En août, un chercheur en sécurité a découvert une faille importante dans les applications VPN iOS, et un deuxième chercheur a maintenant mis en évidence un autre problème majeur.
Le premier problème était que l’ouverture d’une application VPN devrait fermer toutes les connexions existantes, mais ce n’est pas le cas. La seconde est que de nombreuses applications Apple envoient des données privées en dehors du tunnel VPN, notamment Health (ci-dessus) et Wallet…
Comment les applications iOS VPN (sont censées fonctionner)
Normalement, lorsque vous vous connectez à un site Web ou à un autre serveur, vos données sont d’abord envoyées à votre FAI ou à votre opérateur de données mobiles. Ils le transmettent ensuite au serveur distant. Cela indique que votre FAI peut voir qui vous êtes et à quels sites et services vous accédez – et vous expose également aux faux points d’accès Wi-Fi.
Un VPN envoie plutôt vos données sous forme cryptée à un serveur sécurisé. Vos données sont protégées contre un FAI, un opérateur ou un opérateur de point d’accès. Tout ce qu’ils peuvent voir, c’est que vous utilisez un VPN. L’analogie habituelle est que c’est comme utiliser un tunnel secret entre votre appareil et le serveur VPN.
De même, les sites Web et les serveurs auxquels vous accédez n’ont pas accès à votre adresse IP, à votre emplacement ou à d’autres données d’identification – votre trafic semble plutôt provenir du serveur VPN.
Défaut 1 : Ne pas fermer les connexions existantes
Dès que vous activez une application VPN, elle doit immédiatement fermer toutes les connexions de données existantes (non sécurisées), puis les rouvrir à l’intérieur du « tunnel » sécurisé. Il s’agit d’une fonctionnalité absolument standard de tout service VPN.
Cependant, Michael Horowitz a constaté que non seulement cela ne se produisait pas de manière fiable, mais qu’iOS ne fonctionnait pas. Autoriser Applications VPN pour fermer toutes les connexions non sécurisées existantes.
Défaut 2 : de nombreuses applications Apple sont exclues
Le développeur et chercheur en sécurité Tommy Mysk a lu notre couverture et a été intrigué.
Il a fait ses propres testsen examinant les adresses IP accessibles lorsqu’un VPN était actif, et a constaté que de nombreuses applications Apple standard ignoraient le tunnel VPN et communiquaient directement avec les serveurs Apple.
Nous confirmons qu’iOS 16 communique avec les services Apple en dehors d’un tunnel VPN actif. Pire, il fuit les requêtes DNS. Les services #Apple qui échappent à la connexion VPN incluent la santé, les cartes, le portefeuille.
Cela indique que toutes les données envoyées vers et depuis ces serveurs risquent d’être espionnées par des FAI ou des pirates opérant des attaques de type « man-in-the-middle », en utilisant de faux points d’accès Wi-Fi faciles à créer.
Les applications qui ont divulgué des données étaient :
- Apple Store
- Clips
- Des dossiers
- Trouver mon
- Santé
- Plans
- Réglages
- Porte monnaie
Il est clair que la plupart ou la totalité des données traitées par ces applications pourraient inclure des informations extrêmement privées, allant des conditions de santé aux cartes de paiement.
Vous pouvez regarder son test avec Wireshark capturant les adresses IP accédées par l’iPhone :
Mysk a constaté qu’Android se comporte de la même manière avec les services Google.
Je sais ce que vous vous demandez et la réponse est OUI. Android communique avec les services Google en dehors d’une connexion VPN active, même avec les options « Toujours activé » et « Bloquer les connexions sans VPN ». J’ai utilisé un téléphone Pixel sous Android 13.
Apparaît intentionnel
J’ai demandé à Mysk s’il pensait que les deux sociétés le faisaient intentionnellement, peut-être pour empêcher une application de rediriger le trafic, ou pour des raisons de performances ?
Oui, je pense que c’est intentionnel. Mais la quantité de trafic que nous avons vue était bien plus importante que prévu. Certains services sur l’iPhone nécessitent des contacts fréquents avec les serveurs Apple, tels que Find My et Push Notifications. Cependant, je ne vois pas de problème de tunnellisation de ce trafic dans la connexion VPN. Le trafic est de toute façon crypté.
Si Apple a des problèmes de sécurité concernant les applications VPN, il dit que cela est facilement adressable.
Je pense que les applications VPN doivent être traitées comme des navigateurs et nécessitent une approbation et un droit spéciaux d’Apple.
Les performances – c’est-à-dire qu’Apple s’inquiète d’un service VPN ralentissant le trafic – ne semblent pas être un problème, car les notifications push utilisent le tunnel VPN.
À l’époque d’iOS 14, nous avons mené une expérience similaire et avons découvert que les notifications push contournaient le VPN. Ce n’est plus le cas sous iOS 16.
Découvrez cette vidéo ci-dessous (en anglais) pour plus d’actualités Apple :
