Cure53 a évalué une nouvelle fois la sécurité de NordVPN

Ce qui a été testé par Cure53

En 2025, NordVPN a chargé Cure53 de mener une évaluation de sécurité approfondie couvrant à la fois nos applications et notre infrastructure. Cure53 est une société de tests d'intrusion basée en Allemagne qui possède plus de 15 ans d'expérience dans le domaine des tests logiciels.

Les auditeurs ont effectué une série de tests d'intrusion (pentests) en boîte blanche et en boîte grise et ont procédé à des examens approfondis du code source. Dix-neuf testeurs expérimentés ont travaillé en étroite collaboration avec nos ingénieurs et ont eu un accès complet à tous les éléments nécessaires aux tests. L'évaluation s'est déroulée en mai, juin et octobre 2025 et a duré plusieurs dizaines de jours ouvrables.

Elle a porté sur de nombreux composants de NordVPN, notamment :

• Les applications Android, iOS, Windows, macOS et Linux.
• Les extensions de navigateur pour Chrome, Edge et Firefox.
• Les composants de Protection Anti-menaces, y compris l'analyse des logiciels malveillants et le filtrage du réseau.
• L'authentification NordAccount et les flux MFA.
• Les API de base pour le VPN, la Protection Anti-menaces, le Réseau Mesh et les services de compte.
• Les serveurs VPN et l'infrastructure de soutien.
• Les services conteneurisés, la logique d'authentification et les contrôles d'accès internes au sein de l'environnement serveur.

Ce que l'audit Cure53 a révélé

Malgré la portée relativement large de l'audit, Cure53 n'a trouvé aucune vulnérabilité critique dans aucune partie de l'évaluation. Et bien que les auditeurs aient signalé plusieurs éléments comme étant très graves et nécessitant une attention particulière, tous les problèmes identifiés ont déjà été corrigés, et chaque élément a été vérifié par Cure53 pour s'assurer qu'il fonctionne comme prévu. Les autres conclusions allaient de moyennes à informatives (problèmes à faible impact qui ne menacent pas la sécurité des utilisateurs mais nous aident à renforcer les protections internes). Elles étaient typiques d'un examen de sécurité de cette envergure. Parallèlement à ces conclusions, les auditeurs ont souligné quelques domaines dans lesquels le service fonctionnait particulièrement bien.

Applications client sécurisées

L'audit a révélé que nos applications suivent des pratiques de sécurité rigoureuses sur toutes les principales plateformes. Sur mobile, les applications Android et iOS mettent en œuvre des pratiques de sécurité strictes, notamment le stockage sécurisé des données, l'utilisation contrôlée de WebView, les protections biométriques et la liaison des appareils. Sur les ordinateurs de bureau, les auditeurs ont noté une conception IPC sécurisée, une logique de pare-feu robuste et une validation appropriée des liens profonds et des opérations sur les fichiers.

Authentification forte et protection des comptes

Le système NordAccount a également bien résisté aux tests de Cure53, démontrant une gestion sécurisée des jetons, une validation cohérente des entrées et une utilisation correcte des normes industrielles telles que PKCE. Les auditeurs ont confirmé que l'isolation des sessions et la validation des états contribuaient à prévenir les tentatives courantes de contournement de l'authentification.

API bien structurées et fiables

Les API backend ont démontré une application stricte du contrôle d'accès, une désinfection approfondie et une gestion sécurisée des actions sensibles. Les composants de base, notamment les systèmes de parrainage, les flux d'abonnement et les API du Réseau Mesh, ont fonctionné comme prévu lors de tests approfondis.

Logique de protection robuste contre les menaces

Cure53 a examiné les composants de détection des logiciels malveillants et a constaté que les approches basées sur le hachage et l'apprentissage automatique étaient mises en œuvre de manière sécurisée. Les auditeurs n'ont identifié aucune méthode de contournement des moteurs d'analyse ou des mécanismes de filtrage du trafic.

Une infrastructure sécurisée et résiliente

Lorsque Cure53 a inspecté notre environnement serveur, ils ont confirmé que nos serveurs VPN étaient correctement renforcés et utilisaient des règles de pare-feu restrictives et une isolation forte des conteneurs. Les auditeurs ont conclu que la stratégie globale de renforcement de NordVPN constituait une base solide pour la sécurité des serveurs.

La réponse de NordVPN

Une fois que Cure53 a communiqué ses conclusions, nos ingénieurs ont immédiatement commencé à améliorer le service. Les problèmes signalés comme les plus urgents ont été traités en premier, et Cure53 a ensuite confirmé que les mesures correctives fonctionnaient comme prévu. Les autres points ont été résolus ou examinés avec les auditeurs afin de s'assurer que les mesures de protection déjà en place restaient appropriées.

Certaines conclusions concernaient des limites connues ou des risques acceptés, c'est-à-dire des situations dans lesquelles la modification d'un composant aurait créé de nouvelles complications sans améliorer la sécurité. Dans ces cas, nous avons travaillé avec Cure53 pour vérifier que les protections existantes restaient suffisantes.

Les deux rapports d'évaluation complets sont disponibles pour les utilisateurs de NordVPN via leur compte ou via les liens ci-dessous :

Assurer la sécurité de NordVPN

La sécurité est un domaine qui nécessite des efforts continus, et des examens réguliers comme celui-ci nous aident à identifier rapidement les problèmes potentiels et à empêcher de nouvelles cybermenaces de s'installer. C'est pourquoi nous continuerons à investir dans l’amélioration de NordVPN en effectuant des audits de sécurité indépendants et en optimisant notre infrastructure chaque fois que cela est possible.

Le travail est permanent, et chaque nouvelle évaluation nous aide à rendre le service encore plus sûr. Les derniers résultats des tests Cure53 montrent que les applications et les systèmes de NordVPN restent bien protégés, et nous continuerons à les améliorer dans l'intérêt de tous les utilisateurs qui font confiance à notre service. Nous tenons également à remercier toute l'équipe de Cure53 pour son travail minutieux et sa coopération tout au long de cette évaluation. Son expertise soutient notre engagement à assurer la sécurité de NordVPN.