Un défaut de routage a été identifié dans certaines versions de l’application Windows d’ExpressVPN. Corrigée depuis fin avril, la faille pouvait permettre à une partie du trafic réseau d’échapper au tunnel VPN. Un scénario rare, mais suffisamment sérieux pour justifier une mise à jour immédiate.

ExpressVPN corrige une faille de routage sur Windows : pourquoi il faut faire la mise à jour. © Dragon Claws / Shutterstock
ExpressVPN corrige une faille de routage sur Windows : pourquoi il faut faire la mise à jour. © Dragon Claws / Shutterstock
L'info en 3 points
  • ExpressVPN a corrigé une faille de routage sur Windows, affectant le port 3389, causant des fuites d'IP.
  • La faille, découverte par un chercheur, affectait essentiellement les connexions RDP, peu courantes chez les particuliers.
  • ExpressVPN a renforcé ses contrôles internes pour éviter que du code de débogage atteigne les versions publiques.

ExpressVPN a récemment publié un correctif de sécurité pour son application Windows, après le signalement d’un bug affectant le routage de certaines connexions. Le problème, identifié par un chercheur indépendant via le programme de bug bounty du fournisseur VPN, concernait le port 3389 – couramment utilisé par le protocole Remote Desktop (RDP), mais aussi par d’autres types de trafic TCP – et pouvait, dans certains cas, conduire à des fuites d’adresse IP.

Une fuite d’IP possible, mais dans des cas bien précis

En pratique, cette faille n’affectait que les utilisatrices et utilisateurs établissant une connexion RDP ou générant du trafic TCP sur le port 3389 – un scénario rare dans un cadre domestique, d’autant qu’ExpressVPN s’adresse principalement à un public de particuliers. Le port 3389 est en effet utilisé par le protocole Remote Desktop (RDP), qui permet d’accéder à distance à un autre ordinateur via une interface graphique. Très courant en entreprise, notamment pour administrer des postes ou des serveurs à distance, ce protocole reste peu utilisé par les particuliers. Il doit être activé manuellement sur Windows, est souvent bloqué par les box internet ou les pare-feu domestiques, et peut exposer à des risques de sécurité s’il est mal configuré.

Il faut bien comprendre ici que le bug ne compromettait ni le chiffrement des données ni la confidentialité des sessions RDP, mais qu’il pouvait, dans ces cas précis, empêcher le trafic RDP d’être acheminé via ExpressVPN comme prévu. Un tiers présent sur le réseau – un fournisseur d’accès à Internet ou une personne connectée au réseau local, par exemple – pouvait alors constater non seulement que l’utilisateur ou l’utilisatrice était connecté à ExpressVPN, mais aussi qu’il ou elle accédait à des serveurs distants spécifiques via RDP, des informations qui auraient normalement dû rester protégées.

Sur Windows, vérifiez que votre client ExpressVPN est à jour (v. 12.101.0.45). Dans le cas contraire, procédez à la mise à jour de sécurité sans attendre. © Clubic
Sur Windows, vérifiez que votre client ExpressVPN est à jour (v. 12.101.0.45). Dans le cas contraire, procédez à la mise à jour de sécurité sans attendre. © Clubic
ExpressVPN
  • storage3000 serveurs
  • language105 pays couverts
  • lan8 connexions simultanées
  • moodEssai gratuit 30 jours
  • thumb_upAvantage : Gest. mots de passe
9.6 / 10

ExpressVPN propose un niveau de service de premier ordre. Difficile de le prendre en défaut, tant concernant sa politique de confidentialité qu'au sujet des performances et de la sécurité de ses serveurs, la qualité de ses applications ou encore sa couverture multiplateforme. Sa capacité à débloquer les sites de streaming à l'étranger, dont Netflix et Amazon Prime Video, en font un compagnon de voyage idéal, d'autant qu'il affiche des vitesses de connexion impressionnantes et des latences minimes, quel que soit le serveur sélectionné. Seule ombre au tableau : des prix élevés qui pourraient pousser les internautes à se tourner vers des offres plus économiques et de qualité équivalente, comme CyberGhost ou NordVPN.

Lire le test complet sur ExpressVPN
Essayer ExpressVPN maintenant !
Les plus
  • Vitesses de connexion très élevées et linéaires
  • Vaste couverture géographique
  • Débloque les catalogues étrangers de streaming dont Netflix US et Amazon Prime Video
  • Interface soignée et accessible à tous
Les moins
  • Prix plus élevés que d'autres solutions VPN équivalentes

Une erreur rapidement corrigée, des contrôles renforcés

Le bug a rapidement été attribué à un résidu de code de débogage utilisé en interne lors des phases de test. Resté actif par erreur dans certaines versions de production (de la 12.97 à la 12.101.0.2-beta), ce fragment était responsable du comportement anormal observé sur le port 3389, où certains flux pouvaient contourner le tunnel VPN au lieu d’y transiter comme prévu.

Le signalement a été transmis le 25 avril par un chercheur en sécurité, connu sous le pseudonyme Adam-X, via la plateforme de bug bounty d’ExpressVPN. L’équipe d’ingénierie a confirmé et pris en charge le rapport dans les heures qui ont suivi. Un correctif a ensuite été intégré à la version 12.101.0.45 de l’application Windows, déployée le 30 avril sur l’ensemble des canaux. Le chercheur a validé la résolution du problème fin juin.

Pour éviter que ce type de situation ne se reproduise, ExpressVPN indique avoir renforcé ses contrôles internes. Des vérifications automatisées supplémentaires ont été ajoutées afin de détecter plus tôt la présence de code réservé au débogage, avant qu’il ne puisse atteindre les versions destinées au grand public.

Source : ExpressVPN

À découvrir
Meilleur VPN, le comparatif en juillet 2025

27 juin 2025 à 08h06

Comparatifs services