Un défaut de routage a été identifié dans certaines versions de l’application Windows d’ExpressVPN. Corrigée depuis fin avril, la faille pouvait permettre à une partie du trafic réseau d’échapper au tunnel VPN. Un scénario rare, mais suffisamment sérieux pour justifier une mise à jour immédiate.

ExpressVPN corrige une faille de routage sur Windows : pourquoi il faut faire la mise à jour. © Dragon Claws / Shutterstock
ExpressVPN corrige une faille de routage sur Windows : pourquoi il faut faire la mise à jour. © Dragon Claws / Shutterstock
L'info en 3 points
  • ExpressVPN a corrigé une faille de routage sur Windows, affectant le port 3389, causant des fuites d'IP.
  • La faille, découverte par un chercheur, affectait essentiellement les connexions RDP, peu courantes chez les particuliers.
  • ExpressVPN a renforcé ses contrôles internes pour éviter que du code de débogage atteigne les versions publiques.

ExpressVPN a récemment publié un correctif de sécurité pour son application Windows, après le signalement d’un bug affectant le routage de certaines connexions. Le problème, identifié par un chercheur indépendant via le programme de bug bounty du fournisseur VPN, concernait le port 3389 – couramment utilisé par le protocole Remote Desktop (RDP), mais aussi par d’autres types de trafic TCP – et pouvait, dans certains cas, conduire à des fuites d’adresse IP.

BitdefenderBitdefender
8.4/10

Offre partenaire

La solution tout-en-un pour protéger votre entreprise

Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !

Protégez votre entreprise

Offre partenaire

Une fuite d’IP possible, mais dans des cas bien précis

En pratique, cette faille n’affectait que les utilisatrices et utilisateurs établissant une connexion RDP ou générant du trafic TCP sur le port 3389 – un scénario rare dans un cadre domestique, d’autant qu’ExpressVPN s’adresse principalement à un public de particuliers. Le port 3389 est en effet utilisé par le protocole Remote Desktop (RDP), qui permet d’accéder à distance à un autre ordinateur via une interface graphique. Très courant en entreprise, notamment pour administrer des postes ou des serveurs à distance, ce protocole reste peu utilisé par les particuliers. Il doit être activé manuellement sur Windows, est souvent bloqué par les box internet ou les pare-feu domestiques, et peut exposer à des risques de sécurité s’il est mal configuré.

Il faut bien comprendre ici que le bug ne compromettait ni le chiffrement des données ni la confidentialité des sessions RDP, mais qu’il pouvait, dans ces cas précis, empêcher le trafic RDP d’être acheminé via ExpressVPN comme prévu. Un tiers présent sur le réseau – un fournisseur d’accès à Internet ou une personne connectée au réseau local, par exemple – pouvait alors constater non seulement que l’utilisateur ou l’utilisatrice était connecté à ExpressVPN, mais aussi qu’il ou elle accédait à des serveurs distants spécifiques via RDP, des informations qui auraient normalement dû rester protégées.

Sur Windows, vérifiez que votre client ExpressVPN est à jour (v. 12.101.0.45). Dans le cas contraire, procédez à la mise à jour de sécurité sans attendre. © Clubic
ExpressVPN
  • storage3000 serveurs
  • language105 pays couverts
  • lan10 connexions simultanées
  • moodEssai gratuit 30 jours
  • thumb_upAvantage : Gest. mots de passe
9.6 / 10

ExpressVPN est l’un des VPN premium les plus aboutis du marché. Le service combine des débits très élevés, une excellente stabilité, des applications particulièrement faciles à prendre en main et une infrastructure sérieusement documentée. Lightway tient toujours son rang, la couverture multiplateforme reste exemplaire et l’ensemble inspire confiance pour un usage quotidien soutenu. ExpressVPN conserve en revanche une approche assez épurée, avec moins de réglages avancés que certains concurrents et des performances plus inégales dès que l’on s’éloigne des localisations les plus proches.

Lire le test complet sur ExpressVPN
Essayer ExpressVPN maintenant !
Les plus
  • Performances très élevées et stables
  • Protocole Lightway rapide et bien intégré
  • Applications simples, soignées et agréables à utiliser
  • Couverture multiplateforme très large
  • Transparence et documentation technique solides
Les moins
  • Moins de réglages avancés que certains concurrents
  • Latence plus inégale sur certains usages sensibles

Une erreur rapidement corrigée, des contrôles renforcés

Le bug a rapidement été attribué à un résidu de code de débogage utilisé en interne lors des phases de test. Resté actif par erreur dans certaines versions de production (de la 12.97 à la 12.101.0.2-beta), ce fragment était responsable du comportement anormal observé sur le port 3389, où certains flux pouvaient contourner le tunnel VPN au lieu d’y transiter comme prévu.

Le signalement a été transmis le 25 avril par un chercheur en sécurité, connu sous le pseudonyme Adam-X, via la plateforme de bug bounty d’ExpressVPN. L’équipe d’ingénierie a confirmé et pris en charge le rapport dans les heures qui ont suivi. Un correctif a ensuite été intégré à la version 12.101.0.45 de l’application Windows, déployée le 30 avril sur l’ensemble des canaux. Le chercheur a validé la résolution du problème fin juin.

Pour éviter que ce type de situation ne se reproduise, ExpressVPN indique avoir renforcé ses contrôles internes. Des vérifications automatisées supplémentaires ont été ajoutées afin de détecter plus tôt la présence de code réservé au débogage, avant qu’il ne puisse atteindre les versions destinées au grand public.

Source : ExpressVPN

À découvrir
Meilleur VPN : comparatif et tests en mai 2026
Comparatifs services