ExpressVPN publie une déclaration sur l’implication de son directeur informatique dans l’opération de spyware « KARMA »
- Marie Fournier
- 22 septembre 2021
ExpressVPN affirme avoir toujours été au courant des activités antérieures de son directeur informatique et y avoir vu une opportunité.
La société VPN affirme que l’ancien agent du renseignement américain les a en fait aidés à construire un produit plus robuste et plus sécurisé. Si tout ce que l’entreprise affirme sur le plan technique est facilement acceptable, le côté éthique reste entaché selon nous.
L’actuel CIO (Chief Information Officer) d’ExpressVPN, Daniel Gericke, s’est retrouvé dans le trio des anciens agents de renseignement américain appelés par l’État pour payer leur condamnation pour avoir aidé des opérations de surveillance soutenues par le gouvernement aux Émirats arabes unis. Naturellement, cela a suscité une attention négative autour du populaire fournisseur de produits VPN après que celui-ci vienne d’être acquis par une entreprise ayant un passé quelque peu douteux (Kape Technologies).
Comme l’explique la société dans son article de blog, la société était au courant de l’implication de Gericke dans l’opération d’espionnage « KARMA » dès le moment où elle l’a interviewé pour le poste, puisqu’il aurait divulgué toutes les informations non classifiées. De plus, ils expliquent que les antécédents de Gericke dans des opérations de ce type et de cette envergure, ainsi que les connaissances qui découlent de cette expérience, ont offert à l’entreprise une occasion de premier ordre de parvenir à une confidentialité et une sécurité ultime contre toutes les menaces possibles grâce à l’expertise et à la consultation du cadre.
ExpressVPN affirme que leur produit disposait déjà de solides protections contre les menaces externes et internes avant l’arrivée de Gericke en 2019, mais avec son aide, l’entreprise est passée selon ses dire au niveau supérieur.
Cela ne signifie pas qu’ils ont simplement laisser carte blanche à Gericke. Au lieu de cela, ExpressVPN annonce qu’ils se sont appuyés sur leur système interne qui intègre les technologies de « moindre privilège », de « limitation des autorisations », de « vérification de la construction » et de « TrustedServer », de sorte que ni Gericke ni aucun autre dirigeant n’aurait pu altérer le code de leurs produits.
Après tout, ce qui précède a été confirmé à plusieurs reprises par des audits réalisés par des experts indépendants qui ont examiné de près l’infrastructure, les politiques de confidentialité, le code de l’application client et tout ce qui se trouve au cœur du service ExpressVPN.
La société VPN avait écrit un post détaillé entièrement séparé pour donner des exemples spécifiques de la façon dont Gericke les a aidés à améliorer la sécurité interne de leur produit.
Par exemple, des exercices de sécurité offensifs, le développement d’un « centre des opérations de sécurité », l’amélioration de l’évaluation et de l’atténuation des risques par le biais de l’équipe rouge, et l’insistance pour qu’ExpressVPN ne soit plus équipé de pare-feu SonicWall avant que l’entreprise ne subisse une violation massive des données en janvier 2021.
En résumé, ExpressVPN annoncé à ses clients qu’il ne fallait pas s’inquiéter de cette nouvelle. Tout ce qu’ils ont fait était intentionnel et entièrement sous contrôle.
En ce qui concerne l’aspect éthique, cependant, il n’y a pas grand-chose à dire ou à faire pour éteindre cette mauvaise presse. Bien qu’il soit commun dans l’industrie de la sécurité de faire appel à des hackers (étiques ou non), ce manque de transparence et ce choix est quelque peu douteux selon nous.
Mis en perspective avec le rachat de la société par Kape Technologies, il est important et logique de se poser des questions ici. ExpressVPN a toutefois toujours été un acteur engagé dans la protection des données de ses clients, donc c’est à vous de décider si cela doit être pris en compte lors du choix d’un produit VPN.
Plus d'actu sur ExpressVPN
ExpressVPN réalise un audit approfondi et des tests de pénétration effectués par F-Secure
ExpressVPN lance Keys, un gestionnaire de mots de passe complet et sécurisé
Comment Kape Technologies fait progressivement main basse sur l’industrie du VPN