Centre de confidentialité d'ExpressVPN
ExpressVPN est avant tout une compagnie spécialisée dans les technologies de confidentialité sur internet. Nos utilisateurs nous font confiance pour protéger leurs données grâce à une combinaison de ressources matérielles, logicielles de pointe et à nos experts qualifiés. Découvrez comment nous nous efforçons de mériter cette confiance.
La sécurité chez ExpressVPN : Nos 4 stratégies clés
Découvrez ci-après comment nous procédons pour préserver la sécurité de nos systèmes et de nos utilisateurs.
1. Rendre les systèmes difficiles à hacker
Notre premier moyen de nous défendre est la sécurisation de nos systèmes. Nous utilisons différentes techniques pour vous protéger de toute intrusion. Cela inclut un système de contrôle de versions indépendant, des appareils de sécurité externes (supports matériels de sécurité), mais aussi un chiffrement à la pointe de la technologie.
Système de contrôle de versions (BVT)
Le logiciel ExpressVPN est protégé – de sa conception à sa version finale – contre toute infection par des codes malveillants, grâce à un système interne de contrôle de versions audité par un organisme indépendant.
Supports de sécurité matériels
Nous utilisons une paire de clés publique/privée pour divers objectifs de sécurité tels que : l'authentification à deux facteurs, la signature des Git commits et la connexion à un serveur via SSH. Nous diminuons le risque de vol de nos clés privées en les enregistrant dans des supports de sécurité matériels. Cela signifie que même si nos postes de travail sont exposés à un risque de sécurité, un hacker ne pourra pas dérober nos clés privées.
Ces supports de sécurité matériels sont sécurisés avec des phrases secrètes complexes et sont configurés de manière à s'arrêter après plusieurs tentatives de déverrouillage échouées. Les appareils nécessitent une action physique pour fonctionner, ce qui signifie qu'un malware ne peut pas voler les clés sans l'intervention d'un humain.
Révision de code
Tout code en développement nécessite au moins l'intervention d'une deuxième personne pour agir en tant que réviseur. Cela rend difficile l'ajout de code malveillant provenant soit d'une menace interne soit d'un poste de travail compromis.
Le protocole SSH
Nous utilisons le protocole SSH comme moyen pour accéder à nos serveurs stratégiques à distance. Ces serveurs SSH sont configurées de manière à utiliser uniquement un ensemble de cryptogrammes hautement sécurisés, d'algorithmes d'échanges de clés et MAC. Nous n'autorisons pas la connexion en tant qu'utilisateur root. De plus, l'authentification ne peut aboutir qu'avec l'utilisation de clés SSH complexes, les mots de passe étant refusés. Nous utilisons des hôtes bastions SSH intermédiaires pour séparer l'infrastructure de production du réseau internet. Ces machines autorisent uniquement le trafic provenant d'adresses figurant sur une liste blanche d'IP.
Toute cette configuration est définie avec un code. Elle est donc reproductible et évaluée par des tiers.
Correctifs rapides
Pour les machines de production, les dépendances logicielles sont mises à jour automatiquement grâce à des mises à niveau automatiques.
2. Minimisation des dommages potentiels
Malgré nos efforts, il est toujours possible pour un hacker de percer nos défenses. Pour répondre à ce risque, nous utilisons des barrières de sécurité afin de minimiser les dommages potentiels.
Confiance zéro
Pour limiter la menace des clés volées et utilisées pour l'usurpation de serveurs VPN, l'appli ExpressVPN effectue des vérifications grâce à nos serveurs API dotés de paramètres de configuration à jour. Nos applications authentifient les serveurs auxquels elles se connectent en validant le nom commun et la signature de l'autorité de certification privée (CA). Un hacker ne pourra donc pas s'emparer de l'accès à nos systèmes.
Utilisation du chiffrement sans mémoire
Le gestionnaire de mots de passe d'ExpressVPN (ExpressVPN Keys) s'appuie sur le chiffrement sans mémoire pour s'assurer que nul - pas même ExpressVPN - ne puisse décrypter les informations enregistrées par nos utilisateurs. Le chiffrement sans mémoire assure que lors d'une éventuelle fuite de données de nos serveurs, un hacker ne soit pas en mesure de déchiffrer quelconque information utilisateur. Ces informations ne sont en effet déchiffrées que sur l'appareil de l'utilisateur et ne peuvent l'être qu'à l'aide de clés de chiffrement générées par le mot de passe principal de l'utilisateur, qu'il est le seul à connaître.
Design sécurisé
La modélisation des menaces de sécurité et de confidentialité est intégrée dans la phase de design de tout système. Nous utilisons le framework MITRE ATT&CK afin d'identifier les menaces qui peuvent exister dans nos designs, de trouver des moyens pour les supprimer et de prendre les mesures nécessaires pour minimiser les risques potentiels.
Principe du moindre privilège
Tous nos utilisateurs, services et opérations suivent le modèle du moindre privilège. Nos employés ont une autorisation d'accès uniquement aux services et aux systèmes de production nécessaires à leurs fonctions. Nos agents de support client travaillent dans deux environnements, l'un répondant à un niveau de sécurité commun accessible via une navigation web sécurisée et l'autre hautement restrictif pour accéder à des systèmes sensibles. Dans le cas où des hackers réussissent à s'emparer de l'un de nos comptes, ces précédentes mesures permettrons de minimiser l'impact des attaques.
3. Minimisation du temps d'exposition
Non seulement la gravité des dommages doit être minimisée, mais nos processus contribuent également à limiter la durée d'une situation compromise et le temps pendant lequel les hackers peuvent demeurer en activité.
Contrôles de sécurité
Nous surveillons continuellement nos services internes ainsi que notre infrastructure pour toute activité anormale ou non autorisée. De plus, notre équipe de sécurité disponible 24h/24 et 7j/7 effectue une surveillance en temps réel et un tri des alertes de sécurité.
Reconstructions automatiques
Une partie de nos systèmes est automatiquement détruite et reconstruite plusieurs fois par semaine, si ce n'est quotidiennement. Ce procédé limite le temps d'activité d'un hacker qui menace nos systèmes.
4. Validation de nos contrôles de sécurité
Tous nos services et logiciels sont rigoureusement testés pour assurer leur fonctionnement tout en répondant aux standards élevés de sécurité et de confidentialité que nous promettons à nos utilisateurs.
Validation interne : tests de pénétration
Nous effectuons des tests d'intrusion de manière régulière pour évaluer nos systèmes et nos logiciels afin d'identifier des failles de sécurité. Nos testeurs ont un accès complet au code source, mais ils utilisent aussi une combinaison de tests manuels et automatiques afin d'assurer une évaluation approfondie de nos services et de nos produits.
Validation externe : audit de sécurité indépendants
Nous avons recours à des auditeurs indépendants pour examiner la sécurité de nos services et de nos logiciels. Ces mandats servent à valider que nos contrôles internes sont suffisamment efficaces pour éliminer les vulnérabilités en matière de sécurité, tout en offrant aux utilisateurs une documentation sur l'exactitude des déclarations de sécurité que nous faisons au sujet de nos produits.
Voir la liste complète des rapports d'audit
Innovation
Alors que nous nous efforçons d'atteindre et de porter plus haut les normes de sécurité du secteur, nous innovons également de manière constante dans la recherche de nouvelles technologies pour sécuriser nos produits et protéger la vie privée de nos utilisateurs. Découvrez ci-après deux technologies révolutionnaires conçues par ExpressVPN.
Lightway : notre protocole qui offre une expérience VPN supérieure
Lightway est un protocole VPN conçu par ExpressVPN. Un protocole VPN est la méthode par laquelle un appareil se connecte à un serveur VPN. À la différence de la majorité des fournisseurs qui utilisent des protocoles standards, nous avons décidé de créer notre protocole avec des performances supérieures. L'objectif est d'améliorer l'expérience des utilisateurs de VPN grâce à une vitesse élevée, une fiabilité et une sécurité optimisées.
Lightway utilise wolfSSL, dont la bibliothèque de cryptographie reconnue a fait l'objet d'une évaluation approfondie par des tiers, conformément à la norme FIPS 140-2.
Lightway préserve également la confidentialité persistante de nos systèmes, grâce à des clés de chiffrement dynamiques qui sont régulièrement supprimées et régénérées.
La base de code de Lightway a été rendue open source, ce qui assure son examen pour la sécurité de manière large et transparente.
Lightway inclut une prise en charge post-quantique, protégeant les utilisateurs contre les attaquants qui ont accès à la fois aux ordinateurs classiques et aux ordinateurs quantiques. ExpressVPN est un des premiers fournisseurs VPN à déployer une protection post-quantique, aidant les utilisateurs à rester sécurisés face au développement de l'informatique quantique.
En savoir plus sur Lightway ! Consultez notre blog pour obtenir des informations techniques provenant des développeurs web d'ExpressVPN sur le fonctionnement de Lightway et sur ses performances.
TrustedServer : toutes les données sont supprimées après chaque redémarrage
TrustedServer est une technologie VPN que nous avons développée et qui offre plus de sécurité à nos utilisateurs.
Elle fonctionne uniquement avec un système de mémoire vive ou RAM. Les données du système d'exploitation et les applis ne sont jamais enregistrées sur un disque dur, ce qui implique l'utilisation d'une RAM jusqu'à ce qu'elles soient supprimées. Étant donné que la RAM nécessite de l'énergie pour stocker des données, toutes les informations sur le serveur sont supprimées après chaque redémarrage, empêchant les données compromises et toute intrusion potentielle d'infecter nos systèmes.
TrustedServer augmente la stabilité du système, en permettant à chaque serveur d'ExpressVPN de fonctionner avec les dernières versions logicielles, plutôt que de permettre à chaque serveur de recevoir une mise à jour à des moments différents. Cela signifie qu'ExpressVPN connait les programmes qui fonctionnent sur chaque serveur, minimisant ainsi le risque de failles ou de mauvaises configurations, tout en améliorant considérablement la sécurité VPN.
La technologie TrustedServer a été auditée par PwC.
Vous souhaitez en savoir davantage sur toutes les manières par lesquelles TrustedServer protège nos utilisateurs ? Consultez notre article de fond sur cette technologie, écrit par l'ingénieur qui a conçu le système.
Audits de sécurité indépendants
Nous nous engageons à faire réaliser très fréquemment des audits approfondis de nos produits par des entités indépendantes. Voici une liste complète de nos audits externes, classés par ordre chronologique :
Un audit par Cure53 de l'extension de navigateur ExpressVPN Keys (octobre 2022)
Un audit par Cure53 de l'extension de navigateur ExpressVPN (octobre 2022)
Un audit par KPMG de notre politique de "no-logs" (septembre 2022)
Un audit de sécurité par Cure53 de notre appli pour iOS (septembre 2022)
Un audit de sécurité par Cure53 de notre appli pour Android (août 2022)
Un audit par Cure53 de notre appli pour Linux (Août 2022)
Un audit par Cure53 de notre appli pour macOS (Juillet 2022)
Un audit de sécurité par Cure53 de notre routeur Aircove (Juillet 2022)
Un audit de sécurité par Cure53 de TrustedServer, notre technologie interne de serveur VPN (mai 2022)
Un audit par F-Secure de notre appli pour Windows v12 (avril 2022)
Un audit de sécurité par F-Secure de notre appli pour Windows v10 (mars 2022)
Un audit de sécurité par Cure53 de notre protocole VPN Lightway (août 2021)
Un audit par PwC Suisse sur notre processus de vérification de build (juin 2020)
Un audit de sécurité par Cure53 de notre extension de navigateur (novembre 2018)
Programme de chasse aux bugs
À travers notre programme de chasse aux bugs, nous invitons les chercheurs en sécurité à tester nos systèmes et à recevoir des récompenses financières pour les problèmes qu'ils découvriront. Ce programme nous permet de collaborer avec un grand nombre de testeurs qui évaluent régulièrement la sécurité de notre infrastructure et de nos applications. Les résultats de recherche sont ainsi validés puis corrigés, ce qui garantit la sécurité de nos produits.
Le champ d'application de notre programme comprend les failles potentielles dans nos serveurs VPN, dans nos applis et extensions navigateurs, dans notre sites web, etc. Pour les utilisateurs qui signalent les bugs, nous offrons un environnement de sécurité complet reflétant les meilleures pratiques au monde dans le domaine de la recherche sur la sécurité web.
Notre programme de chasse aux bugs est géré par Bugcrowd. Suivez ce lien pour en savoir plus ou pour signaler un bug.
Leadership dans le secteur
Même si nous nous imposons des normes rigoureuses pour augmenter la qualité de nos services, nous sommes également convaincus que notre travail qui consiste à bâtir un internet plus sûr et plus libre ne s'arrête pas là. C'est pourquoi nous collaborons avec d'autres sociétés VPN pour améliorer les standards de sécurité en ligne et mieux protéger les utilisateurs.
Nous avons co-fondé et présidons la VPN Trust Initiative (VTI) avec l'i2Coalition (Internet Infrastructure Coalition) et de nombreux autres acteurs majeurs du secteur. En plus de son travail de sensibilisation et de défense des droits des internautes, cet organisme a lancé les Principes du VTI, des directives partagées par les fournisseurs VPN responsables dans le domaine de la sécurité, du respect de la vie privée, de la transparence, etc. Cette initiative s'appuie sur les travaux antérieurs d'ExpressVPN en matière de transparence en partenariat avec le Center for Democracy and Technology.
Certaines des innovations que nous avons initiées ont aidé à faire avancer le secteur des VPN. Nous étions les premiers à créer TrustedServer, ce qui a permis à d'autres acteurs du secteur de lancer des technologies similaires. Lightway est un autre exemple. Nous espérons qu'en le rendant open source, il aura une influence sur l'ensemble du secteur des VPN.
Initiatives majeures en matière de protection de la vie privée
Découvrez comment nous protégeons la vie privée de nos utilisateurs.
Certification ioXT
ExpressVPN est devenu l'une des rares applis VPN a être certifiées par l'Alliance ioXT pour les normes de sécurité, ce qui permet à nos utilisateurs d'utiliser nos services en toute confiance.
Fonctionnalités de confidentialité intégrées dans l'appli
Nous avons créé une fonctionnalité dans notre application pour Android appelée Résumé de protection. Elle aide les utilisateurs à protéger leur vie privée grâce à des directives explicites.
Centre de sécurité numérique
Nous avons développé le centre de sécurité numérique pour se pencher en profondeur sur les problèmes de protection de la vie privée dans le monde réel. Découvrez nos outils de tests de fuites qui aident à valider la sécurité de notre VPN.