ExpressVPN publie un nouveau rapport d’audit tiers

par | 18 Avr 2024 | Actualités VPN

Illustration : ExpressVPN publie un nouveau rapport d'audit tiers

Le fournisseur de réseau privé virtuel ExpressVPN a récemment publié un rapport d’audit mené par Nettitude, une société de cybersécurité reconnue. Cette évaluation indépendante a ciblé les applications Windows de ExpressVPN, plus précisément la gestion des DNS lors de l’utilisation de la fonctionnalité de split tunneling.

Nettitude, le cabinet d’audit tiers

Nettitude, responsable de l’audit, est un acteur dans le domaine de la cybersécurité. Certifié par le Conseil des normes de sécurité PCI (PCI SSC), Nettitude offre des services d’évaluation et de certification pour aider les organisations à démontrer leur conformité aux normes PCI DSS. Leur expertise s’étend aux évaluations sur site, où ils collaborent étroitement avec les équipes clients pour s’assurer que toutes les exigences de sécurité sont scrupuleusement respectées.

Problématique et solution

L’audit a été initié suite à un signalement par Attila Tomaschek, expert VPN chez CNET, qui a observé des comportements inattendus de requêtes DNS lors de l’utilisation du tunnel fractionné. ExpressVPN a réagi promptement en déployant un correctif, validé par des tests indépendants menés tant en interne que par le rapporteur original. Néanmoins, afin de s’assurer de la rectification complète du problème et de la sécurisation de ses applications, ExpressVPN a sollicité Nettitude pour une évaluation plus poussée.

Pour en savoir plus : Tunnel fractionné vs tunnel VPN complet : avantages et inconvénients

Résultats et implications

L’audit de Nettitude a conclu à une robustesse générale de l’application, avec la découverte d’une seule faille de sécurité de gravité moyenne, depuis résolue. Ce contrôle rigoureux ne s’est pas seulement arrêté à la correction d’un bug, mais a aussi mené à une réflexion approfondie sur les fuites de DNS dans le secteur des VPN.

Selon une étude publié par ExpressVPN dans l’archive d’ingénierie engrXiv, les fuites DNS sont divisées en deux catégories : le Type 1, où les requêtes DNS contournent le tunnel VPN en raison d’erreurs de configuration, et le Type 2, plus subtil, où les requêtes sont dirigées vers des serveurs DNS non choisis délibérément par l’utilisateur. Ce dernier point souligne un risque souvent sous-estimé mais significatif pour la confidentialité des utilisateurs.

Vers une nouvelle norme de sécurité

Cette étude souligne la nécessité d’une réévaluation des méthodes traditionnelles de détection des fuites DNS. Avec les serveurs DNS furtifs passant inaperçus par les outils conventionnels, il devient impératif de renforcer les mesures de sécurité côté serveur et de promouvoir une liste blanche stratégique de serveurs DNS. L’objectif est clair : renforcer la confidentialité et la sécurité en ligne tout en poussant l’industrie vers des standards de transparence et de coopération accrus.

Chaque jour, vous êtes de plus en plus nombreux à consulter nos pages et à nous poser des questions pour comprendre comment sécuriser vos données personnelles et réduire votre suivi en ligne. Merci pour votre intérêt et vos nombreux partages !
A propos de l'auteur : Lisa

A propos de l'auteur : Lisa

Fondatrice de VPN Mon Ami

Chef de projet, je suis régulièrement confrontée aux questions relatives à la confidentialité dans mon activité.

Note de transparence :

Cet article n'est pas sponsorisé. Il traite simplement d'un sujet d'actualité pertinent dans le domaine de la protection des données.

Share This