Fuite chez ExpressVPN : que s’est-il vraiment passé, et faut-il s’inquiéter ?
Un bug dans l’application Windows d’ExpressVPN a brièvement exposé l’adresse IP réelle de certains utilisateurs. Corrigée rapidement, cette vulnérabilité relance la question de la transparence et de la confiance envers les services VPN. On fait le point sur qui est concerné et ce qu’il s’est vraiment passé.
Une faille sur Windows ? Oui. Une fuite grave ? Pas vraiment.
Le mot « fuite » suffit à déclencher l’alerte rouge dans le monde des VPN. Pourtant, tous les bugs ne se valent pas. ExpressVPN a récemment publié un article de blog officiel pour revenir sur une vulnérabilité découverte en avril 2025 dans son application Windows, liée au protocole Remote Desktop (RDP).
La faille a été corrigée depuis des semaines. Mais que s’est-il passé, concrètement ? Et surtout, faut-il s’en inquiéter en tant qu’utilisateur ?
Le bug RDP : un contournement du tunnel VPN sur le port 3389
Dans certaines versions de son application Windows (de la 12.97 à la 12.101.0.2-beta), ExpressVPN avait laissé du code de débogage actif, destiné à faciliter le diagnostic en interne. Problème : ce code permettait au trafic RDP (Remote Desktop Protocol) d’éviter le tunnel VPN et de transiter en clair sur le réseau local ou via le FAI.
C’est quoi une « fuite RDP » ?
Le protocole RDP (Remote Desktop Protocol) permet de se connecter à distance à un ordinateur, souvent utilisé pour du télétravail ou du support technique. Normalement, avec un VPN actif, tout le trafic réseau, y compris celui de RDP, passe par un tunnel chiffré.
Mais dans ce cas précis, un ancien code de débogage avait laissé le trafic RDP (port 3389) en dehors du tunnel, exposant l’adresse IP réelle de l’utilisateur au fournisseur d’accès à Internet et/ou sur le réseau local.
👉 Ce n’est pas une fuite de contenu, mais une fuite d’IP, ce qui peut suffire à compromettre la confidentialité dans certains contextes.
Concrètement : si vous utilisiez RDP avec ExpressVPN activé, votre adresse IP réelle pouvait être exposée, alors que vous pensiez être entièrement protégé.
À noter que cela ne concernait que le port 3389, et aucune donnée n’était déchiffrée. Le contenu des communications restait chiffré, mais l’IP source, celle que le VPN est censé masquer, pouvait être visible.
Qui était concerné ? (Probablement pas vous)
Cette faille ne touche pas les utilisateurs classiques : elle concerne uniquement ceux qui :
- Utilisent Windows,
- Exécutent une session Remote Desktop,
- Ont une version spécifique du client ExpressVPN,
- Et ne se trouvent pas derrière un autre pare-feu ou routeur limitant le trafic sortant.
Autrement dit, l’écrasante majorité des utilisateurs n’a jamais été exposée.
© Microsoft 2025
Une réponse rapide, un patch efficace
Voici le déroulé précis :
- 25 avril 2025 : la vulnérabilité est signalée par le chercheur « Adam‑X » via le programme de bug bounty d’ExpressVPN.
- 5 jours plus tard : ExpressVPN publie un correctif dans la version 12.101.0.45.
- Juin 2025 : le rapport est clôturé après vérification complète.
- 22 juillet 2025 : ExpressVPN rend l’information publique via son blog.
L’entreprise a également annoncé avoir renforcé ses processus internes, notamment ses tests automatisés, pour éviter qu’un code de debug se retrouve en production à l’avenir.
Ce que cela dit d’ExpressVPN
On peut toujours reprocher à un VPN d’avoir laissé passer une faille, surtout sur un aspect aussi critique que la confidentialité IP. Mais ici, ExpressVPN :
- A identifié le bug grâce à son programme de divulgation responsable,
- A corrigé l’erreur en moins d’une semaine,
- A communiqué publiquement une fois la correction confirmée.
Cette gestion de crise est plutôt exemplaire.
Que devez-vous faire si vous êtes concerné ?
- Si vous êtes sous Windows et que vous utilisez ExpressVPN, vérifiez que votre application est bien à jour (version 12.101.0.45 ou supérieure).
- Si vous ne savez pas ce qu’est RDP ou que vous n’en avez jamais eu besoin, cette faille ne vous a probablement jamais touché.
- Conseil général : mettez vos applications VPN à jour régulièrement. C’est encore la meilleure protection contre ce type d’incident, qui, je le répète n’est pas rare.
Pour en savoir plus : Que choisir à la place d’ExpressVPN ? Comparatif complet
En conclusion : pas de scandale, mais un rappel salutaire
Cette faille, bien que réelle, n’a pas exposé massivement les utilisateurs, ni permis l’interception de données sensibles. Elle rappelle cependant que même les meilleurs VPN peuvent avoir des bugs, et que la clé, c’est leur capacité à les corriger vite, proprement, et ouvertement.
Dans un contexte où la confiance est essentielle, ExpressVPN sort de cet épisode sans tâche durable, mais avec un bon rappel pour tout le monde : vérifiez vos paramètres, tenez vos outils à jour, et ne misez pas tout sur la magie d’un bouton ON.
A propos de l'auteur : Lisa
Fondatrice de VPN Mon Ami
Experte en cybersécurité avec plus de 12 ans d'expérience dans le domaine des VPN, j'écrit de nombreux articles pour sensibiliser les internautes à la confidentialité en ligne.
Note de transparence :
Cet article n'est pas sponsorisé. Il traite simplement d'un sujet d'actualité pertinent dans le domaine de la protection des données.
Si vous décidez d’essayer un service via le lien fourni, l’équipe de VPN Mon Ami recevra une petite commission sans frais supplémentaires pour vous. Cette commission nous permet de continuer à fournir du contenu de qualité et à maintenir ce site indépendant sans bannières publicitaires intrusives, pour une lecture plus agréable sans suivi.
Soyez assuré que notre analyse et nos opinions sont objectifs et basées sur nos recherches et notre expérience dans le domaine de la cybersécurité. Nous sommes indépendants.
