All production code requires at least one other human to act as a reviewer. This makes it much more difficult to add malicious code, either from insider threat or if an employee’s workstation is compromised.

We use SSH as a secure way to gain remote access to our critical servers. These SSH servers are configured to only use a set of highly secure ciphers, key exchange algorithms, and MACs. We also don’t allow connecting as root, and authentication can only occur using strong SSH keys—no passwords allowed. We use intermediate SSH bastion hosts to segregate production infrastructure from the open internet. These machines only accept traffic from addresses on an IP whitelist. . All of this configuration is defined in code, so it is peer reviewed and reproducible.

For production machines, software dependencies are updated automatically via unattended upgrades.

To mitigate the threat of stolen keys being used to impersonate a VPN server, we require the ExpressVPN application to check in with our API servers to receive updated configuration settings. Our applications authenticate the servers they are connecting to by validating the private Certificate Authority (CA) signature and common name ensuring that an attacker cannot impersonate us.

Security and privacy threat modeling is incorporated into the design phase of any system. We use the MITRE ATT&CK framework to identify threats that can exist in our designs, consider ways to remove them, and apply sufficient measures to minimize potential risks.

Bénéficiez de {{bonus_days}} jours supplémentaires gratuits sur n'importe quel formule d'abonnement en vous inscrivant dès maintenant.

Ne manquez pas cette offre ! Bénéficiez de {{bonus_months}} mois gratuits avec un abonnement de 12 mois.

Home
Confiance

Centre de confidentialité d'ExpressVPN

ExpressVPN est avant tout une entreprise spécialisée dans les technologies de confidentialité sur internet. Nos utilisateurs nous font confiance pour protéger leurs données grâce à une combinaison de ressources matérielles, logicielles de pointe et à nos experts qualifiés. Découvrez comment nous avons gagné cette confiance.

Un randonneur avec un chien, un adulte, un enfant et quelqu'un qui tient son téléphone.

La sécurité chez ExpressVPN : Nos 4 stratégies clés

Découvrez ci-après comment nous procédons pour préserver la sécurité de nos systèmes et de nos utilisateurs.

1. Rendre les systèmes difficiles à hacker

Système de contrôle de versions (BVT)

Supports de sécurité matériels

Nous utilisons une paire de clés publique/privée pour divers objectifs de sécurité tels que : l'authentification à deux facteurs, la signature des Git commits et la connexion à un serveur via SSH. Nous diminuons le risque de vol de nos clés privées en les enregistrant dans des supports de sécurité matériels. Cela signifie que même si nos postes de travail sont exposés à un risque de sécurité, un hacker ne pourra pas dérober nos clés privées.

Ces supports de sécurité matériels sont sécurisés avec des phrases secrètes complexes et sont configurés de manière à s'arrêter après plusieurs tentatives de déverrouillage échouées. Les appareils nécessitent une action physique pour fonctionner, ce qui signifie qu'un malware ne peut pas voler les clés sans l'intervention d'un humain.

Révision de code

Le protocole SSH

Nous utilisons le protocole SSH comme moyen pour accéder à nos serveurs stratégiques à distance. Ces serveurs SSH sont configurées de manière à utiliser uniquement un ensemble de cryptogrammes hautement sécurisés, d'algorithmes d'échanges de clés et MAC. Nous n'autorisons pas la connexion en tant qu'utilisateur root. De plus, l'authentification ne peut aboutir qu'avec l'utilisation de clés SSH complexes, les mots de passe étant refusés. Nous utilisons des hôtes bastions SSH intermédiaires pour séparer l'infrastructure de production du réseau internet. Ces machines autorisent uniquement le trafic provenant d'adresses figurant sur une liste blanche d'IP.

Toute cette configuration est définie avec un code. Elle est donc reproductible et évaluée par des tiers.

Correctifs rapides

2. Minimisation des dommages potentiels

Confiance zéro

Pour limiter la menace des clés volées et utilisées pour l'usurpation de serveurs VPN, l'appli ExpressVPN effectue des vérifications grâce à nos serveurs API dotés de paramètres de configuration à jour. Nos applications authentifient les serveurs auxquels elles se connectent en validant le nom commun et la signature de l'autorité de certification privée (CA). Un hacker ne pourra donc pas s'emparer de l'accès à nos systèmes.

Utilisation du chiffrement sans mémoire

Lorsque vous utilisez ExpressVPN, vos données sont protégées par un chiffrement AES-256 avancé. Il s'agit de la même norme de chiffrement utilisée par le gouvernement américain et considéré par les experts en sécurité du monde entier comme garantissant la protection des informations classifiées. Lorsque vous utilisez le gestionnaire de mots de passe (ExpressVPN Keys) d'ExpressVPN, vos données sensibles sont protégées par un chiffrement à connaissance nulle de sorte que personne (pas même nous ) ne peut déchiffrer les informations conservées dans Keys. Toutes les informations sont déchiffrées uniquement sur l'appareil de l'utilisateur, et ne peuvent être décryptées qu'à l'aide des clés de chiffrement générées par le mot de passe principal de l'utilisateur, lequel est connu uniquement par lui.

Afin de veiller à votre sécurité et au respect de la vie privée dans le cadre de la solution d'IP dédiée d'ExpressVPN (DIP), nous recourons à une attribution d'IP à connaissance nulle et de jetons anonymes pour empêcher les administrateurs d'ExpressVPN d'identifier un utilisateur à partir de son adresse IP dédiée.

Design sécurisé

La modélisation des menaces de sécurité et de confidentialité est intégrée dans la phase de design de tout système. Nous utilisons le framework MITRE ATT&CK afin d'identifier les menaces qui peuvent exister dans nos designs, de trouver des moyens pour les supprimer et de prendre les mesures nécessaires pour minimiser les risques potentiels.

Principe du moindre privilège

Tous nos utilisateurs, services et opérations suivent le modèle du moindre privilège. Nos employés ont une autorisation d'accès uniquement aux services et aux systèmes de production nécessaires à leurs fonctions. Nos agents de support client travaillent dans deux environnements, l'un répondant à un niveau de sécurité commun accessible via une navigation web sécurisée et l'autre hautement restrictif pour accéder à des systèmes sensibles. Dans le cas où des hackers réussissent à s'emparer de l'un de nos comptes, ces précédentes mesures permettrons de minimiser l'impact des attaques.

3. Minimisation du temps d'exposition

Contrôles de sécurité

Reconstructions automatiques

4. Validation de nos contrôles de sécurité

Validation interne : tests de pénétration

Nous effectuons des tests d'intrusion de manière régulière pour évaluer nos systèmes et nos logiciels afin d'identifier des failles de sécurité. Nos testeurs ont un accès complet au code source, mais ils utilisent aussi une combinaison de tests manuels et automatiques afin d'assurer une évaluation approfondie de nos services et de nos produits.

Validation externe : audit de sécurité indépendants

Nous avons recours à des auditeurs indépendants pour examiner la sécurité de nos services et de nos logiciels. Ces mandats servent à valider que nos contrôles internes sont suffisamment efficaces pour éliminer les vulnérabilités en matière de sécurité, tout en offrant aux utilisateurs une documentation sur l'exactitude des déclarations de sécurité que nous faisons au sujet de nos produits.

Voir la liste complète des rapports d'audit

Innovation

Alors que nous nous efforçons d'atteindre et de porter plus haut les normes de sécurité du secteur, nous innovons également de manière constante dans la recherche de nouvelles technologies pour sécuriser nos produits et protéger la vie privée de nos utilisateurs. Découvrez ci-après deux technologies révolutionnaires conçues par ExpressVPN.

Lightway : notre protocole qui offre une expérience VPN supérieure

Lightway est un protocole VPN conçu par ExpressVPN. Un protocole VPN est la méthode par laquelle un appareil se connecte à un serveur VPN. La plupart des fournisseurs utilisent les mêmes protocoles standards, mais nous avons décidé d'en créer un protocole plus performant, afin que l'expérience VPN des utilisateurs soit non seulement plus rapide et plus fiable, mais aussi plus sûre.

Lightway utilise wolfSSL, dont la bibliothèque de cryptographie reconnue a fait l'objet d'une évaluation approfondie par des tiers, conformément à la norme FIPS 140-2.
Lightway préserve également la confidentialité persistante de nos systèmes, grâce à des clés de chiffrement dynamiques qui sont régulièrement supprimées et régénérées.
La base de code de Lightway a été rendue open source, ce qui assure son examen pour la sécurité de manière large et transparente.
Lightway inclut une prise en charge post-quantique, protégeant les utilisateurs contre les attaquants qui ont accès à la fois aux ordinateurs classiques et aux ordinateurs quantiques. ExpressVPN est un des premiers fournisseurs VPN à déployer une protection post-quantique, aidant les utilisateurs à rester en sécurité face au développement de l'informatique quantique.

En savoir plus sur Lightway ! Consultez notre blog pour obtenir des informations techniques provenant des développeurs web d'ExpressVPN sur le fonctionnement de Lightway et sur ses performances.

TrustedServer : toutes les données sont supprimées après chaque redémarrage

TrustedServer est une technologie VPN que nous avons développée et qui offre plus de sécurité à nos utilisateurs.

Elle fonctionne uniquement avec un système de mémoire vive ou RAM. Les données du système d'exploitation et les applis ne sont jamais enregistrées sur un disque dur, ce qui implique l'utilisation d'une RAM jusqu'à ce qu'elles soient supprimées. Étant donné que la RAM nécessite de l'énergie pour stocker des données, toutes les informations sur le serveur sont supprimées après chaque redémarrage, empêchant les données compromises et toute intrusion potentielle d'infecter nos systèmes.
Cela renforce la stabilité. Avec TrustedServer, chacun des serveurs d'ExpressVPN exécute le programme le plus récent, plutôt que chaque serveur reçoive une mise à jour à des moments différents selon les besoins. Cela signifie qu'ExpressVPN connait les programmes qui fonctionnent sur chaque serveur, minimisant ainsi le risque de failles ou de mauvaises configurations, tout en améliorant considérablement la sécurité VPN.
La technologie TrustedServer a été auditée par PwC.

Vous souhaitez en savoir davantage comment TrustedServer protège les utilisateurs ? Consultez notre article sur cette technologie, écrit par l'ingénieur qui a conçu le système.

ExpressVPN Keys : notre gestionnaire de mots de passe intégré

Keys est un gestionnaire de mots de passe complet conçu par ExpressVPN. Comme notre VPN, Keys est sécurisé dès la conception et donne aux utilisateurs le contrôle de leurs données. Nous avons même publié un livre blanc sur la sécurité détaillant la conception et l'infrastructure de Keys pour une transparence totale.

Keys permet aux utilisateurs de générer, stocker et de saisir un nombre illimité de mots de passe et vous alerte sur les menaces de sécurité et de violations de données. Toutes les données enregistrées dans Keys sont sécurisées par un chiffrement à connaissance nulle, ce qui garantit que personne (pas même ExpressVPN) ne peut déchiffrer l'information que nos utilisateurs enregistrent. Keys est intégré directement dans les applis ExpressVPN pour iOS et Android, et est disponible comme extension de navigateur sur les ordinateurs. En savoir plus sur Keys

IP dédiée d'ExpressVPN: une adresse IP statique avec une confidentialité inégalée

Le service d'IP dédiée d'ExpressVPN attribue une adresse IP unique exclusivement à un seul utilisateur, fournissant une identité en ligne cohérente tout en préservant la confidentialité.

Généralement, les VPN permettent à de nombreux utilisateurs de partager la même adresse IP, laquelle est un élément clé du processus de confidentialité dans les réseaux privés virtuels. Avec une IP dédiée attribuée à un seul utilisateur, des mesures particulières sont nécessaires pour assurer l'anonymat.

Bien qu'aujourd'hui les solutions présentent des vulnérabilités de sécurité et de confidentialité qui risquent de révéler la véritable adresse IP d'un utilisateur, nous avons pris des précautions supplémentaires pour maintenir l'anonymat de nos utilisateurs, comme expliqué dans notre livre blanc technique.

Nous utilisons un système de jetons anonymes pour dissocier vos données de paiement de l'adresse IP que nous attribuons à un utilisateur. Nous ne pouvons jamais retracer une IP dédiée et l'associer à l'utilisateur.

Audits de sécurité indépendants

Nous nous engageons à faire réaliser très fréquemment des audits approfondis de nos produits par des entités indépendantes. Voici une liste complète de nos audits externes, classés par ordre chronologique :

Un second audit par Cure53 de l'extension de navigateur ExpressVPN (juin 2024)
Un audit de l'appli pour Windows afin de confirmer la remédiation d'un problème DNS lié au Split tunneling (Avril 2024)
Un audit par KPMG pour évaluer notre politique de confidentialité (Décembre 2023)
Le deuxième audit de notre protocole VPN Lightway par Cure53 (Novembre 2022)
Un audit par Cure53 de l'extension de navigateur ExpressVPN Keys (octobre 2022)
Un audit par Cure53 de l'extension de navigateur ExpressVPN (octobre 2022)
Un audit par KPMG de notre politique de "no-logs" (septembre 2022)
Un audit de sécurité par Cure53 de notre appli pour iOS (septembre 2022)
Un audit de sécurité par Cure53 de notre appli pour Android (août 2022)
Un audit par Cure53 de notre appli pour Linux (Août 2022)
Un audit par Cure53 de notre appli pour macOS (Juillet 2022)
Un audit de sécurité par Cure53 de notre routeur Aircove (Juillet 2022)
Un audit de sécurité par Cure53 de TrustedServer, notre technologie interne de serveur VPN (mai 2022)
Un audit par F-Secure de notre appli pour Windows v12 (avril 2022)
Un audit de sécurité par F-Secure de notre appli pour Windows v1 0 (mars 2022)
Un audit de sécurité par Cure53 de notre protocole VPN Lightway (août 2021)
Un audit par PwC Suisse sur notre processus de vérification de build (juin 2020)
Un audit par PwC Suisse de la conformité de notre politique de confidentialité et de notre technologie interne TrustedServer (juin 2019)
Un audit de sécurité par Cure53 de notre extension de navigateur (novembre 2018)

Rapport de transparence

Nos rapports de transparence biannuels fournissent des informations sur les demandes de données utilisateur reçues par notre service juridique.

Bien que nous recevions régulièrement de telles demandes, notre politique des données personnelles garantit que nous n'avons jamais rien à partager. Nous n'enregistrons ni ne conserverons jamais vos activités en ligne ou vos informations personnelles, y compris votre historique de navigation, la destination du trafic ou les métadonnées, les requêtes DNS ou les adresses IP qui vous sont attribuées lorsque vous vous connectez à notre VPN.

Nous ne pouvons jamais fournir ces données, car elles n'existent tout simplement pas. En publiant ces informations complémentaires sur les demandes que nous recevons, nous visons à offrir une transparence accrue sur la manière dont nous protégeons nos utilisateurs.

Demandes de données utilisateur

Période : janvier - juin 2024

Type	Demandes reçues
Demandes gouvernementales, des forces de l'ordre et civiles	170
Demandes DMCA	259 561
Mandats de toute institution gouvernementale	2
Obligation de silence	0
Lettres de sécurité nationale	0

None of the requests resulted in the disclosure of user-related data.

Période : juillet - décembre 2023

Type	Demandes reçues
Demandes gouvernementales, des forces de l'ordre et civiles	194
Demandes DMCA	152 653
Mandats de toute institution gouvernementale	0
Obligation de silence	0
Lettres de sécurité nationale	0

None of the requests resulted in the disclosure of user-related data.

Programme de chasse aux bugs

À travers notre programme de chasse aux bugs, nous invitons les chercheurs en sécurité à tester nos systèmes et à recevoir des récompenses financières pour les problèmes qu'ils découvriront. Ce programme nous permet de collaborer avec un grand nombre de testeurs qui évaluent régulièrement la sécurité de notre infrastructure et de nos applications. Les résultats de recherche sont ainsi validés puis corrigés, ce qui garantit la sécurité de nos produits.

Le champ d'application de notre programme comprend les failles potentielles dans nos serveurs VPN, dans nos applis et extensions navigateurs, dans notre sites web, etc. Pour les utilisateurs qui signalent les bugs, nous offrons un environnement de sécurité complet reflétant les meilleures pratiques au monde dans le domaine de la recherche sur la sécurité web.

Notre programme de chasse aux bugs est géré par Bugcrowd. Suivez ce lien pour en savoir plus ou pour signaler un bug.

A bar graph with an arrow on the highest bar.

Leadership dans le secteur

Même si nous nous imposons des normes rigoureuses pour augmenter la qualité de nos services, nous sommes également convaincus que notre travail qui consiste à bâtir un internet plus sûr et plus libre ne s'arrête pas là. C'est pourquoi nous collaborons avec d'autres sociétés VPN pour améliorer les standards de sécurité en ligne et mieux protéger les utilisateurs.

Nous avons co-fondé et présidons la VPN Trust Initiative (VTI) avec l'i2Coalition (Internet Infrastructure Coalition) et de nombreux autres acteurs majeurs du secteur. En plus de son travail de sensibilisation et de défense des droits des internautes, cet organisme a lancé les Principes du VTI, des directives partagées par les fournisseurs VPN responsables dans le domaine de la sécurité, du respect de la vie privée, de la transparence, etc. Cette initiative s'appuie sur les travaux antérieurs d'ExpressVPN en matière de transparence en partenariat avec le Center for Democracy and Technology.

Certaines des innovations que nous avons initiées ont aidé à faire avancer le secteur des VPN. Nous étions les premiers à créer TrustedServer, ce qui a permis à d'autres acteurs du secteur de lancer des technologies similaires. Lightway est un autre exemple. Nous espérons qu'en le rendant open source, il aura une influence sur l'ensemble du secteur des VPN.

Initiatives majeures en matière de protection de la vie privée

Découvrez comment nous protégeons la vie privée de nos utilisateurs.

Certification ioXT

ExpressVPN est devenu l'une des rares applis VPN a être certifiées par l'Alliance ioXT pour les normes de sécurité, ce qui permet à nos utilisateurs d'utiliser nos services en toute confiance.

Fonctionnalités de confidentialité intégrées dans l'appli

Nous avons créé une fonctionnalité dans notre application pour Android appelée Résumé de protection. Elle aide les utilisateurs à protéger leur vie privée grâce à des directives explicites.

Centre de sécurité numérique

Nous avons développé le centre de sécurité numérique pour se pencher en profondeur sur les problèmes de protection de la vie privée dans le monde réel. Découvrez nos outils de tests de fuites qui aident à valider la sécurité de notre VPN.