Des fuites de trafic et de données, même après l’activation d’un VPN, ont été constatées sur iOS. Toutes les informations ne transitent pas immédiatement par le tunnel VPN.
“Les VPN sur iOS sont une arnaque”, tel est l’intitulé d’un long article fréquemment mis à jour de Michael Horowitz, un blogueur spécialisé en sécurité informatique. Selon ses dires, les applications de VPN pour iPhone sont “cassées” et ne fonctionnent pas comme elles le devraient, laissant les données des utilisateurs non protégées.
“Au début, ils semblent bien fonctionner. L’appareil sous iOS obtient une nouvelle adresse IP publique et de nouveaux serveurs DNS. Les données sont envoyées au serveur VPN. Mais, au fil du temps, une inspection détaillée des données quittant l’appareil sous iOS montre des fuites dans le tunnel VPN”, explique l’expert. “Les données quittent l’appareil iOS en dehors du tunnel VPN. Ce n’est pas une fuite DNS classique, c’est une fuite de données. J’ai confirmé cela en utilisant plusieurs types de VPN et des logiciels de plusieurs fournisseurs de VPN. La dernière version d’iOS que j’ai testée est la 15.6”, fait-il savoir.
DES FUITES DE DONNÉES AVEC LES VPN SUR IOS
Normalement, un VPN ferme toutes les connexions non sécurisées quand il est activé, faisant transiter les données dans un tunnel de sa création, qui est quant à lui sécurisé. Selon le chercheur, iOS ne permet pas de fermer toutes ces connexions, ce qui signifie qu’une partie du trafic continue d’être gérée habituellement les premières minutes après l’activation du VPN. Dans le cas des notifications push, il est même possible que les données ne soient pas protégées par le VPN des heures durant.
Apple est pourtant au courant de ce problème très important, qui met ses clients en situation de danger. Dès mars 2020, de telles fuites de données avaient été documentées par ProtonVPN sur iOS 13. La firme de Cupertino n’avait pas réagi à l’époque, alors qu’elle base sa communication sur la sécurité de son système.
Il apparaît qu’Apple mette désormais une fonctionnalité à disposition des développeurs pour résoudre le souci, mais que celle-ci est désactivée par défaut.