Actu
ExpressVPN annonce une « Bug Bounty » à 100 000$ (USD) sur la sécurité de ses services
février 2022 par Marc Jacob
ExpressVPN annonce une prime de 100 000$ (USD) aux chercheurs capables de trouver et de démontrer une faille de sécurité critique sur sa technologie VPN maison, TrustedServer. Il s’agit de la prime la plus élevée offerte via la solution Bug Bounty de Bugcrowd, d’un montant 10 fois supérieur à la précédente récompense la plus élevée offerte par ExpressVPN. Cela démontre l’engagement de la compagnie envers la protection de la vie privée de ses utilisateurs.
ExpressVPN a conçu sa technologie TrustedServer pour minimiser les problèmes que pose la gestion traditionnelle des serveurs. En plus de l’audit indépendant réalisé par PwC pour confirmer les affirmations de TrustedServer en matière d’amélioration de la sécurité, ExpressVPN fait un pas de plus en récompensant les personnes qui les aident à améliorer leur sécurité.
ExpressVPN invite les chercheurs en sécurité de Bugcrowd à tester dans les serveurs VPN les types de problèmes de sécurité suivants :
_ ? Accès non autorisé à un serveur VPN ou exécution de code à distance
_ ? Vulnérabilités dans un serveur VPN d’ExpressVPN qui entraînent la fuite des adresses IP réelles des clients ou la possibilité de surveiller le trafic des utilisateurs.
TrustedServer : plus que de simples serveurs à mémoire vive
TrustedServer est essentiellement un système d’exploitation, avec plusieurs couches de protection en place, chacun des éléments étant conçu pour une sécurité renforcée. Cela comprend :
_ ? Une distribution Linux développée en interne chez ExpressVPN sur une base Debian Linux.
_ ? Un build reproductive1 et un système de vérification pour minimiser les risques de sécurité et garantir que l’intégrité du code source ou de système de build n’ont pas été modifiés.
_ ? Des mises à jour hebdomadaires du logiciel et des correctifs pour chaque serveur (sans aucune partie de la version de la semaine précédente dans la version mise à jour), en effaçant et en réinstallant l’ensemble du système d’exploitation sur les serveurs au moins une fois par semaine.
_ ? La possibilité pour ExpressVPN de savoir exactement ce qui est en cours d’exécution sur chaque serveur - réduisant le risque de vulnérabilité ou de mauvaise configuration et améliorant considérablement la sécurité du VPN.
_ ? Toutes les informations présentes sur les serveurs sont effacées à chaque redémarrage, ces derniers fonctionnant dans la RAM, empêchant les données et les intrus potentiels de persister sur la machine.
ExpressVPN dispose d’un programme Bug Bounty depuis 2016, et a été l’un des premiers du secteur à en mettre un en place. L’entreprise a depuis versé des dizaines de milliers de dollars aux chercheurs en sécurité, et a rejoint Bugcrowd en 2020 pour accroître la portée et l’efficacité de son programme.
