Un bogue VPN iOS 13.4 peut entraîner des fuites de données

Les fournisseurs de VPN reçoivent leur juste part de critiques. Les gens blâment certains d'entre eux d'avoir abusé de la confiance que les utilisateurs leur accordent et de ne pas protéger leur vie privée aussi bien qu'ils le devraient. Parfois, les allégations sont bien placées, mais il y a pas mal de fournisseurs de VPN qui veulent vraiment donner aux utilisateurs un moyen vraiment sûr de naviguer sur Internet. Cependant, leurs produits doivent fonctionner sur de nombreux systèmes d'exploitation différents, et de temps en temps, cela pose un problème. Récemment, par exemple, des chercheurs de Proton VPN ont trouvé un bogue dans l'iOS d'Apple qui menace d'exposer les données des gens.

iOS ne met pas fin à toutes les connexions précédentes lorsqu'un utilisateur établit un tunnel VPN

Si vous avez un VPN, vous disposez d'un tunnel à travers lequel passe toute votre communication. Le trafic est crypté, et il passe par l'un des serveurs du fournisseur VPN, ce qui rend très difficile sa traçabilité. Cependant, vous n'avez pas toujours besoin d'un VPN. Plus souvent qu'autrement, les gens l'utilisent pour des tâches spécifiques, et ils l'allument et s'éteignent plusieurs fois par jour. Les applications sur votre appareil, d'autre part, établissent des connexions à Internet tout le temps, que le tunnel VPN soit activé ou non.

Aucune connexion ne doit sortir du tunnel une fois qu'un VPN est activé, ce qui signifie que normalement lorsque vous lancez votre client VPN, votre système d'exploitation tue temporairement toutes les connexions existantes et les établit à nouveau via le réseau privé virtuel. Les spécialistes de Proton VPN ont découvert qu'iOS ne le faisait pas.

En utilisant Wireshark, une application de reniflage de paquets souvent utilisée par les chercheurs en sécurité, Proton VPN a découvert que lorsque les propriétaires d'iOS activent leurs VPN, certaines des connexions existantes continuent de s'exécuter en dehors d'eux, ce qui signifie que, surtout si elles ne sont pas servies via HTTPS, ils peuvent être interceptés. Le bogue affecte tous les protocoles et clients VPN, et en raison de la politique stricte d'autorisations d'iOS, les fournisseurs ne peuvent pas faire grand-chose pour protéger leurs utilisateurs.

Heureusement, bien que ce soit un peu lourd, il existe une solution de contournement. Vous pouvez activer votre VPN, activer le mode avion sur votre appareil, ce qui mettra fin à toutes les connexions existantes, puis désactiver le mode avion. Votre appareil se reconnectera automatiquement au serveur VPN et acheminera tout le trafic à travers celui-ci.

Apple n'a pas encore corrigé la vulnérabilité

En effet, contourner le problème est gênant et compliqué, mais il ne semble pas y avoir d'autre solution pour le moment. Les experts de Proton VPN ont découvert le bogue dans iOS 13.3.1 et l'ont immédiatement signalé à Apple. Malgré cela, le problème n'a pas été résolu et il est toujours présent dans iOS 13.4.

Normalement, le fabricant d'iPhone est félicité pour la façon dont il gère les vulnérabilités, donc cette situation est quelque peu inhabituelle. Il faut dire que nous ne parlons pas du bug le plus dangereux du marché. La majorité des connexions établies par les applications ont une durée de vie relativement courte et, dans la plupart des cas, même dans un système non corrigé, dans les minutes qui suivent l'établissement d'une connexion à un serveur VPN, presque toutes les données doivent transiter par celui-ci. Néanmoins, le bug ne doit pas être sous-estimé.

Les gens qui utilisent un VPN ne le font pas pour le plaisir. Pour beaucoup d'entre eux, s'assurer qu'ils ne peuvent pas être retrouvés est d'une importance vitale, et nous ne devons pas oublier que les VPN sont particulièrement populaires dans les pays qui essaient de censurer et d'espionner la population. Dans ces régions, les conséquences de ce bug apparemment petit pourraient être plus graves. Nous espérons qu'Apple le corrigera le plus tôt possible.