ExpressVPN publie un audit de sécurité externe et une extension de navigateur open-source

Une illustration d'une serrure avec une loupe tenue dessus. La lentille sur la loupe révèle le fonctionnement interne de la serrure. Comme si la loupe était une sorte de machine à rayons X magique, peut-être du futur.


De l’extérieur, la plupart des serrures se ressemblent. Certains peuvent résister à la cueillette ou au choc, d’autres peuvent être renforcés contre les exercices, mais vous ne sauriez jamais rien qu’en regardant. Pour reconnaître le verrou le plus solide, vous devez essayer de le choisir vous-même, demander à un serrurier de le tester, ou peut-être même de le démonter pour examiner la conception..

Les VPN sont un peu comme ça. Donc, même si nous sommes convaincus qu’ExpressVPN offre une sécurité et une confidentialité de pointe, nous savons qu’il n’est peut-être pas facile de le dire de l’extérieur..

Nous voulons que vous soyez aussi confiants que nous le sommes, donc nous nous engageons à vous fournir les informations dont vous avez besoin pour voir par vous-même. C’est pourquoi nous avons publié des outils de test de fuite open source – un peu comme fournir un ensemble de crochets – et décrit en détail nos pratiques de sécurité au cours de la dernière année..

Aujourd’hui, nous annonçons deux nouvelles initiatives de confiance et de transparence qui permettent à chacun de vérifier que nous tenons nos promesses: un audit de sécurité indépendant et rendu public et l’open source de l’extension de navigateur ExpressVPN.

Cure53 met à l’épreuve les revendications de sécurité d’ExpressVPN

Les tests tiers indépendants sont un élément clé de l’approche d’ExpressVPN en matière de sécurité, et nous engageons régulièrement des auditeurs de sécurité et des testeurs de pénétration. Dans le passé, nous avons utilisé ces audits pour renforcer la sécurité de notre service, mais à mesure que l’industrie du VPN évolue, nous constatons également l’importance de publier les résultats dans le cadre de notre engagement en matière de confiance et de transparence. À cette fin, nous publions aujourd’hui notre premier audit de sécurité publique indépendant, le premier de nombreux à venir..

Pour cet audit, nous avons invité le cabinet de cybersécurité respecté Cure53 à effectuer un examen approfondi de la sécurité de notre extension de navigateur, offrant à ses experts un accès complet au code source et aux versions. Une équipe de quatre testeurs Cure53 a évalué les protections de sécurité et de confidentialité de l’extension sur sept jours en octobre 2018, puis a effectué un suivi à la mi-novembre pour confirmer que tout problème identifié avait été corrigé..

Selon le rapport indépendant de Cure53, accessible au public sur le site Web de la firme, “les résultats de cette évaluation Cure53 de l’extension de navigateur ExpressVPN pour Chrome sont positifs, et le processus de vérification des correctifs à la mi-novembre 2018 le confirme.”

Dans son enquête, Cure53 a identifié huit problèmes, dont aucun n’a reçu un niveau de gravité supérieur à «moyen». Cure53 déclare que «assez clairement, c’est un bon indicateur de sécurité.”

Parmi les problèmes, trois ont été signalés comme «moyens», deux «faibles» et trois «informationnels». L’équipe d’ingénierie d’ExpressVPN a rapidement répondu à ces constatations, et Cure53 l’a vérifié dans le cadre de l’audit. Cure53 note en outre qu ‘«il faut souligner qu’aucun problème de sécurité qui permettrait aux [attaquants] d’influencer l’état de la connexion VPN via une page Web malveillante ou similaire n’a été découvert». En d’autres termes, rien n’a été trouvé pour avoir un impact fondamental sur la sécurité et la confidentialité de base protection offerte par ExpressVPN.

Nous sommes heureux que cet audit réaffirme et renforce la sécurité de notre extension de navigateur, et nous sommes impatients de partager d’autres évaluations indépendantes dans un proche avenir.

L’open source permet à quiconque de consulter notre code

En plus de l’audit, nous publions également le code source de l’extension de navigateur ExpressVPN sous une licence open-source (GNU General Public License, version 2). Cela vous permet, à vous ou à tout tiers, d’effectuer le même type d’évaluation que Cure53.

L’une des raisons pour lesquelles nous l’avons fait provient du fonctionnement des extensions. Une extension nécessite un ensemble étendu d’autorisations pour fonctionner, dont certaines peuvent sembler alarmantes lorsqu’elles sont demandées par votre navigateur. (Par exemple, une autorisation avertit que l’extension peut «lire et modifier toutes vos données sur les sites Web que vous visitez.»)

Ces autorisations sont nécessaires pour fournir toutes les fonctions de confidentialité et de sécurité d’un VPN ainsi que des avantages supplémentaires, tels que la protection contre les logiciels malveillants. En open-source notre extension, nous invitons tout le monde à regarder sous le capot et confirmer que nous utilisons ces autorisations de manière responsable et uniquement pour les raisons que nous avons données.

Pour afficher le code source de la dernière version de l’extension de navigateur ExpressVPN, consultez notre page GitHub.

Notre engagement envers la confiance et la transparence dans l’industrie VPN

Ce que nous avons annoncé aujourd’hui sont deux des dernières étapes de notre quête non seulement pour démontrer notre engagement envers la sécurité et la confidentialité, mais aussi pour aider à placer la barre de la confiance et de la transparence dans l’industrie du VPN.

Comme nous l’avons noté l’année dernière lorsque nous avons lancé une initiative intersectorielle avec le Center for Democracy and Technology pour élever les normes pour tous les VPN, nous pensons que tout ce qui aide les utilisateurs d’Internet à prendre des décisions plus éclairées lors du choix d’un VPN rend finalement Internet plus privé et sécurisé pour tous.

Alors que nous continuons à concevoir de nouvelles et meilleures façons de protéger la confidentialité et la sécurité en ligne, nous sommes impatients de publier plus d’audits, d’outils et d’informations qui vous permettront de voir et de décider par vous-même quel VPN offre la protection dont vous avez besoin..

Note de l’éditeur: 2 août 2019
Conformément à notre engagement de continuer à publier des audits plus indépendants, nous avons récemment invité PwC à vérifier que nos serveurs VPN respectent notre politique de confidentialité et à auditer notre technologie TrustedServer. Pour en savoir plus et lire le rapport d’audit complet de PwC, consultez notre blog complet d’annonce.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map