document.addEventListener("DOMContentLoaded", function(event) { var classname = document.getElementsByClassName("atc"); for (var i = 0; i

ExpressVPN Keys password manager vient d’être audité avec succès par Cube53

par | 23 Déc 2022 | Actualités VPN

Le cabinet indépendant Cure53 vient de terminer l’audit de la sécurité du gestionnaire de mots de passe intégré dans les applications ExpressVPN iOS et Android. Les mots de passe font partie intégrante de notre vie numérique. Mais le grand nombre de mots de passe que chacun d’entre nous doit connaître, combiné à la complexité requise pour que les mots de passe soient forts, a conduit à la création de gestionnaires de mots de passe pour un stockage sûr et un accès simple et rapide.

Depuis quand ExpressVPN a un gestionnaire de mot de passe ?

He oui ! Vous ne le saviez peut-être pas, mais il n’y a pas que Nord Security qui se lance dans le développement de gestionnaire de mot de passe. Au début de l’année 2022, ExpressVPN a lancé une version bêta de ExpressVPN Keys, un gestionnaire de mots de passe inclus gratuitement dans les applications ExpressVPN pour iOS et Android. Ce lancement est passé sous les radars. En effet, le déploiement est lent et s’adresse uniquement aux utilisateurs ayant déjà un compte ExpressVPN actif. ExpressVPN Keys est uniquement disponible sur iOS, Android et en tant qu’extension du navigateur Chrome. Conçues pour protéger les données de connexion des utilisateurs grâce à un chiffrement à connaissance zéro, seul l’utilisateur disposant de son mot de passe principal peut accéder à l’ensemble de ses mots de passe. Même ExpressVPN, en tant que fournisseur de gestion de mots de passe, n’y a pas accès. C’est la magie de la connaissance zéro ! Illustration : ExpressVPN Keys Interface

©ExpressVPN

Si vous souhaitez en savoir plus : Les gestionnaires de mots de passe sont-ils sûrs ?

Toujours en version Bêta mais déjà audité

Comme à son habitude, ExpressVPN n’a pas tardé a lancer un audit indépendant. C’est Cure53 qui a été chargé d’inspecter ExpressVPN Keys sur les applications mobiles Android et iOS. Illustration : header de cube 53 « La confidentialité et la sécurité étant au cœur de tout ce que nous faisons, nous voulions nous assurer que ExpressVPN Keys répond aux normes de sécurité que nos utilisateurs de VPN attendent », a déclaré Brian Schirmacher, responsable des tests de pénétration chez ExpressVPN.

ExpressVPN Keys : une conception tournée vers une sécurité de haut niveau

Les évaluations de la sécurité des applications mobiles Android et iOS ont été réalisées via des tests de pénétration en boîte blanche et des audits du code source. L’audit de l’application Android a été réalisé en août 2022, et celui d’iOS entre fin août et début septembre 2022.

Un test en boîte blanche signifie que certaines données sont fournis aux pentesteurs avant qu’ils ne commencent. Ces informations peuvent être des informations sur le réseau cible, des détails tels que les adresses IP, des schémas de l’infrastructure du réseau et les protocoles utilisés, ainsi que le code source.

Cure53 n’a identifié aucune vulnérabilité dans les deux applications. Les audits ont révélé seulement deux problèmes d’information sur Android, et un problème d’information sur iOS.

Illustration : interface ExpressVPN Keys

« Compte tenu de l’importance des identifiants de connexion pour le cadre général, la sécurité des données au repos a été rigoureusement évaluée. À cet égard, les fonctions cryptographiques utilisées par le gestionnaire de mots de passe pour stocker les informations d’identification ont recueilli une solide impression dans l’ensemble », note Cure53 dans son rapport.

Les ingénieurs d’ExpressVPN ont traité tous les problèmes d’information et les a examinés avec Cure53.

Lisez les audits de Cure53 sur notre application Android et notre application iOS.

Un audit de l’extension de navigateur pour Chrome ExpressVPN Keys est actuellement en cours, nous mettrons cet article à jour quand les conclusions de Cube53 seront disponibles.

2022, l’année des audits indépendants chez ExpressVPN

Depuis toujours, ExpressVPN fait examiné ses applications et extentions de navigateurs par des tiers spécialisés indépendants. L’année 2022 est une année record en matière d’audit.

Voici une liste de nos audits externes, classés par ordre chronologique :

  • Un audit par KPMG de leur politique de VPN sans log (septembre 2022)
  • Un audit par Cure53 de l‘application VPN Linux d’ExpressVPN (août 2022)
  • Un audit par Cure53 de l’application macOS (juillet 2022)
  • Un audit de sécurité par Cure53 du routeur Aircove (juillet 2022)
  • Un audit de sécurité par Cure53 de TrustedServer, la technologie interne de serveur VPN RAM d’ExpressVPN (mai 2022)
  • Un audit par F-Secure de l’application Windows v12 (avril 2022)
  • Un audit de sécurité par F-Secure de l’application Windows v10 (mars 2022)

On attend 2023 avec impatience pour un déploiement complet de ExpressVPN Keys.

Share This