- Home
- Confiance
Centre de confidentialité d'ExpressVPN
ExpressVPN est avant tout une entreprise spécialisée dans les technologies de confidentialité sur internet. Nos utilisateurs nous font confiance pour protéger leurs données grâce à une combinaison de ressources matérielles, logicielles de pointe et à nos experts qualifiés. Découvrez comment nous avons gagné cette confiance.
La sécurité chez ExpressVPN : Nos 4 stratégies clés
Découvrez ci-après comment nous procédons pour préserver la sécurité de nos systèmes et de nos utilisateurs.
1. Rendre les systèmes difficiles à hacker
Le logiciel ExpressVPN est protégé – dès sa conception à sa version définitive – contre toute infection par des codes malveillants, grâce à un système interne de contrôle de versions audité par un organisme indépendant.
Nous utilisons une paire de clés publique/privée pour divers objectifs de sécurité tels que : l'authentification à deux facteurs, la signature des Git commits et la connexion à un serveur via SSH. Nous diminuons le risque de vol de nos clés privées en les enregistrant dans des supports de sécurité matériels. Cela signifie que même si nos postes de travail sont exposés à un risque de sécurité, un hacker ne pourra pas dérober nos clés privées.
Ces supports de sécurité matériels sont sécurisés avec des phrases secrètes complexes et sont configurés de manière à s'arrêter après plusieurs tentatives de déverrouillage échouées. Les appareils nécessitent une action physique pour fonctionner, ce qui signifie qu'un malware ne peut pas voler les clés sans l'intervention d'un humain.
Tout code en développement nécessite au moins l'intervention d'une deuxième personne pour agir en tant que réviseur. Cela rend difficile l'ajout de code malveillant provenant soit d'une menace interne soit d'un poste de travail compromis.
Nous utilisons le protocole SSH comme moyen pour accéder à nos serveurs stratégiques à distance. Ces serveurs SSH sont configurés pour utiliser uniquement un ensemble de systèmes de chiffrement, d'algorithmes d'échange de clés et de MAC hautement sécurisés. Nous n'autorisons pas la connexion en tant qu'utilisateur root. De plus, l'authentification ne peut aboutir qu'avec l'utilisation de clés SSH complexes, les mots de passe étant refusés. Nous utilisons des hôtes bastions SSH intermédiaires pour séparer l'infrastructure de production du réseau internet. Ces machines autorisent uniquement le trafic provenant d'adresses figurant sur une liste blanche d'IP.
Toute cette configuration est définie avec un code. Elle est donc reproductible et évaluée par des tiers.
Pour les machines de production, les dépendances logicielles sont mises à jour automatiquement grâce à des mises à niveau automatiques.
2. Minimisation des dommages potentiels
Pour limiter la menace des clés volées et utilisées pour l'usurpation de serveurs VPN, l'appli ExpressVPN effectue des vérifications grâce à nos serveurs API dotés de paramètres de configuration à jour. Nos applications authentifient les serveurs auxquels elles se connectent en validant le nom commun et la signature de l'autorité de certification privée (CA). Un hacker ne pourra donc pas s'emparer de l'accès à nos systèmes.
Lorsque vous utilisez ExpressVPN, vos données sont protégées par un chiffrement AES-256 avancé. Il s'agit de la même norme de chiffrement utilisée par le gouvernement américain et considérée par les experts en sécurité du monde entier comme garantissant la protection des informations classifiées. Lorsque vous utilisez le gestionnaire de mots de passe (ExpressVPN Keys) d'ExpressVPN, vos données sensibles sont protégées par un chiffrement à connaissance nulle de sorte que personne (pas même nous) ne peut déchiffrer les informations conservées dans Keys. Toutes les informations sont déchiffrées uniquement sur l'appareil de l'utilisateur. Elles ne peuvent être décryptées qu'à l'aide des clés de chiffrement générées par le mot de passe principal de l'utilisateur, lequel est connu uniquement par lui.
Afin de veiller à votre sécurité et au respect de la vie privée dans le cadre de la solution d'IP dédiée d'ExpressVPN (DIP), nous recourons à une attribution d'IP à connaissance nulle et de jetons anonymes pour empêcher les administrateurs d'ExpressVPN d'identifier un utilisateur à partir de son adresse IP dédiée.
La modélisation des menaces de sécurité et de confidentialité est intégrée dans la phase de design de tout système. Nous utilisons le framework MITRE ATT&CK afin d'identifier les menaces qui peuvent exister dans nos designs, de trouver des moyens pour les supprimer et de prendre les mesures nécessaires pour minimiser les risques.
Tous nos utilisateurs, services et opérations suivent le modèle du moindre privilège. Nos employés ont une autorisation d'accès uniquement aux services et aux systèmes de production nécessaires à leurs fonctions. Nos agents de support client travaillent dans deux environnements, l'un répondant à un niveau de sécurité commun accessible via une navigation web sécurisée et l'autre hautement restrictif pour accéder à des systèmes sensibles. Dans le cas où des hackers réussissent à s'emparer de l'un de nos comptes, ces précédentes mesures permettront de minimiser l'impact des attaques.
3. Minimisation du temps d'exposition
Nous surveillons continuellement nos services internes ainsi que notre infrastructure pour toute activité anormale ou non autorisée. De plus, notre équipe de sécurité disponible 24h/24 et 7j/7 effectue une surveillance en temps réel et un tri des alertes de sécurité.
Une partie de nos systèmes est automatiquement détruite et reconstruite plusieurs fois par semaine, si ce n'est quotidiennement. Ce procédé limite le temps d'activité d'un hacker qui menace nos systèmes.
4. Validation de nos contrôles de sécurité
Nous effectuons des tests d'intrusion de manière régulière pour évaluer nos systèmes et nos logiciels afin d'identifier des failles de sécurité. Nos testeurs ont un accès complet au code source, mais ils utilisent aussi une combinaison de tests manuels et automatiques afin d'assurer une évaluation approfondie de nos services et de nos produits.
Nous faisons appel à des auditeurs indépendants pour examiner la sécurité de nos services et de nos logiciels. Ces mandats servent à valider que nos contrôles internes sont suffisamment efficaces pour éliminer les vulnérabilités en matière de sécurité, tout en offrant aux utilisateurs une documentation sur l'exactitude des déclarations de sécurité que nous faisons au sujet de nos produits.
Voir la liste complète des rapports d'audit
Innovation
Alors que nous nous efforçons d'atteindre et de porter plus haut les normes de sécurité du secteur, nous innovons également de manière constante dans la recherche de nouvelles technologies pour sécuriser nos produits et protéger la vie privée de nos utilisateurs. Découvrez ci-après deux technologies révolutionnaires conçues par ExpressVPN.
Lightway : notre protocole qui offre une expérience VPN supérieure
Lightway est un protocole VPN conçu par ExpressVPN. Un protocole VPN est la méthode par laquelle un appareil se connecte à un serveur VPN. La plupart des fournisseurs utilisent les mêmes protocoles standards, mais nous avons décidé d'en créer un protocole plus performant, afin que l'expérience VPN des utilisateurs soit non seulement plus rapide et plus fiable, mais aussi plus sûre.
Lightway utilise wolfSSL, dont la bibliothèque de cryptographie reconnue a fait l'objet d'une évaluation approfondie par des tiers, conformément à la norme FIPS 140-2.
Lightway préserve également la confidentialité persistante de nos systèmes, grâce à des clés de chiffrement dynamiques qui sont régulièrement supprimées et régénérées.
La base de code de Lightway a été rendue open source, ce qui assure son examen pour la sécurité de manière large et transparente.
Lightway inclut une prise en charge post-quantique, protégeant les utilisateurs contre les attaquants qui ont accès à la fois aux ordinateurs classiques et aux ordinateurs quantiques. ExpressVPN est un des premiers fournisseurs VPN à déployer une protection post-quantique, aidant les utilisateurs à rester en sécurité face au développement de l'informatique quantique.
En savoir plus sur Lightway ! Consultez notre blog pour obtenir des informations techniques provenant des développeurs web d'ExpressVPN sur le fonctionnement de Lightway et sur ses performances.
TrustedServer : toutes les données sont supprimées après chaque redémarrage
TrustedServer est une technologie VPN que nous avons développée et qui offre plus de sécurité à nos utilisateurs.
Elle fonctionne uniquement avec un système de mémoire vive ou RAM. Les données du système d'exploitation et les applis ne sont jamais enregistrées sur un disque dur, ce qui implique l'utilisation d'une RAM jusqu'à ce qu'elles soient supprimées. Étant donné que la RAM nécessite de l'énergie pour stocker des données, toutes les informations sur le serveur sont supprimées après chaque redémarrage, empêchant les données compromises et toute intrusion potentielle d'infecter nos systèmes.
Cela renforce la stabilité. Avec TrustedServer, chacun des serveurs d'ExpressVPN exécute le programme le plus récent, plutôt que chaque serveur reçoive une mise à jour à des moments différents selon les besoins. Cela signifie qu'ExpressVPN connait les programmes qui fonctionnent sur chaque serveur, minimisant ainsi le risque de failles ou de mauvaises configurations, tout en améliorant considérablement la sécurité VPN.
La technologie TrustedServer a été auditée par PwC.
Vous souhaitez en savoir davantage comment TrustedServer protège les utilisateurs ? Consultez notre article sur cette technologie, écrit par l'ingénieur qui a conçu le système.
ExpressVPN Keys : notre gestionnaire de mots de passe intégré
Keys est un gestionnaire de mots de passe complet conçu par ExpressVPN. Comme notre VPN, Keys est sécurisé dès la conception et donne aux utilisateurs le contrôle de leurs données. Nous avons même publié un livre blanc sur la sécurité détaillant la conception de Keys pour une transparence totale.
Keys permet aux utilisateurs de générer, de stocker et de saisir un nombre illimité de mots de passe et les alerte sur les menaces de sécurité et de violations de données. Toutes les données enregistrées dans Keys sont sécurisées par un chiffrement à connaissance nulle, ce qui garantit que personne (pas même ExpressVPN) ne peut déchiffrer l'information que nos utilisateurs enregistrent. Keys est intégré directement dans les applis ExpressVPN pour iOS et Android, et est disponible comme extension de navigateur sur les ordinateurs. En savoir plus sur Keys
IP dédiée d'ExpressVPN: une adresse IP statique avec une confidentialité inégalée
Le service d'IP dédiée d'ExpressVPN attribue une adresse IP unique exclusivement à un seul utilisateur, fournissant une identité en ligne cohérente tout en préservant la confidentialité.
Généralement, les VPN permettent à de nombreux utilisateurs de partager la même adresse IP, laquelle est un élément clé du processus de confidentialité dans les réseaux privés virtuels. Avec une IP dédiée attribuée à un seul utilisateur, des mesures particulières sont nécessaires pour assurer l'anonymat.
Bien qu'aujourd'hui les solutions présentent des vulnérabilités de sécurité et de confidentialité qui risquent de révéler la véritable adresse IP d'un utilisateur, nous avons pris des précautions supplémentaires pour maintenir l'anonymat de nos utilisateurs, comme expliqué dans notre livre blanc technique.
Nous utilisons un système de jetons anonymes pour dissocier vos données de paiement de l'adresse IP que nous attribuons à un utilisateur. Nous ne pouvons jamais retracer une IP dédiée et l'associer à l'utilisateur.
Audits de sécurité indépendants
Nous faisons régulièrement appel à des organismes tiers pour réaliser des audits approfondis de nos produits. Voici une liste complète de nos audits externes, classés par ordre chronologique :
Un second audit par Cure53 de l'extension de navigateur ExpressVPN (juin 2024)
Un audit de l'application Windows pour confirmer la résolution d'un problème DNS lié au Split Tunneling (avril 2024)
Un audit par KPMG pour évaluer notre politique de confidentialité (décembre 2023)
Le deuxième audit de notre protocole VPN Lightway par Cure53 (novembre 2022)
Un audit par Cure53 de l'extension de navigateur ExpressVPN Keys (octobre 2022)
Un audit par Cure53 de l'extension de navigateur ExpressVPN (octobre 2022)
Un audit par KPMG de notre politique "No Logs" (septembre 2022)
Un audit de sécurité par Cure53 de notre appli pour iOS (septembre 2022)
Un audit de sécurité par Cure53 de notre appli pour Android (août 2022)
Un audit par Cure53 de notre appli pour Linux (août 2022)
Un audit par Cure53 de notre appli pour macOS (juillet 2022)
Un audit de sécurité par Cure53 de notre routeur Aircove (juillet 2022)
Un audit de sécurité par Cure53 de TrustedServer, notre technologie interne de serveur VPN (mai 2022)
Un audit par F-Secure de notre appli pour Windows v12 (avril 2022)
Un audit de sécurité par F-Secure de notre appli pour Windows v1 0 (mars 2022)
Un audit de sécurité par Cure53 de notre protocole VPN Lightway (août 2021)
Un audit par PwC Suisse sur notre processus de vérification de build (juin 2020)
Un audit de sécurité par Cure53 de notre extension de navigateur (novembre 2018)
Rapport de transparence
Nos rapports de transparence biannuels fournissent des informations sur les demandes de données utilisateur reçues par notre service juridique.
Bien que nous recevions régulièrement de telles demandes, notre politique des données personnelles garantit que nous n'avons jamais rien à partager. Nous n'enregistrons ni ne conserverons jamais vos activités en ligne ou vos informations personnelles, y compris votre historique de navigation, la destination du trafic ou les métadonnées, les requêtes DNS ou les adresses IP qui vous sont attribuées lorsque vous vous connectez à notre VPN.
Nous ne pouvons jamais fournir ces données, car elles n'existent tout simplement pas. En publiant ces informations complémentaires sur les demandes que nous recevons, nous visons à offrir une transparence accrue sur la manière dont nous protégeons nos utilisateurs.
Demandes de données utilisateur
Période : janvier - juin 2024
Type | Demandes reçues |
Demandes gouvernementales, policières et civiles | 170 |
Demandes DMCA | 259 561 |
Mandats de toute institution gouvernementale | 2 |
Obligation de silence | 0 |
Lettres de sécurité nationale | 0 |
Période : juillet - décembre 2023
Type | Demandes reçues |
Demandes gouvernementales, policières et civiles | 194 |
Demandes DMCA | 152 653 |
Mandats de toute institution gouvernementale | 0 |
Obligation de silence | 0 |
Lettres de sécurité nationale | 0 |
Programme de chasse aux bugs
À travers notre programme de chasse aux bugs, nous invitons les chercheurs en sécurité à tester nos systèmes et à recevoir des récompenses financières pour les problèmes qu'ils découvriront. Ce programme nous permet de collaborer avec un grand nombre de testeurs qui évaluent régulièrement la sécurité de notre infrastructure et de nos applications. Les résultats de recherche sont ainsi validés puis corrigés, ce qui garantit la sécurité de nos produits.
Le champ d'application de notre programme comprend les failles potentielles dans nos serveurs VPN, dans nos applis et extensions navigateurs, dans notre site web, etc. Pour les utilisateurs qui signalent les bugs, nous offrons un environnement de sécurité complet reflétant les meilleures pratiques au monde dans le domaine de la recherche sur la sécurité web.
Notre programme de chasse aux bugs est géré par Bugcrowd. Suivez ce lien pour en savoir plus ou pour signaler un bug.
Leadership dans le secteur
Même si nous nous imposons des normes rigoureuses pour augmenter la qualité de nos services, nous sommes également convaincus que notre travail qui consiste à bâtir un internet plus sûr et plus libre ne s'arrête pas là. C'est pourquoi nous collaborons avec d'autres sociétés VPN pour améliorer les standards de sécurité en ligne et mieux protéger les utilisateurs.
Nous avons co-fondé et présidons la VPN Trust Initiative (VTI) avec l'i2Coalition (Internet Infrastructure Coalition) et de nombreux autres acteurs majeurs du secteur. En plus de son travail de sensibilisation et de défense des droits des internautes, cet organisme a lancé les Principes du VTI, des directives partagées par les fournisseurs VPN responsables dans le domaine de la sécurité, du respect de la vie privée, de la transparence, etc. Cette initiative s'appuie sur les travaux antérieurs d'ExpressVPN en matière de transparence en partenariat avec le Center for Democracy and Technology.
Certaines des innovations que nous avons initiées ont aidé à faire avancer le secteur des VPN. Nous étions les premiers à créer TrustedServer, ce qui a permis à d'autres acteurs du secteur de lancer des technologies similaires. Lightway est un autre exemple. En le rendant open source, nous espérons qu'il aura une influence sur l'ensemble du secteur VPN.
Initiatives majeures en matière de protection de la vie privée
Découvrez comment nous protégeons la vie privée de nos utilisateurs.
Certification ioXT
ExpressVPN est l'une des rares applis VPN a être certifiées par l'Alliance ioXT pour les normes de sécurité, ce qui permet à nos utilisateurs d'utiliser nos services en toute confiance.
Fonctionnalités de confidentialité intégrées dans l'appli
Nous avons créé une fonctionnalité dans notre application pour Android appelée Résumé de protection. Elle aide les utilisateurs à protéger leur vie privée grâce à des directives explicites.
Centre de sécurité numérique
Nous avons développé le centre de sécurité numérique pour se pencher en profondeur sur les problèmes de protection de la vie privée dans le monde réel. Découvrez nos outils de tests de fuites qui aident à valider la sécurité de notre VPN.