais très habilement positionnée.

La promesse des abonnements « à vie » mise à mort (encore)

BulletVPN faisait partie de ces fournisseurs qui proposaient, encore récemment, des formules “à vie”. Comme souvent dans ce genre d’opération, l’offre n’était que temporaire. La fermeture a entraîné une annulation pure et simple de tous les abonnements, sans remboursement.

Ce cas s’ajoute à une longue série (VPNSecure, IronSocket, etc.) qui rappellent à quel point ces abonnements “lifetime” sont rarement viables à long terme, ni pour le fournisseur, ni pour l’utilisateur.

Chez VPN Mon Ami, on le répète souvent : « à vie », signifie jusqu’à la mort du service.

Générosité réelle ou opportunité bien sentie ?

Windscribe n’en est pas à son coup d’essai. Après avoir accueilli des utilisateurs de WeVPN lors de sa liquidation en 2023, la marque confirme une stratégie bien rodée : se positionner comme VPN de confiance, prêt à secourir les déçus du marché. 

Mais l’opération n’est pas qu’altruiste : offrir 6 mois Pro à des utilisateurs déjà sensibilisés aux VPN, c’est un coût d’acquisition ridicule comparé aux standards du marché. Et si l’expérience convainc ? Windscribe gagne un client fidélisé à moindre frais sans recourir à un marketing agressif.

Note de transparence :

Cet article n'est pas sponsorisé. Il traite simplement d'un sujet d'actualité pertinent dans le domaine de la protection des données.

Note de transparence :

Cet article n’est pas sponsorisé. Cependant, si vous décidez d’essayer l’un de ces fournisseurs via le lien fourni, l’équipe de VPN Mon Ami recevra une petite commission sans frais supplémentaires pour vous. Cette commission nous permet de continuer à fournir du contenu de qualité et à maintenir ce site indépendant sans bannières publicitaires intrusives, pour une lecture plus agréable sans suivi.

Soyez assuré que notre analyse et nos opinions sont objectifs et basées sur nos recherches et notre expérience dans le domaine de la cybersécurité.

Mise à jour : 16 juillet 2025 :

3 petits coups et puis s’en vont !

➡️ YouPorn, Pornhub et RedTube sont à nouveau inaccessibles en France depuis le 15 juillet 2025, à la suite d’une décision du Conseil d’État. La plus haute juridiction administrative française a validé l’obligation pour les sites pornographiques de vérifier l’âge de leurs visiteurs via des méthodes strictes, comme une pièce d’identité ou une carte bancaire.

⚠️ Les plateformes concernées ont donc réactivé le blocage pour les internautes français, comme en juin dernier.

💡 Sans surprise, le recours aux VPN explose de nouveau, avec un pic constaté dès les premières heures suivant l’annonce. Vous avez été nombreux à consulter nos comparatifs hier, on vous comprend.

Mise à Jour du 23 Juin 2025 :

Retour d’Aylo en France

Après avoir suspendu l’accès à ses sites début juin, Aylo (Pornhub, YouPorn, RedTube) a réactivé ses services en France le 20 juin 2025, suite à la suspension du décret contesté par un tribunal administratif.

Mais entre-temps, des milliers d’internautes ont découvert les VPN… et il n’est pas certain qu’ils fassent machine arrière.

Pourquoi Aylo est revenu ?

Suspension du décret

Le tribunal administratif de Paris a ordonné la suspension du décret français imposant la vérification d’âge aux sites pour adultes, au motif qu’il pourrait enfreindre le principe du pays d’origine (country-of-origin) de l’UE

Réouverture immédiate

Suite à cette décision judiciaire, Aylo a remis ses sites en ligne dès le 20 juin 2025, critiquant la méthode imposée (ID ou carte bancaire) comme inutilement risquée et inefficace

Changement de stratégie

Aylo propose désormais une approche où la vérification d’âge serait effectuée au niveau des appareils (smartphones, tablettes, etc.) par des intermédiaires comme Apple ou Google, une solution qu’elle estime plus sûre et respectueuse de la vie privée. (ça, ça reste à voir)

Le 4 juin 2025, la France s’est réveillée avec un mur en travers de son Internet : Pornhub, YouPorn et RedTube, trois des plus gros sites pornographiques au monde, sont devenus inaccessibles pour les internautes français. En cause ? Une nouvelle exigence du gouvernement imposant une vérification d’âge jugée invasive, via carte bancaire ou pièce d’identité. La maison-mère, Aylo, a préféré suspendre l’accès depuis la France plutôt que de se plier à une réglementation qu’elle estime dangereuse pour la vie privée de ses utilisateurs.

Résultat ? Une ruée spectaculaire vers les VPN gratuits, ces outils permettant de contourner les restrictions géographiques. ProtonVPN, en particulier, a connu un pic de téléchargements de +1000 % en seulement 30 minutes. Du jamais vu, même comparé à des précédents marquants comme la censure de TikTok aux États-Unis.

© Proton AG – source

Le porno, levier de sensibilisation à la vie privée ?

Le paradoxe est amusant.

En quelques heures, des milliers d’internautes se sont soudain intéressés aux questions de traçage, d’anonymat et de souveraineté numérique, non pas pour protéger leurs mails ou chiffrer leurs données bancaires, mais pour continuer à accéder à leurs sites pour adultes préférés.

Ironiquement, ce n’est pas la perspective d’un traçage massif qui a mis les internautes en alerte, mais la coupure soudaine de leur accès aux vidéos. Là où Aylo s’est opposée à un principe de surveillance jugé dangereux, les utilisateurs, eux, ont surtout réagi à la privation de contenu.

Sur X, le débat est aussi chaud que les vidéos désormais inaccessibles. De nombreux utilisateurs y recommandent l’usage du navigateur Opera, qui intègre un VPN « gratuit » par défaut. Une solution simple et rapide… mais pas sans contreparties.

Aylo détient Youporn, Pornhub et RedTube

Opera, vraiment un bon plan pour se faire plaisir ?

Face à la panique, Opera apparaît comme une solution miracle : gratuit, sans limite, pas besoin de configuration complexe, le VPN intégré permet de changer de localisation en quelques clics. Sauf que…

De nombreux internautes se montrent sceptiques, voire inquiets. Opera appartient depuis 2016 à un consortium chinois. Son VPN n’en est pas vraiment un. Il s’agit plutôt d’un proxy HTTPS, et la politique de confidentialité n’est pas des plus rassurantes.

Or, dans un contexte aussi sensible que la consultation de contenus pour adultes, beaucoup hésitent à confier leur navigation à un fournisseur qui pourrait collecter, analyser ou revendre des données d’usage.

Autrement dit : oui, Opera permet d’accéder à Pornhub depuis la France, mais à quel prix ? Quand on utilise un VPN pour de la consultation porno, la discrétion, c’est pas mal quand même. 😉

Une nouvelle opportunité pour les VPN

Des fournisseurs comme Proton VPN, basé en Suisse, ou encore PrivadoVPN, ont vu leur nombre d’inscriptions grimper en flèche. Leur force ? Une politique stricte de non-conservation des logs, une transparence accrue, et une indépendance géopolitique qui rassure les utilisateurs soucieux de ne pas se faire pister.

Ce regain d’intérêt pour les VPN sans log pourrait bien être un tournant : celui où la protection de la vie privée passe enfin du discours à la pratique même si le porno aura été l’élément déclencheur.

Note de transparence :

Cet article n'est pas sponsorisé. Il traite simplement d'un sujet d'actualité pertinent dans le domaine de la protection des données.

Si vous décidez d’essayer un service via le lien fourni, l’équipe de VPN Mon Ami recevra une petite commission sans frais supplémentaires pour vous. Cette commission nous permet de continuer à fournir du contenu de qualité et à maintenir ce site indépendant sans bannières publicitaires intrusives, pour une lecture plus agréable sans suivi.

Soyez assuré que notre analyse et nos opinions sont objectifs et basées sur nos recherches et notre expérience dans le domaine de la cybersécurité. Nous sommes indépendants.

Mise à jour – Juillet 2025 :

Depuis la publication de cet article, CyberGhost a complété sa communication avec davantage de détails.

Il apparaît que les identifiants compromis proviennent bien d’infections par des malwares sur les appareils des utilisateurs, et non d’une brèche interne.

L’équipe de CyberGhost indique avoir réinitialisé les mots de passe concernés, contacté les utilisateurs affectés et renforcé la surveillance de fuites externes. La question de la protection côté client reste prioritaire, notamment en l’absence de 2FA pour tous.

En octobre 2024, des informations ont circulé concernant une potentielle fuite de données impliquant plus de 80 000 identifiants de comptes CyberGhost VPN, qui auraient été compromis à cause de malwares. Ces informations proviendraient d’un rapport publié par une entreprise spécialisée en sécurité, mais il n’a pas été possible de vérifier l’authenticité de ce document ni d’y accéder directement. De plus, plusieurs sources médiatiques, qui auraient relayé l’information, ne sont plus accessibles, ce qui rend l’affaire encore plus floue. Alors, simple spéculation ou problème réel de sécurité ? Décryptage.

Les faits : rumeurs ou réalité ?

Le rapport initial, évoqué par divers articles (mais désormais introuvables), mentionnerait que plus de 2 millions de mots de passe VPN provenant de plusieurs fournisseurs auraient été divulgués, avec 83 600 appartenant à des utilisateurs de CyberGhost. Ces données auraient été récupérées par différents moyens, allant du brute force (forçage de mots de passe par essais) à des campagnes de phishing plus sophistiquées. Cependant, en l’absence de méthodologie ou de preuves tangibles, il est difficile de prendre ces chiffres pour argent comptant.

CyberGhost a réagi rapidement, affirmant que leurs serveurs n’ont pas été compromis, et que les mots de passe récupérés proviendraient probablement d’ordinateurs personnels infectés par des malwares. Toutefois, sans accès au document original ni confirmation de la part de sources indépendantes, il est prudent de considérer ces informations avec précaution.

La réponse de CyberGhost

CyberGhost affirme que cette fuite n’est pas représentative de leur sécurité, mais uniquement le résultat d’ordinateurs infectés par des malwares. Pourtant, minimiser la gravité d’une telle annonce peut donner l’impression d’un manque de transparence. En effet, s’il est vrai que l’infection par malware est hors de leur contrôle direct, les utilisateurs se fient à ce type de services pour leur sécurité en ligne. D’où l’importance pour les VPN de proposer des moyens plus solides pour détecter et alerter sur de telles fuites, qu’elles proviennent d’un problème de sécurité interne ou externe.

CyberGhost a également mentionné que ce rapport a été publié sans notification préalable, ce qui va à l’encontre des bonnes pratiques de divulgation responsable. Sans validation indépendante, il est difficile de juger de la véracité de ces allégations.

©CyberGhostVPN

Doit on y voir une menace plus globale ?

Cette fuite soulève des questions plus larges sur la sécurité des utilisateurs de VPN. Les VPN, souvent perçus comme des outils absolus contre la surveillance et les attaques, ne sont finalement qu’un outil parmi d’autres. La vraie sécurité dépend des pratiques des utilisateurs (comme l’utilisation de mots de passe forts et uniques) et de la capacité des fournisseurs à répondre de manière proactive aux menaces.

Dans ce cas précis, il est regrettable que le rapport ne soit pas accessible et que les sources mentionnées soient inaccessibles. Cela empêche une évaluation plus objective de la situation. Il est probable que ce type de rapport cherche à faire sensation en citant des acteurs majeurs pour renforcer son impact médiatique, mais sans preuves tangibles, il faut rester vigilant.

Conclusion : ne cédez pas à la panique

En fin de compte, que faut-il retenir ? Rien ou presque.
Même si cette fuite ne signifie pas nécessairement que les serveurs de CyberGhost ont été compromis, restez simplement prudent. Changez régulièrement vos mots de passe, activez l’authentification à deux facteurs quand cela est possible, et n’utilisez pas le même mot de passe sur plusieurs plateformes. Les services VPN peuvent vous protéger contre certaines menaces, mais ils ne remplacent pas une bonne hygiène numérique et une vigilance de tous les instants.

Le fournisseur de VPN Surfshark a une nouvelle fois passé avec succès un audit indépendant de sa politique no-logs. C’est le cabinet Deloitte, l’un des cabinets d’audit les plus réputés au monde (fait partie des Big Four), qui a mené cette évaluation rigoureuse.

Ce n’est pas une première pour Surfshark, qui confie régulièrement ce type de vérification à Deloitte afin d’assurer à ses utilisateurs que leur activité en ligne n’est ni suivie ni enregistrée.

Pourquoi les fournisseurs de VPN sont-ils audités ?

Les cabinets d’audit en cybersécurité sont des entités légitimes et indépendantes qui fournissent des services d’évaluation de la sécurité informatique à d’autres entreprises.

En utilisant des méthodes de test transparentes et approfondies, ils ont pour objectif d’identifier les vulnérabilités et les risques potentiels des systèmes informatiques et des réseaux d’une entreprise. Ils peuvent également fournir des recommandations pour corriger les failles détectées.

Les audits de cybersécurité incluent des vérifications de la conformité aux normes de sécurité établies, des tests d’intrusion, des évaluations de la configuration de la sécurité et des analyses de la sécurité des applications.

Surfshark n’en est pas à son premier audit et faisait auparavant appel à Cube53.

Sur quoi portait l’audit de Surfshark ?

Cet audit de juin 2025 se concentrait sur le point le plus crucial pour un VPN : l’absence de journaux d’activités (no-logs). Pour cela, Deloitte a appliqué la norme ISAE 3000 (norme internationale encadrant les audits indépendants de type non financier), qui encadre les vérifications indépendantes liées aux systèmes d’information et à la protection des données.

Bien qu’un audit puisse, en théorie, couvrir l’intégralité des services, la plupart des fournisseurs de VPN sans log, y compris Surfshark, se concentrent sur les composants essentiels liés à la confidentialité. Deloitte a donc analysé en profondeur les éléments suivants :

• La configuration des serveurs VPN (standards, multi-hop, statiques)
• Les processus de déploiement automatisé
• Les API et microservices internes
• L’architecture réseau (SDN)
• Les politiques internes via des entretiens avec les employés clés

Ces vérifications visaient à confirmer que les déclarations de Surfshark en matière de non-conservation des données sont bien appliquées dans la pratique. Résultat : aucune incohérence n’a été relevée.

Voici un extrait des conclusions du rapport de Deloitte :

« Sur la base des procédures effectuées et des preuves obtenues, à notre avis, la configuration des systèmes informatiques et la gestion des opérations informatiques de soutien sont correctement préparées, dans tous les aspects matériels, conformément à la description par Surfshark de sa politique de non-enregistrement. »

Le rapport officiel est accessible aux utilisateurs directement depuis leur interface Surfshark.

En savoir plus sur Surfshark VPN

Surfshark est un excellent choix pour ceux qui cherchent un VPN pas cher. Il propose des tarifs abordables tout en offrant une large gamme de fonctionnalités de sécurité pour protéger votre vie privée en ligne. Il vous permet de contourner les restrictions géographiques et de protéger vos données en utilisant des protocoles de sécurité nouvelle génération.

En utilisant Surfshark, vous pouvez vous connecter à plus de 3 200 serveurs dans plus de 100 emplacements dans le monde, ce qui vous permet de débloquer des contenus géo-restreints et de naviguer sur Internet de manière totalement confidentielle. Il vous offre également la possibilité d’utiliser l’application sur un nombre illimité d’appareils en même temps, avec un seul abonnement.

Surfshark s’appuie sur des protocoles, tels que OpenVPN, WireGuard® et IKEv2, pour protéger vos données et garantir votre vie privée. Il dispose également d’une fonctionnalité de « CleanWeb » qui bloque les publicités et les trackers en ligne.