Un débat sur la question de savoir si la sécurité des applications iPhone VPN est défectueuse se poursuit aujourd’hui, Apple insistant sur le fait qu’il propose un correctif depuis 2019, tandis que ProtonVPN affirme qu’il ne s’agit que d’une solution partielle.
La controverse a commencé lorsqu’un chercheur en sécurité bien connu a déclaré que les applications de réseau privé virtuel (VPN) iOS étaient cassées, en raison d’une faille qu’il prétend qu’Apple connaît depuis au moins deux ans et demi. Cela a soutenu un précédent rapport de ProtonVPN…
Si vous n’êtes pas familier avec le fonctionnement des VPN, veuillez consulter la brève introduction dans le post d’hier.
Problème de sécurité de l’application iPhone VPN
Dès que vous activez une application VPN, elle doit immédiatement fermer toutes les connexions de données existantes (non sécurisées), puis les rouvrir à l’intérieur du « tunnel » sécurisé. Il s’agit d’une fonctionnalité absolument standard de tout service VPN.
Mais le chercheur en sécurité Michael Horowitz a effectué des tests et a constaté que toutes les connexions existantes n’étaient pas fermées lorsqu’une application VPN était activée. Cela indique que certaines données continuent d’être envoyées via un lien non sécurisé. Cela était vrai pour plusieurs applications VPN iOS sur plusieurs appareils.
Dans certains cas, ces connexions non sécurisées peuvent persister pendant quelques minutes. C’est déjà un gros problème car certaines personnes activent leur VPN juste avant de faire quelque chose de sensible, mais Horowitz a découvert que certaines connexions peuvent rester actives pendant des heures. Cela inclut les propres notifications push d’Apple.
Ses tests ont soutenu une plainte de 2020 par ProtonVPN. Ils ont découvert le problème dans iOS 13.3.1 et disent que la faille reste en place aujourd’hui.
Proton a informé Apple, mais a déclaré qu’il n’avait pris aucune mesure.
Apple dit avoir proposé un correctif depuis 2019
Apple a annoncé ce qui semblait être un moyen pour les développeurs d’applications VPN de résoudre le problème lors d’une session WWDC en 2019 (vidéo).
var includeAllNetworks: Bool { get set }Si cette valeur est
trueet que le tunnel est indisponible, le système abandonne tout le trafic réseau. La valeur par défaut estfalse.
Cependant, pour une raison quelconque, il est désactivé par défaut. On ne sait pas pourquoi ce serait le cas et pourquoi cela n’a apparemment été mis en œuvre par aucune des applications VPN testées.
Proton dit que ce n’est qu’une solution partielle
Proton m’a dit qu’il était au courant du correctif revendiqué et qu’il l’avait testé à l’époque. Cependant, la société a constaté qu’il n’était que partiellement efficace. Des connexions non sécurisées à certains services Apple restent en place après l’activation d’un VPN.
Le fondateur et PDG de Proton, Andy Yen, a déclaré qu’ils avaient pris la décision de rendre la faille publique après qu’Apple leur ait dit qu’elle ne proposerait pas de solution complète.
« Le fait que ce soit toujours un problème est pour le moins décevant. Nous avons d’abord informé Apple en privé de ce problème il y a deux ans. Apple a refusé de résoudre le problème, c’est pourquoi nous avons divulgué la vulnérabilité pour protéger le public. La sécurité de millions de personnes est entre les mains d’Apple, ils sont les seuls à pouvoir résoudre le problème, mais étant donné le manque d’action au cours des deux dernières années, nous ne sommes pas très optimistes qu’Apple fera ce qu’il faut.
La confusion demeure
Horowitz a également souligné que même iOS ne semble pas savoir si un service VPN est actif ou non.
Nous avons de nouveau contacté Apple pour obtenir une réponse au dernier épisode du problème de sécurité de l’application iPhone VPN.
Découvrez cette vidéo ci-dessous (en anglais) pour plus d’actualités Apple :
