Un chercheur en sécurité a découvert un autre problème dans les applications VPN pour iOS, après ceux que ProtonVPN a découverts en août.
Le premier problème découvert en août était que les applications VPN sur iOS ne fermaient pas toutes les connexions existantes, malgré la promesse de le faire. La seconde est que de nombreuses applications Apple envoient des données privées hors du tunnel VPN, notamment Health et Wallet.
Normalement, lorsque vous vous connectez à un site Web ou à un autre serveur, les données sont d’abord envoyées à votre FAI ou à votre opérateur mobile. Ces derniers les transmettent ensuite au serveur distant, afin que le FAI puisse voir qui vous êtes et à quels sites et services vous accédez, tout en vous exposant au risque de faux points d’accès Wi-Fi.
Un VPN envoie plutôt vos données sous forme cryptée à un serveur sécurisé. Vos données sont protégées par un FAI, un opérateur ou un opérateur de point d’accès. Tout ce qu’ils peuvent voir, c’est que vous utilisez un VPN. De même, les sites Web et les serveurs auxquels vous accédez n’ont pas accès à votre adresse IP, à votre emplacement ou à d’autres données d’identification – votre trafic provient uniquement du serveur VPN.
Dès qu’une application VPN est activée, elle doit immédiatement fermer toutes les connexions de données non sécurisées existantes, puis les rouvrir dans le « tunnel » sécurisé. Il s’agit d’une fonctionnalité absolument standard de tout service VPN, mais iOS ne permet pas à ces applications de fermer toutes les connexions non sécurisées existantes.
De plus, de nombreuses applications Apple standard ignorent entièrement le tunnel VPN et communiquent directement avec les serveurs Apple.
« Nous confirmons qu’iOS 16 communique avec les services Apple en dehors d’un tunnel VPN actif. Pire encore, il fuit les requêtes DNS. Les services Apple qui échappent à la connexion VPN incluent Health, Maps et Wallet. »
Cela signifie que toutes les données envoyées vers et depuis ces serveurs risquent d’être espionnées par des FAI ou des pirates effectuant des attaques de type « man-in-the-middle » à l’aide de faux points d’accès Wi-Fi faciles à créer.
Les applications qui ont divulgué les données étaient :
- Apple Store
- Clip
- File
- Localiser
- Santé
- Plans
- Réglages
- Wallet
La plupart des données traitées par ces applications pourraient inclure des informations extrêmement privées, des conditions de santé aux cartes de paiement. Les chercheurs ont découvert qu’Android se comporte de la même manière avec les services de Google, et ils pensent qu’il s’agit d’un choix intentionnel de la part d’Apple et de Google.
Les chercheurs pensent que si Apple a « peur » de la sécurité des applications VPN, elle pourrait les traiter comme des navigateurs et nécessiter une approbation spéciale des utilisateurs.
