ExpressVPN vient tout juste de présenter Lightway 2.0, certifié sécurisé par un double audit de sécurité. Mais dans le fond, qu'est-ce que ça change ?
Quelques mois après avoir annoncé l’intégration de fonctionnalités post-quantiques dans son protocole VPN maison, ExpressVPN vient officiellement d’en présenter une refonte complète. Jusqu’ici codé en C, Lightway a entièrement été réécrit en Rust. Une annonce un poil technique pour qui ne maîtrise pas les subtilités de la programmation, mais qui se révèle moins anecdotique qu’elle en a l’air. Car en optant pour un langage plus moderne, mais surtout capable de combler les failles de son prédécesseur, le fournisseur s’attache à renforcer la sécurité et la fiabilité des connexions, tout en améliorant l’expérience d’utilisation.
Du Rust pour plus de sécurité et de rapidité
Comme la plupart des protocoles VPN maison sans velléité d’obfuscation, Lightway avait initialement été conçu pour mieux s’intégrer à l’architecture d’ExpressVPN. Sans entrer dans les détails techniques, le fournisseur entendait ainsi proposer une solution plus légère, plus rapide et mieux adaptée aux usages mobiles que les standards existants, tout en s’appuyant sur des bibliothèques cryptographiques connues et réputées (wolfSSL).
Or, jusqu’à présent, Lightway était écrit en C, dont les faiblesses en matière de gestion de la mémoire sont aujourd’hui documentées. Dépassements de tampon (buffer overflows), accès mémoire non autorisés, erreurs de pointeurs, autant de failles inhérentes à la structure même du langage, et facilement exploitables par des pirates un brin chevronnés. Chose qui, pour un VPN censé garantir la protection des connexions, pose un réel souci de sécurité, et exige des équipes de développement une vigilance constante.
C’est donc pour gagner en stabilité et en fiabilité qu’ExpressVPN a finalement décidé d’abandonner C au profit de Rust, capable de prévenir les erreurs de gestion mémoire dès la compilation, et donc d’enrayer efficacement certaines attaques telles que les injections de code malveillant.
Cette nouvelle version du protocole est aussi plus légère, et donc plus à même d’offrir de meilleures performances. Des dires d’ExpressVPN, Lightway en Rust atteindrait ainsi des débits jusqu’à deux fois plus élevés que ceux de la version en C. Un constat qui peut impressionner sur le papier, mais qui ne devrait pas sauter aux yeux de celles et ceux déjà équipés d’une bonne connexion Internet de base. En revanche, pour les internautes dont les débits sans VPN peinent à décoller, le recours à Rust pourrait effectivement améliorer la fluidité de la navigation.
- storage3000 serveurs
- language105 pays couverts
- lan8 connexions simultanées
- moodEssai gratuit 30 jours
- thumb_upAvantage : Gest. mots de passe
Un double audit pour Lightway 2.0
Il va sans dire que la réécriture complète d’un protocole réseau ne se fait pas à la légère, à plus forte raison quand elle concerne un service VPN. Pour s’assurer de la solidité du nouveau Lightway, toujours open source, ExpressVPN a donc commandé deux audits indépendants, réalisés par Cure53 et Praetorian.
Les deux rapports, accessibles au public, confirment a priori les promesses de sécurité promises par le fournisseur de réseau privé virtuel, alors que Cure53 a statué sur une base de code propre et minimaliste, à même de limiter les surfaces d’attaque. De son côté, Praetorian a conclu sur la bonne intégration de wolfSSL, indiquant que Lightway en Rust protégeait efficacement le trafic contre les attaques de type injection, rejeu et timing.
En bref, Rust aurait bien permis de consolider Lightway, tant d’un point de vue sécurité qu’efficacité, ce qui devrait contribuer à améliorer l’expérience utilisateur et à renforcer la confidentialité des données de trafic. À voir à l’usage.
Sources : ExpressVPN, Cure53, Praetorian
17 février 2025 à 15h40
