ExpressVPN a subi des audits indépendants de ses applications iOS et Android

Publié le: 15 décembre 2022

Fournisseur de VPN populaire ExpressVPN annoncé mardi que la société de cybersécurité Cure53 a mené des évaluations distinctes de ses applications mobiles Android et iOS par le biais de tests de pénétration en boîte blanche et d'audits de code source. La audit de son application Android a été menée en août, tandis que Audit iOS s'est déroulée de la fin août au début septembre.

Les audits de Cure53 comprenaient également des enquêtes sur le gestionnaire de mots de passe intégré d'ExpressVPN pour ses applications mobiles, Clés ExpressVPN, ainsi que son intégration de protocole VPN et ses dépendances.

Ces évaluations de sécurité indépendantes sont cruciales pour fournir des informations impartiales concernant les revendications de sécurité d'ExpressVPN. De plus, ils offrent un aperçu de la capacité du VPN à se défendre contre les cyberattaques d'acteurs malveillants et d'applications tierces.

"Nous reconnaissons le besoin mondial croissant de protections de la confidentialité et de la sécurité numériques, c'est pourquoi je suis ravi de partager que les deux applications mobiles d'ExpressVPN ont maintenant été auditées par les experts indépendants en sécurité de Cure53. Cette annonce est d'autant plus importante qu'elle intervient quelques semaines seulement après des audits complets de nos trois applications de bureau, ainsi que l'audit de KPMG de notre politique de non-journalisation », a déclaré Brian Schirmacher, responsable des tests d'intrusion chez ExpressVPN. « Les audits effectués par des sociétés de cybersécurité réputées telles que Cure53 sont l'une de nos nombreuses initiatives de confiance et de transparence. Nous voulons continuer à mettre la barre haute pour l'industrie.

Au cours de son audit de l'application Android, Cure53 a découvert trois vulnérabilités de sécurité, classées comme étant de gravité « moyenne » ou « faible ». La société de cybersécurité a également formulé dix recommandations générales de durcissement pour les problèmes identifiés comme "Divers : informatifs".

"Ce résultat fournit de nombreuses preuves que l'équipe d'ExpressVPN est non seulement parfaitement consciente des nombreux problèmes auxquels les applications VPN modernes ont tendance à être confrontées, mais également capable de les contrer efficacement", a déclaré Cure53 dans son rapport. "De manière générale, malgré le rendement relativement élevé des résultats, l'impression générale acquise par l'équipe de test à la suite de cet engagement est suffisamment positive. Cela est principalement dû au fait que la grande majorité des résultats sont des variations de mauvaises configurations courantes qui sont souvent présentes dans les applications Android.

"Ce point de vue positif est également corroboré par le fait qu'aucune des vulnérabilités susmentionnées ne peut être directement exploitée pour mener des attaques réussies", a ajouté la société.

Pour l'application iOS, l'audit de Cure53 a trouvé quatre vulnérabilités, classées comme étant de gravité « moyenne » ou « faible ». De plus, la société de cybersécurité a formulé cinq recommandations de renforcement avec un potentiel d'exploitation plus faible.

"Le fait que toutes les découvertes se soient vu attribuer une cote de gravité moyenne ou inférieure indique une absence totale de surfaces d'attaque importantes et de potentiel de menace dommageable", a déclaré Cure53. "Dans l'ensemble, l'équipe de développement mérite tous les applaudissements pour ses efforts diligents visant à minimiser les menaces potentielles pour l'application iOS, avec seulement des ajustements mineurs nécessaires pour élever davantage la plate-forme à une norme exemplaire du point de vue de la sécurité."

ExpressVPN a depuis corrigé toutes les vulnérabilités répertoriées dans les audits de ses applications Android et iOS, et a demandé à son équipe de sécurité interne de résoudre la plupart des problèmes.