vpn

ExpressVPN est-il sûr ? Analyse de la sécurité, confidentialité et audits

ExpressVPN est-il sûr ? Résultats d'audits indépendants, protocoles de chiffrement, analyse de la juridiction, test du coupe-circuit et vérification de la politique zéro journal.

VPN.com Editorial Team · ·9 min de lecture

ExpressVPN est-il sûr ? Une analyse approfondie de la sécurité

ExpressVPN obtient un score de confiance de 85/100 basé sur des audits zéro journal vérifiés, un chiffrement AES-256 et des serveurs RAM uniquement répartis dans 105 pays. Il opère sous la juridiction des Îles Vierges britanniques, en dehors des alliances de surveillance des 14 Eyes. Plusieurs audits indépendants réalisés par KPMG et Cure53 confirment que ses déclarations de zéro journal résistent à l’examen.

Juridiction : pourquoi les Îles Vierges britanniques sont importantes

ExpressVPN est immatriculé aux Îles Vierges britanniques, un territoire britannique d’outre-mer autonome. Les IVB n’ont pas de lois sur la rétention obligatoire des données pour les fournisseurs de VPN. Ce seul fait détermine la manière dont ExpressVPN répond aux demandes gouvernementales de données.

Les IVB se situent en dehors des alliances de partage de renseignements des 5 Eyes, 9 Eyes et 14 Eyes. Les demandes de gouvernements étrangers doivent passer par la Haute Cour des IVB avant d’atteindre ExpressVPN. Les IVB n’ont aucune obligation légale d’honorer directement les assignations à comparaître ou les ordres de surveillance étrangers.

Cet avantage juridictionnel s’est avéré réel en 2017. Les autorités turques ont saisi un serveur ExpressVPN lors d’une enquête politique. Le serveur ne contenait aucune donnée utilisateur, confirmant que la politique zéro journal a fonctionné sous une pression gouvernementale réelle.

Historique des audits indépendants

ExpressVPN a réalisé plus d’audits de sécurité tiers que la plupart de ses concurrents. Chaque audit a examiné différents aspects des déclarations de confidentialité et de sécurité du service.

Audits zéro journal par KPMG

KPMG a audité la politique zéro journal d’ExpressVPN en 2022, puis à nouveau en 2024. Les deux audits ont confirmé que la technologie TrustedServer d’ExpressVPN ne stocke aucun journal d’activité, journal de connexion ni adresse IP. KPMG a testé les serveurs de production et les systèmes internes pour vérifier ces affirmations de manière indépendante.

Audits de sécurité par Cure53

Cure53, une société de cybersécurité allemande reconnue, a audité ExpressVPN à plusieurs reprises. En 2019, Cure53 a examiné les extensions de navigateur et n’a trouvé aucune vulnérabilité critique. Ils ont audité le protocole Lightway en 2021 et ont confirmé que son implémentation cryptographique était solide. Un audit de 2022 a examiné l’infrastructure TrustedServer et l’a jugée robuste.

Audit par PwC

PricewaterhouseCoopers a réalisé un premier audit zéro journal en 2019. PwC a vérifié que la configuration des serveurs d’ExpressVPN correspondait à sa politique de confidentialité publique. Cet audit a été l’un des premiers grands audits commandés par ExpressVPN.

ExpressVPN publie des résumés de tous les résultats d’audit sur son site web. Les rapports complets de Cure53 sont accessibles au public, ce qui témoigne d’une transparence supérieure à la moyenne dans le secteur des VPN.

Politique de journalisation : ce qui est stocké et ce qui ne l’est pas

La politique de confidentialité d’ExpressVPN indique clairement quelles données elle collecte. Comprendre les détails compte plus que les arguments marketing.

Données qu’ExpressVPN ne stocke PAS

ExpressVPN ne consigne pas votre historique de navigation, la destination de votre trafic, vos requêtes DNS ni votre adresse IP. Il n’enregistre pas les horodatages de connexion, la durée des sessions ou les adresses IP VPN attribuées. Aucun contenu de vos communications ne transite par un système de journalisation.

Données qu’ExpressVPN COLLECTE

ExpressVPN collecte des données de connexion agrégées : quelle version de l’application vous utilisez, quelle localisation de serveur vous avez choisie (pas le serveur spécifique), et la bande passante totale consommée par jour. Ces données ne permettent pas d’identifier des utilisateurs individuels ni de relier une activité à des comptes spécifiques. ExpressVPN les utilise pour maintenir la capacité des serveurs sur son réseau de plus de 3 000 serveurs.

Votre adresse e-mail de compte, vos informations de paiement et l’historique de vos tickets d’assistance sont stockés à des fins de facturation. Les utilisateurs souhaitant un anonymat maximal peuvent payer en Bitcoin ou utiliser une adresse e-mail jetable.

Normes de chiffrement et protocoles

ExpressVPN utilise le chiffrement AES-256-GCM comme norme par défaut. Il s’agit du même niveau de chiffrement utilisé par le gouvernement américain pour les informations classifiées. Casser l’AES-256 nécessiterait une puissance de calcul qui n’existe pas actuellement.

Protocoles disponibles

ExpressVPN propose 4 protocoles VPN dans ses applications. Lightway est son protocole propriétaire, basé sur wolfSSL et utilisant le chiffrement ChaCha20 ou AES-256. OpenVPN fonctionne en UDP et TCP avec AES-256-GCM. IKEv2/IPSec est disponible sur certaines plateformes pour des connexions mobiles rapides.

Lightway mérite une attention particulière. Sa base de code contient environ 2 000 lignes de code, contre plus de 70 000 pour OpenVPN. Moins de lignes signifie moins de vulnérabilités potentielles et des temps de connexion plus rapides, inférieurs à 1 seconde. Cure53 a audité le code source de Lightway, qu’ExpressVPN a publié en open source sur GitHub.

Confidentialité persistante (Perfect Forward Secrecy)

ExpressVPN négocie une nouvelle clé de chiffrement pour chaque session de connexion. Si un attaquant parvenait à compromettre une clé de session, les sessions passées et futures resteraient protégées. Cette fonctionnalité empêche le déchiffrement rétroactif en masse du trafic capturé.

Coupe-circuit et protection contre les fuites DNS

ExpressVPN appelle son coupe-circuit « Network Lock ». Il s’active par défaut sur Windows, Mac, Linux et les routeurs. Network Lock bloque tout le trafic internet si la connexion VPN se coupe de manière inattendue.

Network Lock fonctionne au niveau du pare-feu, et non au niveau des applications. Cette approche empêche les fuites lors des brèves fenêtres de reconnexion que les coupe-circuits au niveau applicatif manquent souvent. Il n’autorise le trafic qu’à travers le tunnel VPN et vers les serveurs DNS d’ExpressVPN.

ExpressVPN gère ses propres DNS privés et chiffrés sur chaque serveur. Vos requêtes DNS ne transitent jamais par des fournisseurs DNS tiers comme Google ou Cloudflare. Cela élimine le risque de fuite DNS au niveau de l’infrastructure plutôt que de dépendre de correctifs logiciels.

Les outils de test indépendants montrent systématiquement zéro fuite DNS, zéro fuite WebRTC et zéro fuite IPv6 dans les principales applications d’ExpressVPN. Le micrologiciel du routeur étend cette protection à tous les appareils de votre réseau.

Incidents de sécurité passés

Aucun produit de sécurité n’échappe à l’examen. ExpressVPN a fait face à deux incidents notables qui méritent d’être examinés.

La saisie de serveur en Turquie (2017)

Les autorités turques ont enquêté sur l’assassinat de l’ambassadeur russe Andreï Karlov. Elles ont saisi un serveur ExpressVPN à la recherche de communications des suspects. Le serveur ne contenait aucune donnée exploitable, validant l’infrastructure zéro journal sous une pression réelle des forces de l’ordre.

L’acquisition par Kape Technologies (2021)

Kape Technologies a acquis ExpressVPN pour environ 936 millions de dollars en septembre 2021. Kape opérait auparavant sous le nom de Crossrider, une société associée à la distribution de logiciels publicitaires avant son changement de marque. Cette acquisition a soulevé des préoccupations légitimes parmi les défenseurs de la vie privée.

ExpressVPN a répondu en maintenant ses opérations indépendantes et sa juridiction des IVB. Les audits KPMG post-acquisition de 2022 et 2024 ont confirmé que la politique zéro journal était restée intacte. La société a conservé son équipe dirigeante et a continué à publier les résultats des audits de manière transparente. Les utilisateurs devraient surveiller les futurs audits pour vérifier le maintien de cette indépendance.

Fonctionnalités de sécurité uniques

ExpressVPN propose plusieurs fonctionnalités de sécurité qui le distinguent de ses concurrents ayant des normes de chiffrement similaires.

Technologie TrustedServer

Chaque serveur ExpressVPN fonctionne entièrement sur de la RAM volatile, et non sur des disques durs. Les serveurs chargent une image en lecture seule à chaque démarrage. Toutes les données sont entièrement effacées à chaque redémarrage du serveur. Cette architecture rend le stockage persistant de données physiquement impossible sur les serveurs VPN.

Threat Manager

Threat Manager empêche les applications et les sites web de communiquer avec des traceurs connus et des serveurs malveillants. Il fonctionne au niveau DNS sur tous les appareils connectés. ExpressVPN met régulièrement à jour ses listes de blocage sur la base de données de renseignements sur les menaces.

Express Keys (gestionnaire de mots de passe)

ExpressVPN inclut un gestionnaire de mots de passe intégré appelé Keys avec tous les abonnements. Keys utilise un chiffrement à connaissance zéro, ce qui signifie qu’ExpressVPN ne peut pas accéder à vos mots de passe stockés. Cette intégration apporte une valeur pratique en matière de sécurité au-delà du tunnel VPN lui-même.

Protection post-quantique

ExpressVPN a intégré la prise en charge de la cryptographie post-quantique dans son protocole Lightway. Cette fonctionnalité protège contre les futures attaques par ordinateur quantique qui pourraient briser les normes de chiffrement actuelles. Peu de fournisseurs VPN ont mis en œuvre cette protection à l’heure des tests actuels.

FAQ

ExpressVPN conserve-t-il des journaux ?

ExpressVPN ne conserve pas de journaux d’activité, de journaux de connexion, d’adresses IP ni d’historique de navigation. Il collecte des données agrégées minimales comme la version de l’application et le choix de la localisation du serveur à des fins de maintenance du réseau. Les audits de KPMG et PwC ont vérifié de manière indépendante ces déclarations de zéro journal sur plusieurs années.

ExpressVPN a-t-il été piraté ?

ExpressVPN n’a subi aucune violation de données confirmée affectant les informations des utilisateurs. La saisie de serveur en Turquie en 2017 a prouvé que le système zéro journal fonctionne, car les autorités n’ont récupéré aucune donnée utilisateur. Son architecture TrustedServer basée uniquement sur la RAM limite l’impact de toute compromission physique potentielle d’un serveur.

ExpressVPN est-il fiable ?

ExpressVPN démontre sa fiabilité à travers plus de 5 audits indépendants, un code de protocole open source et un incident zéro journal vérifié. La propriété de Kape Technologies soulève des questions valables que les utilisateurs doivent peser individuellement. Sa garantie de remboursement de 30 jours permet aux utilisateurs de tester le service avec un risque financier minimal.

ExpressVPN peut-il voir mes données ?

ExpressVPN ne peut pas voir vos données de navigation grâce au chiffrement de bout en bout AES-256 au sein du tunnel VPN. L’infrastructure TrustedServer empêche l’écriture des données sur le disque de n’importe quel serveur. Même contraint par une ordonnance judiciaire, ExpressVPN ne dispose d’aucune donnée d’activité utilisateur stockée à remettre.