Un chercheur en sécurité bien connu dit que les applications iOS VPN (réseaux privés virtuels) sont cassées, en raison d’une faille qu’il prétend qu’Apple connaît depuis au moins deux ans et demi.
Cela confirme un précédent rapport de ProtonVPN selon lequel une vulnérabilité VPN est présente sur les appareils iOS depuis au moins iOS 13.3.1, et qu’il n’existe aucun moyen fiable à 100 % de s’assurer que vos données sont envoyées via le VPN…
Les mots réels de Michael Horowitz sont un peu plus directs que notre titre. Son article de blog sur le problème est intitulé « Les VPN sur iOS sont une arnaque ».
Comment les VPN (sont censés fonctionner)
Normalement, lorsque vous vous connectez à un site Web ou à un autre serveur, vos données sont d’abord envoyées à votre FAI ou à votre opérateur de données mobiles. Ils le transmettent ensuite au serveur distant. Cela indique que votre FAI peut voir qui vous êtes et à quels sites et services vous accédez.
Lorsque vous utilisez des points d’accès Wi-Fi publics, vous êtes également exposé à ce que l’on appelle les attaques de l’homme du milieu (MITM). C’est à ce moment qu’un mauvais acteur crée un point d’accès Wi-Fi qui imite un point d’accès authentique, mais qui achemine d’abord tout le trafic via son système, ce qui lui permet d’enregistrer toutes vos données. C’est facile à faire et peut être aussi simple que de brancher un appareil de la taille d’un bloc d’alimentation dans une prise de courant d’un café.
Un VPN envoie plutôt vos données sous forme cryptée à un serveur sécurisé. Vos données sont protégées contre un FAI, un opérateur ou un opérateur de point d’accès. Tout ce qu’ils peuvent voir, c’est que vous utilisez un VPN. L’analogie habituelle est que c’est comme utiliser un tunnel secret entre votre appareil et le serveur VPN.
De même, les sites Web et les serveurs auxquels vous accédez n’ont pas accès à votre adresse IP, à votre emplacement ou à d’autres données d’identification – votre trafic semble plutôt provenir du serveur VPN.
Pourquoi les applications VPN iOS sont cassées
Dès que vous activez une application VPN, elle doit immédiatement fermer toutes les connexions de données existantes (non sécurisées), puis les rouvrir à l’intérieur du « tunnel » sécurisé. Il s’agit d’une fonctionnalité absolument standard de tout service VPN.
Le problème, dit Horowitz, c’est qu’iOS ne Autoriser Applications VPN pour fermer toutes les connexions non sécurisées existantes.
Les VPN sur iOS sont cassés. Au début, ils semblent bien fonctionner. L’appareil iOS obtient une nouvelle adresse IP publique et de nouveaux serveurs DNS. Les données sont envoyées au serveur VPN. Mais, au fil du temps, une inspection détaillée des données quittant l’appareil iOS montre que le tunnel VPN fuit. Les données quittent l’appareil iOS en dehors du tunnel VPN.
Ce n’est pas une fuite DNS classique/héritée, c’est une fuite de données. J’ai confirmé cela en utilisant plusieurs types de VPN et des logiciels de plusieurs fournisseurs de VPN. La dernière version d’iOS que j’ai testée est la 15.6.
C’est un gros problème car les connexions non sécurisées existantes peuvent durer plusieurs minutes à la fois, ce qui indique que si vous activez votre VPN pour faire quelque chose de confidentiel, les premières choses que vous faites peuvent ne pas être protégées.
La situation s’aggrave dans le cas des notifications push d’Apple, car ces connexions peuvent rester ouvertes pendant heures, pas des minutes.
ProtonVPN a identifié ce problème pour la première fois en mars 2020.
Un membre de la communauté Proton a découvert que dans iOS version 13.3.1, le système d’exploitation ne ferme pas les connexions existantes. (Le problème persiste également dans la dernière version, 13.4.) La plupart des connexions sont de courte durée et seront éventuellement rétablies par le tunnel VPN d’elles-mêmes. Cependant, certains sont durables et peuvent rester ouverts pendant des minutes ou des heures en dehors du tunnel VPN. […]
Ni Proton VPN ni aucun autre service VPN ne peuvent fournir une solution de contournement à ce problème car iOS ne permet pas à une application VPN de tuer les connexions réseau existantes.
Plus tard dans l’année, la société a ajouté une mise à jour pour indiquer qu’Apple n’avait toujours pas résolu le problème, mais offrait aux développeurs d’applications la possibilité d’ajouter une fonction manuelle de « kill switch », qui fermerait toutes les connexions de données sur demande. La société a déclaré qu’elle ajouterait cela, mais a ensuite cessé de mettre à jour le message en octobre 2020.
Le long message d’Horowitz décrit comment il a identifié le problème comme un problème iOS, en utilisant plusieurs appareils et plusieurs applications VPN. Il a également déclaré que lorsqu’il avait informé Apple, la société s’était initialement engagée avec lui, mais s’était ensuite tue.
À ce jour, environ cinq semaines plus tard, Apple ne m’a pratiquement rien dit. Ils n’ont pas dit s’ils avaient essayé de recréer le problème. Ils n’ont pas dit s’ils étaient d’accord sur le fait qu’il s’agissait d’un bug. Ils n’ont rien dit à propos d’un correctif.
Il faut si peu de temps et d’efforts pour recréer cela, et le problème est si constant, que s’ils ont essayé, ils auraient dû être capables de le recréer. Ce n’est pas mes affaires. Peut-être qu’ils espèrent que, comme ProtonVPN, je vais simplement passer à autre chose et le laisser tomber. Je ne sais pas.
Y at-il un travail autour?
Proton a suggéré d’activer le mode avion, puis de le désactiver, mais dit qu’il ne peut pas garantir que cela fonctionnera. Horowitz l’a testé et a constaté qu’il utilisé pour fonctionner, de retour sur iOS 12.5.5, mais ne le fait pas dans iOS 15.
Je voudrais attendre que le redémarrage du téléphone fonctionnerait, mais Horowitz ne semble pas l’avoir spécifiquement testé.
Il dit à la place que pour l’instant la seule option est de se connecter à un routeur sécurisé, avec VPN intégré – mais cela n’aide pas avec les connexions mobiles, c’est à ce moment que vous avez le plus besoin d’un VPN.
Nous avons contacté Apple et nous mettrons à jour avec toute réponse.
Photo : Petter Lagson/Unsplash
Découvrez cette vidéo ci-dessous (en anglais) pour plus d’actualités Apple :
