Un bogue iOS empêche les applications VPN de crypter tout le trafic

Un bogue non corrigé présent dans iOS 13.3.1 et versions ultérieures pourrait empêcher un réseau privé virtuel (VPN) de crypter entièrement tout le trafic, laissant les données et les adresses IP exposées.

La vulnérabilité, révélée par un utilisateur de ProtonVPN, affecte tous les services VPN sur les versions récentes d’iOS

Les VPN fonctionnent en acheminant votre trafic Internet à travers un tunnel sécurisé, en gardant votre activité de navigation à la fois privée et cryptée. Les appareils mobiles d’Apple, comme l’iPhone et l’iPad, prennent en charge depuis longtemps les VPN émis par l’employeur et les options tierces disponibles sur l’App Store.

Mais une vulnérabilité de sécurité révélée par ProtonVPN et partagée avec Bleeping Computer pourrait empêcher les VPN sur iOS et iPadOS de fonctionner correctement, ce qui pourrait entraîner des fuites de données.

Les versions concernées d’iOS, y compris le dernier iOS 13.4, ne parviennent pas à fermer les connexions Internet existantes lorsqu’un utilisateur se connecte à un VPN. En règle générale, lors de l’ouverture d’un VPN, le système d’exploitation met fin à toutes les connexions précédentes et rétablit automatiquement les liens vers les serveurs de destination d’origine via le tunnel VPN. Ce processus ne se produit pas dans les versions récentes d’iOS.

Au lieu de cela, iOS conserve certaines connexions existantes en dehors du tunnel VPN, où les données ne sont pas chiffrées. Ces connexions, qui peuvent rester ouvertes pendant des minutes ou des heures, pourraient potentiellement révéler l’emplacement d’un utilisateur, divulguer son adresse IP ou l’exposer ainsi que les serveurs avec lesquels il communique à attaquer.

Normalement, ces risques sont assez bénins pour l’utilisateur moyen, mais ProtonVPN explique que les personnes qui dépendent le plus des VPN peuvent être vulnérables aux conséquences les plus graves.

“Les personnes les plus à risque en raison de cette faille de sécurité sont des personnes vivant dans des pays où la surveillance et les violations des droits civils sont courantes”, écrit la société.

ProtonVPN propose des notifications push d’Apple, dont les connexions aux serveurs d’Apple ne sont pas interrompues lors de la connexion à un VPN, par exemple. Mais le fabricant de VPN note que le bogue peut affecter n’importe quelle application exécutée sur l’appareil d’un utilisateur.

Le bogue ne peut pas être corrigé par une application VPN tierce, car les restrictions strictes de sandboxing d’Apple sur iOS les empêchent de mettre fin aux connexions existantes.

Selon Bleeping Computer, Apple est conscient du problème et travaille actuellement à l’atténuer. Bien qu’Apple recommande aux utilisateurs d’activer Always-on VPN, cette fonctionnalité ne fonctionnera pas pour ceux qui utilisent des applications VPN tierces.

Jusqu’à ce qu’Apple publie un correctif, ProtonVPN recommande d’activer et de désactiver le mode avion pour supprimer manuellement les connexions après la connexion à un VPN. Cependant, le fabricant de VPN avertit que la solution de contournement n’est pas efficace à 100%.

La vulnérabilité de contournement VPN a été découverte pour la première fois en 2019 par un chercheur en sécurité qui fait partie de la communauté Proton. Avec ProtonVPN, la société de sécurité suisse Proton est bien connue pour son client de messagerie axé sur la confidentialité, ProtonMail.