Une vulnérabilité majeure a été identifiée dans le client Windows d’ExpressVPN, affectant spécifiquement la gestion du protocole Remote Desktop Protocol (RDP) et entraînant l’exposition d’adresses IP réelles des utilisateurs.
Rejoignez-nous sur les réseaux sociaux
Aucun spam – Désinscription en un clic – Vie privée respectée
La faille d’ExpressVPN sur Windows a permis le contournement du tunnel VPN lors des connexions RDP, ce qui a exposé les véritables adresses IP des utilisateurs concernés. À l’origine de cette vulnérabilité se trouvait un code de débogage, laissé par inadvertance lors de tests internes, qui n’a pas été retiré avant la mise en production de plusieurs versions du client. Concrètement, le trafic réseau généré lors d’une session RDP transitait hors du tunnel chiffré, contrairement à ce qu’exige le fonctionnement normal d’un VPN. De ce fait, un observateur externe, qu’il s’agisse d’un fournisseur d’accès à Internet ou d’un tiers connecté au même réseau local, pouvait non seulement détecter l’utilisation d’ExpressVPN, mais également accéder aux adresses IP précises des serveurs distants auxquels l’utilisateur se connectait.
« Le contournement du tunnel VPN lors des sessions RDP a permis la divulgation involontaire d’adresses IP réelles », a-t-il été constaté dans les rapports techniques.
Malgré le maintien du chiffrement du contenu, l’échec du routage par le tunnel VPN est considéré comme une faille importante. ExpressVPN, positionnée comme l’un des acteurs majeurs de la protection de la vie privée en ligne, a reconnu la gravité du problème, tout en précisant que la faille était limitée à une portion restreinte de sa base d’utilisateurs. D’après la communication officielle, seuls les utilisateurs ayant recours à RDP, un protocole essentiellement utilisé dans les environnements professionnels et par les administrateurs informatiques, étaient concernés. Le client standard, notamment pour la navigation web, n’était pas affecté par ce contournement.
La détection de la vulnérabilité le 25 avril 2025 a conduit à une enquête technique approfondie, confirmant que les versions du client Windows d’ExpressVPN comprises entre la 12.97 et la 12.101.0.2-beta étaient vulnérables. Selon l’éditeur, l’introduction du code problématique relevait d’un oubli lors du processus de développement et ne résultait pas d’une intention malveillante.
« La faille provenait d’un résidu de code de test destiné aux équipes internes, resté accidentellement dans les versions de production », ont précisé les experts sécurité.
Suite à la publication de la vulnérabilité, ExpressVPN a déployé le 18 juin 2025 une nouvelle version du client Windows, estampillée 12.101.0.45, corrigeant définitivement le problème. La société a demandé à l’ensemble de ses utilisateurs sous Windows de procéder immédiatement à la mise à jour du logiciel afin d’éviter toute exposition supplémentaire.
En réponse à l’incident, ExpressVPN s’est engagée à renforcer ses processus de validation interne des logiciels, en mettant notamment l’accent sur l’automatisation accrue des tests de sécurité sur les futures versions. L’objectif affiché est de prévenir toute récurrence d’incident de ce type, en veillant à ce qu’aucun code de test ne soit intégré dans les versions finales destinées au public.
⏳ Jusqu’où tolérerez-vous d’être piraté ?
CTI ZATAZ – Scannez les menaces vous concernant avant qu’il ne soit trop tard.
Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.
« L’incident a principalement concerné une population d’utilisateurs professionnels, utilisant fréquemment RDP pour des accès à distance », souligne le rapport d’audit technique.
L’impact réel sur les utilisateurs demeure circonscrit à ceux exploitant simultanément ExpressVPN et le protocole RDP sur des systèmes Windows, la majorité des clients particuliers n’ayant pas été concernés. Néanmoins, la nature même de la vulnérabilité, à savoir la possibilité pour des tiers de remonter jusqu’à l’adresse IP réelle d’utilisateurs pensant être protégés par le VPN, constitue un manquement notable à la promesse de confidentialité et de sécurité d’ExpressVPN.
En parallèle, cet incident survient alors qu’ExpressVPN avait déjà été confronté à une fuite de requêtes DNS en 2024, liée à l’option de tunnelisation fractionnée. Cette fonctionnalité avait dû être temporairement désactivée dans l’attente d’un correctif, ce qui avait suscité une vigilance accrue de la part de la communauté sécurité.
La séquence des deux incidents en moins de deux ans souligne les enjeux spécifiques à la sécurisation des logiciels VPN, dont l’attractivité repose justement sur la capacité à garantir l’invisibilité et la confidentialité du trafic en toutes circonstances. Dans les deux cas, ExpressVPN a publié des mises à jour correctives rapides et communique activement auprès de ses utilisateurs, tout en promettant une amélioration continue de ses procédures internes.
« ExpressVPN a diffusé un correctif le 18 juin 2025 et invite ses clients Windows à effectuer la mise à jour sans délai », selon les communications officielles.
La société rappelle que, dès l’installation de la version 12.101.0.45, l’ensemble du trafic, y compris lors des connexions RDP, transite à nouveau exclusivement par le tunnel VPN chiffré, conformément aux attentes et aux garanties de sécurité affichées. L’éditeur poursuit par ailleurs la mise en place de nouveaux mécanismes d’automatisation des tests, afin de mieux contrôler le processus de livraison logicielle et d’anticiper tout défaut similaire à l’avenir.
En ce qui concerne la conformité, ExpressVPN indique collaborer avec des spécialistes indépendants pour auditer ses procédures internes et valider la robustesse des correctifs appliqués. Selon les analyses publiques disponibles, aucun cas d’exploitation malveillante de la faille n’a été rapporté avant la publication du correctif, ce qui limite les risques pour les utilisateurs concernés.
La prise en charge proactive des utilisateurs et la publication rapide d’une version corrigée démontrent la volonté de l’éditeur de restaurer la confiance, bien que la succession d’incidents techniques impose une vigilance renforcée de la part des professionnels et des entreprises recourant à des solutions VPN pour la sécurisation des accès distants.
« Aucune exploitation malveillante de la faille n’a été détectée avant la mise à disposition du correctif », selon les analyses de sécurité publiées.
Pour conclure, cette faille sur le client Windows d’ExpressVPN illustre les risques inhérents au développement de solutions logicielles orientées sécurité, où la moindre erreur de code ou omission dans la gestion des protocoles peut remettre en cause la confidentialité des utilisateurs. Les réactions rapides d’ExpressVPN, associées à l’engagement public de renforcer ses pratiques de test, visent à rassurer l’ensemble de ses clients, tout en soulignant la nécessité pour les utilisateurs professionnels d’appliquer systématiquement les mises à jour proposées par leurs fournisseurs de solutions VPN.
Rejoignez-nous sur les réseaux sociaux
Aucun spam – Désinscription en un clic – Vie privée respectée
