ExpressVPN, un des VPN les plus populaires, a récemment fait face à un problème sérieux affectant la confidentialité de certains utilisateurs sous Windows. Un bug a exposé les adresses IP réelles dans des circonstances particulières, révélant une faille de sécurité liée à un code oublié dans l’application. Cet article fait le point sur ce dysfonctionnement, ses conséquences, et les mesures prises pour y remédier.
Une erreur dans le code de l’application Windows
Le problème a été découvert par un expert en sécurité informatique qui a identifié une anomalie dans la version Windows d’ExpressVPN. En effet, des morceaux de code utilisés initialement pour des tests internes ont été laissés par erreur dans la version publique. Ces restes de développement, jamais destinés à être présents dans le logiciel final, ont entraîné des comportements inattendus. Plus précisément, ils ont affecté la gestion du trafic réseau en laissant passer des données en dehors du tunnel sécurisé du VPN.
Ces incidents ne concernent pas l’ensemble des utilisateurs, mais uniquement certains scénarios spécifiques. Le bug a en effet un lien direct avec l’usage d’un protocole particulier.
Le protocole RDP à l’origine de la fuite
La faille se manifeste lorsque le protocole RDP (Remote Desktop Protocol) est activé. Ce protocole permet de contrôler un autre ordinateur à distance, une fonctionnalité surtout utilisée en milieu professionnel pour l’administration de serveurs ou l’assistance à distance.
Lorsqu’un VPN fonctionne normalement, tout le trafic Internet passe par un tunnel chiffré, masquant l’adresse IP réelle de l’utilisateur. Or, à cause de ce bug, une partie du trafic lié au protocole RDP a pu sortir de ce tunnel, exposant ainsi l’adresse IP réelle. Cela signifie qu’un observateur tiers — que ce soit un fournisseur d’accès Internet ou une personne connectée au même réseau — pouvait voir non seulement qu’ExpressVPN était utilisé, mais aussi les connexions distantes établies via RDP.
Il est important de noter que ce problème concerne essentiellement les utilisateurs professionnels qui activent le protocole RDP. Pour la plupart des particuliers, ce service est généralement bloqué par défaut par les box Internet ou les pare-feu domestiques, limitant ainsi le risque d’exposition.
Ce que révèle la fuite et ce qui reste protégé
ExpressVPN a confirmé que cette faille n’a exposé que l’adresse IP réelle des utilisateurs concernés. Aucune autre information liée à la navigation ou au contenu des sessions n’a été divulguée. Le chiffrement des données, y compris celui des connexions RDP, est resté intact.
Dans leurs communications, les responsables d’ExpressVPN précisent que cette vulnérabilité ne compromet pas le trafic chiffré, mais qu’elle aurait pu permettre à un tiers d’identifier la connexion entre l’utilisateur et des serveurs distants.
L’entreprise rappelle également que la majorité de sa clientèle est composée d’utilisateurs individuels, pour qui cette faille est peu susceptible d’avoir eu un impact significatif.
Une mise à jour rapide pour corriger la faille
Face à cette découverte, ExpressVPN a réagi en déployant rapidement une mise à jour corrective. La version 12.101.0.45, sortie en juin 2025, intègre un patch ciblant précisément cette vulnérabilité liée au protocole RDP sous Windows.
Les utilisateurs sont donc invités à vérifier que leur application est bien à jour, notamment s’ils utilisent le protocole de bureau à distance. Cette vigilance est essentielle pour garantir la confidentialité et la sécurité des connexions.
Des mesures renforcées pour éviter de futures erreurs
Pour éviter que ce type de problème ne se reproduise, ExpressVPN s’engage à renforcer ses processus internes. La société prévoit d’intensifier les contrôles pour détecter tout code de test ou de débogage avant la publication des versions finales.
Des améliorations sont également prévues du côté des tests automatisés. Ces nouveaux outils permettront d’identifier plus tôt les paramètres de développement, afin de les supprimer systématiquement durant les phases de conception.
En résumé, ExpressVPN prend cette faille très au sérieux et travaille à garantir un service plus sûr et plus fiable à ses utilisateurs.
