ExpressVPN confirme la confidentialité de son infrastructure avec un nouvel audit

Un VPN, c'est bien, un VPN no-log, c'est bien mieux. Et pour s'assurer que la politique de confidentialité est bien respectée, cela passe par des audits externes. ExpressVPN publie les résultats de sa troisième enquête menée par KPGM en février dernier.

L'usage principal d'un VPN reste la confidentialité. Cela signifie que les utilisateurs souhaite protéger leurs données personnelles, notamment s'ils accèdent à un VPN dans une région où la démocratie est remise en cause par des pratiques de censure. Dans ce cas, une politique no-log, ou de non-journalisation, est primordiale pour masquer l'activité de l'internaute.

Les TrustedServers passés à la loupe

Si un VPN peut fournir une adresse IP, il est également en mesure de collecter des données un peu sensibles dans certaines situations. Cela inclut l'historique de navigation, les fichiers téléchargés, le temps de consultation sur chaque page, mais aussi l'adresse IP d'origine, les horodatages de connexion, le protocole utilisé ou encore le volume de données transférées lors d'une session.

L’audit indépendant mené par KPMG en février 2025 sur ExpressVPN vise à comprendre les pratique de l'éditeur pour mettre en place sa politique no-log. Plus précisément, le rapport fait la lumière sur la conception et les contrôles internes portés sur les TrustedServers du service.

Pour ces derniers, ExpressVPN adopte une architecture en mémoire vive (RAM). Contrairement aux serveurs traditionnels utilisant des disques durs, cette approche vise à éliminer tout risque de persistance de données. Puisqu'il s'agit de mémoire volatile, chaque redémarrage efface l’intégralité des informations. Impossible, donc, pour ExpressVPN, de conserver - volontairement ou non - des données sensibles. Dans cet audit, il est précisé que le système d’exploitation des TrustedServers et l’ensemble de la pile logicielle sont réinstallés à chaque démarrage à partir d’une image ISO signée numériquement, afin de garantir l’intégrité du code exécuté sur chaque serveur.

ExpressVPN ne conserve ni historique de navigation, ni requêtes DNS, ni logs de connexions détaillés (adresses IP, horaires, durée de session). Les seules informations collectées sont agrégées et anonymisées. Cela inclut date de connexion (sans l’heure), pays et fournisseur d’accès, volume global de données transférées, version de l’application utilisée et protocole VPN sélectionné. Ces éléments servent principalement à assurer le support technique et à maintenir la qualité de service, sans possibilité d’identifier un utilisateur ou de retracer son activité en ligne.

Les dispositifs de sécurité en interne

L’audit KPMG porte également sur la mise en œuvre des contrôles internes. Les experts ont ainsi passé au crible la documentation, le fonctionnement des système et procédé à des entretiens avec le personnel. KPMG a constaté que la configuration des serveurs empêche la création ou l’exposition de logs d’activité, que ce soit par erreur, par sortie système ou par fichiers de journalisation. En outre, les processus de gestion du code source et des mises à jour sont encadrés par des contrôles automatisés et des signatures cryptographiques.

L’audit a également vérifié que la chaîne de production logicielle (build pipeline) est protégée contre les attaques de type injection de dépendances, grâce à la vérification systématique des signatures et des empreintes cryptographiques des composants tiers. Les changements de configuration ou de code nécessitent l’approbation de plusieurs personnes, dont au moins un responsable du code. Le tout est soumis à des tests automatisés afin d'empêcher toute activation de la journalisation non conforme à la politique de confidentialité.

Précisons toutefois que ces examens portent uniquement sur la situation à une date donnée et ne constituent pas une garantie permanente. Il s'agit d'un audit de Type I. Ce dernier n'inclut pas de test d’efficacité sur une période prolongée, ce qui aurait nécessité un audit de Type II. Toutefois, il vient renforcer les nombreux contrôles préalablement effectués.

ExpressVPN montre patte blanche régulièrement

En mai 2019, PwC Switzerland a vérifié la conformité de la politique de confidentialité et la technologie TrustedServer. Un an plus tard, le même cabinet a examiné le processus de vérification de la chaîne de compilation. En août 2021, Cure53 s’est penché sur le protocole VPN Lightway. Au printemps 2022, c'est au tour de F-Secure de passer en revue les applications Windows, suivi en mai par un audit Cure53 dédié encore à TrustedServer. Entre juillet et octobre 2022, Cure53 a également analysé les applications pour macOS, Linux, Android, iOS, le routeur Aircove, les extensions de navigateur et le gestionnaire de mots de passe ExpressVPN Keys.

En septembre 2022, KPMG a réalisé un audit sur la politique "no-log" et son application sur l’infrastructure. À la fin de la même année, plusieurs audits supplémentaires ont concerné les applications de bureau. En 2023 et 2024, ExpressVPN a poursuivi cette démarche, en publiant pas moins de douze rapports en une seule année, incluant notamment des contrôles sur Lightway (par Cure53 et Praetorian), les applications et TrustedServer. Enfin, en décembre 2023, KPMG a confirmé la conformité de la politique de confidentialité et l’absence de logs inhabituels.

Rendez-vous ici pour télécharger le rapport complet.