Après avoir confirmé avoir réussi trois audits de sécurité indépendants il y a seulement un mois environ, ExpressVPN vient de publier les résultats de tests supplémentaires sur son logiciel.
Encore une fois, le fournisseur semble avoir passé ces derniers audits avec la note maximale.
Cette fois, les experts en cybersécurité de Cure53 ont été appelés pour évaluer les applications mobiles ExpressVPN. Son propre outil de gestion de mots de passe ExpressVPN Keys – qui est fourni sans frais supplémentaires avec ses applications iOS et Android – a également été testé pour détecter toute vulnérabilité.
Malgré quelques bugs mineurs, que le fournisseur a déclaré avoir déjà résolus, Cure53 était satisfait des résultats et de l’engagement dont a fait preuve l’équipe d’ExpressVPN pour lutter contre « de nombreux problèmes auxquels les applications VPN modernes ont tendance à être confrontées ».
« Des efforts diligents pour minimiser les menaces potentielles »
« Dans l’ensemble, l’équipe de développement mérite tous les applaudissements pour ses efforts diligents visant à minimiser les menaces potentielles pour l’application iOS, avec seulement des ajustements mineurs nécessaires pour élever davantage la plate-forme à une norme exemplaire du point de vue de la sécurité », a conclu le cabinet d’audit. sur son rapport d’audit iOS (s’ouvre dans un nouvel onglet).
Un résultat similaire a mis fin au rapport d’audit Android (s’ouvre dans un nouvel onglet), trop. Dans le même temps, Cure53 était satisfait de la subvention d’accès et de collaboration du fournisseur tout au long du processus.
Des équipes de trois et cinq testeurs seniors ont effectué des tests en boîte blanche et des audits de code source sur les applications iOS et Android d’ExpressVPN entre août 2022 et septembre 2022. Ceux-ci visaient à déterminer si les applications mobiles d’ExpressVPN pouvaient résister avec succès aux attaques externes.
Pour la première fois, ExpressVPN Keys a également été testé pour s’assurer qu’il sécurise correctement les informations de connexion des utilisateurs.
Les deux audits n’ont révélé qu’une poignée de vulnérabilités mineures, mais avec très peu de risques pour les données des utilisateurs.
Plus précisément, les audits iOS ont identifié un total de neuf problèmes. Parmi ceux-ci, seuls quatre ont été classés comme des vulnérabilités de sécurité à risque faible et moyen. Les cinq autres ont été qualifiées de « faiblesses générales avec un potentiel d’exploitation plus faible ».
Alors que les tests Android ont révélé un total de 13 vulnérabilités. Encore une fois, seuls trois des résultats ont été considérés comme des bogues de sécurité de gravité faible ou moyenne.
Cependant, comme l’a rapporté Cure53 : « La grande majorité des résultats sont des variations de mauvaises configurations courantes qui sont souvent présentes dans les applications Android. Ce point de vue positif est également corroboré par le fait qu’aucune des vulnérabilités susmentionnées ne peut être directement exploitée pour mener des attaques réussies. »
Le propre gestionnaire de mots de passe d’ExpressVPN a également reçu des commentaires positifs, gagnant « une solide impression dans l’ensemble ».
Ces derniers tests portent le total des audits VPN indépendants publiés par ExpressVPN à 13 depuis 2018. De plus, une évaluation de la sécurité de l’extension de navigateur ExpressVPN Keys est également en cours.
« Nous reconnaissons le besoin mondial croissant de protections de la confidentialité et de la sécurité numériques », a déclaré Brian Schirmacher, responsable des tests d’intrusion chez ExpressVPN. la barre haute pour l’industrie.