Un bug de longue date sur iOS empêche tout VPN de chiffrer entièrement tout le trafic, et Apple en est consciente.

VPN iOS

Selon un nouveau rapport, Apple est au courant de ce bug découvert en 2020, mais a choisi de ne rien faire pour le corriger.

La vulnérabilité a été découverte pour la première fois par la société ProtonVPN en mars 2020. À l’époque, la société expliquait que lorsqu’un VPN était activé, le système d’exploitation devait mettre fin à toutes les connexions Internet, puis les rétablir automatiquement via le VPN pour éviter la perte de données non chiffrées.

Dans iOS 13.3.1 et versions ultérieures, les appareils qui se connectaient à un VPN ne fermaient ni ne rouvraient les connexions. En conséquence, il était possible qu’un utilisateur continue sans le savoir d’utiliser partiellement la connexion non sécurisée qu’il avait avant d’activer le VPN.

« Les personnes les plus exposées à ce bug de sécurité sont celles qui vivent dans des pays où la surveillance et les violations des droits civils sont courantes », a déclaré ProtonVPN à plusieurs reprises.

Il y a quelques heures, le consultant informatique Michael Horowitz a découvert que la vulnérabilité existe toujours, car même avec iOS 15, il a subi une perte de données importante lors de l’utilisation de VPN : « Cela prend un peu de temps et d’efforts pour recréer le bug, et le problème est si évident que si Apple avait essayé, elle aurait pu le recréer et le corriger. Ce n’est pas mes affaires. Peut-être espèrent-ils que, comme ProtonVPN, je n’aborderai plus la question ».

En bref, Horowitz s’est penché sur le flux de données sortant de l’iPad alors que différents VPN étaient utilisés :

« Au début, ils semblent bien fonctionner. Mais, au fil du temps, une inspection détaillée des données sortant de l’appareil iOS montre que le tunnel VPN ne fonctionne pas comme il le devrait. Les données quittent l’appareil iOS en dehors du tunnel VPN, et j’ai enregistré un flot de demandes sortant du tunnel VPN. »

Horowitz explique qu’il a essayé de contacter Apple à ce sujet, mais n’a jamais obtenu de réponse.

« À ce stade, je ne vois aucune raison de faire confiance à un VPN sur iOS. Ma suggestion est d’établir la connexion VPN à l’aide du logiciel client VPN dans un routeur plutôt que sur un appareil iOS. »

Les recherches d’Horowitz se sont concentrées sur l’utilisation de VPN tiers. Le consultant informatique n’a rien dit sur les problèmes d’utilisation du relais privé d’Apple. Cependant, Apple lui-même explique que Private Relay n’a pas les mêmes fonctionnalités qu’un VPN complet.

Partager un commentaire