Cure53 a audité la sécurité du gestionnaire de mots de passe ExpressVPN Keys

Les mots de passe font partie intégrante de notre vie numérique. Mais le grand nombre de mots de passe que chacun d’entre nous doit connaître, associé à la complexité requise pour que les mots de passe soient vraiment sécurisés, ont conduit au développement de gestionnaires de mots de passe pour pouvoir sauvegarder nos identifiants en toute sécurité et y accéder facilement.

Au début de l’année, nous avons lancé la version bêta d’ExpressVPN Keys, un gestionnaire de mots de passe inclus gratuitement dans les applications d’ExpressVPN pour iOS et Android et comme extension de navigateur Chrome. Nous considérons Keys comme l’un des principaux outils d’une expérience sécurisée en ligne et nous l’avons développé pour protéger les données de connexion de nos utilisateurs grâce à un chiffrement à connaissance nulle. Cela signifie que seul l’utilisateur détenant un mot de passe principal peut accéder à ses mots de passe sauvegardés dans Keys. Même ExpressVPN, en tant que fournisseur du gestionnaire de mots de passe, n’y a pas accès.

Pour évaluer la sécurité d’ExpressVPN Keys en plus de nos tests internes, nous avons fait appel à Cure53 pour effectuer un audit indépendant sur ExpressVPN Keys, le gestionnaire de mots de passe intégré à nos applications iOS et Android. Les audits faisaient partie des évaluations récentes de nos applications mobiles Android et iOS par Cure53, qui nous ont permis d’examiner plus largement la sécurité de nos programmes.

« La confidentialité et la sécurité étant au cœur de tout ce que nous faisons, nous voulions nous assurer qu’ExpressVPN Keys respecte les normes de sécurité auxquelles les utilisateurs du VPN sont habitués », a déclaré Brian Schirmacher, responsable des tests d’intrusion chez ExpressVPN.

«… Notre gestionnaire de mots de passe a recours au système de chiffrement le plus avancé du secteur et est développé de manière à ce que seul l’utilisateur puisse accéder à ses informations d’identification et à ses mots de passe. Les résultats positifs des audits réalisés par Cure53 confirment cela. »

ExpressVPN Keys est conçu avec la sécurité comme priorité principale

Les évaluations relatives à la sécurité de nos applications mobiles Android et iOS ont été réalisées grâce à des tests d’intrusion white-box et à des audits du code source. L’audit de notre application Android a été réalisé en août, et l’audit iOS entre fin août et début septembre.

Nous nous réjouissons de l’évaluation très positive d’ExpressVPN Keys. Cure53 n’a identifié aucune vulnérabilité dans les deux applications. Les audits ont révélé seulement deux problèmes informationnels sur Android et un problème informationnel sur iOS.

« Étant donné l’importance des informations d’identification pour le fonctionnement de ces programmes, la sécurité des données au repos a été rigoureusement évaluée. À cet égard, les fonctions cryptographiques utilisées par le gestionnaire de mots de passe pour enregistrer les informations d’identification nous ont laissé une impression positive dans l’ensemble », note Cure53 dans son rapport.

Notre équipe de sécurité a corrigé tous les problèmes informationnels et les a réexaminés avec Cure53. L’évaluation positive confirme la sécurité du gestionnaire de mots de passe et représente une réussite pour l’équipe de développement.

Lisez les audits de Cure53 sur notre application Android et notre application iOS.

Un audit de l’extension de navigateur ExpressVPN Keys est actuellement en cours, et nous avons hâte de le publier et de partager ses conclusions avec vous.

Notre engagement pour réaliser des audits de sécurité indépendants

L’année dernière, nous avons procédé à plusieurs audits indépendants pour évaluer nos produits. Voici une liste de nos audits externes, classés par ordre chronologique :

• Un audit par KPMG sur notre politique des données personnelles (septembre 2022)
• Un audit par Cure53 sur notre application Linux (août 2022)
• Un audit par Cure53 sur notre application macOS (juillet 2022)
• Un audit de sécurité par Cure53 sur notre routeur Aircove (juillet 2022)
• Un audit de sécurité par Cure53 sur TrustedServer, notre technologie de serveurs VPN (mai 2022)
• Un audit par F-Secure sur notre application v12 Windows (avril 2022)
• Un audit de sécurité par F-Secure sur notre application v10 Windows (mars 2022)
• Un audit de sécurité par Cure53 sur notre protocole VPN Lightway (août 2021)
• Un audit par PwC Switzerland sur nos systèmes de contrôle de versions (juin 2020)
• Un audit par PwC Switzerland sur la conformité de notre politique de confidentialité et sur notre technologie TrustedServer (juin 2019)
• Un audit de sécurité par Cure53 sur notre extension de navigateur (novembre 2018)

À noter : ExpressVPN Keys est déployé progressivement et peut ne pas être accessible à tous les utilisateurs immédiatement. La version bêta d’ExpressVPN Keys est actuellement disponible sur notre application iOS, Android et comme extension Chrome. Rejoignez notre programme bêta.

Certains liens figurant dans l’article renvoient aux contenus de la version originale (écrite en anglais).