Item: ExpressVPN
Rating: 68
Author: vpn.social

ExpressVPN a été fondé en 2009 et opère sous la juridiction des Îles Vierges britanniques, qui n'imposent aucune obligation de conservation des données. En septembre 2021, Kape Technologies a acquis la société pour 936 millions de dollars — la plus grande acquisition de VPN de l'histoire. Le passé de Kape est central dans l'évaluation d'ExpressVPN : la société a opéré sous le nom de Crossrider de 2011 à 2018, gérant une plateforme qui injectait des publicités dans des extensions de navigateur. Symantec a signalé les logiciels Crossrider comme des malwares, et Google les a identifiés comme distribuant des applications potentiellement indésirables. L'actionnaire majoritaire de Kape, Teddy Sagi, a purgé une peine de prison pour fraude boursière dans les années 1990. Kape possède également CyberGhost, PIA, ZenMate et, fait notable, les sites d'évaluation vpnMentor et WizCase — qui classent désormais les propres VPN de Kape en tête de leurs palmarès.

La controverse autour de Daniel Gericke a ajouté une nouvelle dimension. Recruté comme DSI en décembre 2019, Gericke avait auparavant travaillé sur le Project Raven — une opération de surveillance du gouvernement des Émirats arabes unis ciblant des citoyens américains, des journalistes étrangers et des militants des droits de l'homme à l'aide d'exploits sans clic. Il a été condamné à une amende de 335 000 dollars par le DOJ dans le cadre d'un accord de poursuite différée. ExpressVPN a reconnu avoir eu connaissance d'éléments clés avant de le recruter, arguant que son expérience dans le domaine adversarial renforçait la sécurité défensive. Edward Snowden a publiquement remis en question le jugement de la société. Gericke a quitté ses fonctions en juillet 2023.

En dépit de cet actionnariat, l'infrastructure de sécurité technique d'ExpressVPN est véritablement impressionnante. TrustedServer fonctionne entièrement en RAM sans disque dur — chaque redémarrage charge une image système fraîche et signée cryptographiquement, et les serveurs sont soumis à des cycles de mise à niveau hebdomadaires qui effacent toutes les données antérieures. Cette architecture a été auditée par PwC (2019), Cure53 (2022) et KPMG (2022, 2023, 2025). La politique zéro journal a reçu une validation concrète en 2017 lorsque les autorités turques ont saisi un serveur physique dans le cadre d'une enquête sur un assassinat et n'ont récupéré aucune donnée utilisateur.

Le protocole Lightway, développé en interne et mis en open source sur GitHub, a été réécrit de C en Rust en 2025 pour des raisons de sécurité mémoire. Lightway Turbo, introduit la même année, utilise le tunneling multiligne et le déchargement du canal de données au niveau du noyau pour atteindre des débits allant jusqu'à 1 479 Mbps sous Windows — bien que cette fonctionnalité soit actuellement réservée à Windows. Le Lightway standard délivre 200 à 300 Mbps dans les tests indépendants, ce qui est compétitif, mais plus lent que le NordLynx de NordVPN dans la plupart des comparaisons directes.

Le chiffrement post-quantique utilisant ML-KEM (la norme NIST) est déployé par défaut sur Lightway et WireGuard, faisant d'ExpressVPN l'un des premiers fournisseurs à proposer une protection post-quantique sur plusieurs protocoles. La prise en charge de WireGuard a été ajoutée en août 2025, simultanément à l'intégration post-quantique.

Le réseau de serveurs couvre plus de 3 000 serveurs répartis dans plus de 105 pays et plus de 160 emplacements. ExpressVPN contourne de manière fiable la censure en Chine, en Iran, aux Émirats arabes unis, en Russie et en Arabie saoudite — une capacité essentielle que de nombreux concurrents ne possèdent pas. Le déblocage du streaming est systématiquement le plus performant du secteur, avec un accès confirmé à plus de 20 catalogues Netflix, Disney+, Prime Video, BBC iPlayer, Hulu, HBO Max et DAZN.

Une faille de sécurité significative a été la fuite DNS dans le tunnel fractionné Windows (CVE-2024-25728), présente de mai 2022 à février 2024 — soit 21 mois durant lesquels les requêtes DNS contournaient le tunnel VPN lorsque le tunnel fractionné était activé. ExpressVPN estime que moins de 1 % des utilisateurs Windows ont été affectés. La réponse a inclus deux analyses des causes profondes, un test de pénétration commandé à Nettitude et la désactivation temporaire du tunnel fractionné jusqu'à la correction du problème.

La tarification a été restructurée en septembre 2025 en trois niveaux : Basic (2,44 $/mois sur des offres de 2 ans, 10 connexions), Advanced (4,49 $/mois, avec gestionnaire de mots de passe et surveillance de l'identité) et Pro (7,49 $/mois, avec IP dédiée). Le tarif mensuel reste le plus élevé du secteur à 12,99 $. Les options de paiement incluent les cartes de crédit, PayPal, Bitcoin, Apple Pay et Google Pay, avec une garantie de remboursement de 30 jours.

Parmi les absences notables figurent la redirection de port (indisponible sur tous les serveurs), le routage multi-sauts et les applications clientes open source — seule la bibliothèque principale Lightway est publique. Le tunnel fractionné n'est pas disponible sur iOS. Ces lacunes se font d'autant plus ressentir au regard du positionnement premium d'ExpressVPN.

ExpressVPN a proactivement retiré tous ses serveurs physiques d'Inde en juin 2022 plutôt que de se conformer à l'obligation de conservation des données imposée par CERT-In, passant à des serveurs virtuels à Singapour et au Royaume-Uni pour les adresses IP indiennes. Les rapports de transparence font état de 529 demandes gouvernementales en 2025 et de 2,44 millions de plaintes DMCA — sans qu'aucune donnée n'ait été divulguée dans aucun cas.

La société a poursuivi les certifications ISO 27001, 9001 et 18295, avec les certifications ISO 27701 (confidentialité) et ISO 42001 (IA) visées pour 2026. Un niveau gratuit EventVPN lancé en novembre 2025 fonctionne sur une infrastructure premium avec protection post-quantique et zéro journal — un contraste notable par rapport à la plupart des offres VPN gratuites.