Les VPN sont-ils cassés sur iPhone ?

Publié: 2022-09-18
Un verrou VPN cassé.
mizar_21984/Shutterstock.com

Les personnes utilisant un VPN sur iPhone et iPad ne sont pas aussi sécurisées qu'elles le pensent. L'expert en sécurité Michael Horowitz ainsi que plusieurs fournisseurs de VPN ont révélé des problèmes qui affectent l'intégrité d'iOS depuis des années. Il se pourrait très bien que les VPN soient cassés sur iOS, depuis iOS 13 et peut-être même avant.

Comment fonctionnent les VPN

Avant d'entrer dans les détails de ces affirmations, passons très rapidement en revue le fonctionnement des VPN. Si vous le savez déjà, vous pouvez ignorer ce passage pour passer à la partie juteuse, mais si vous débutez avec les VPN, vous voudrez peut-être prendre le temps.

Lorsque vous vous connectez à Internet, vous envoyez des informations depuis votre ordinateur (supposons le Wi-Fi pour les besoins de la discussion) vers un serveur géré par votre fournisseur d'accès Internet (FAI). De là, vous vous connectez au site de votre choix, en l'occurrence le serveur de notre site Internet. Dans ce scénario, votre FAI sait à quel site vous vous êtes connecté, et le site connaît votre adresse IP et donc d'où vous vous êtes connecté.

En bref, un VPN redirige votre connexion. Du serveur de votre FAI, il va à un serveur géré par votre VPN, et de là au site que vous voulez. Cela fait en sorte que le site auquel vous vous êtes connecté ne peut plus vous suivre, lorsqu'il essaie de savoir d'où vous êtes connecté, tout ce qu'il récupère est l'adresse IP du serveur VPN.

En plus de cela, le VPN crypte également la connexion entre votre ordinateur et le serveur VPN dans ce qu'on appelle un tunnel VPN. Cela signifie que votre FAI ne sait plus non plus ce que vous faites, et qu'il est beaucoup plus difficile pour quiconque de savoir ce que vous faites s'il intercepte votre connexion.

VPN et iOS

Cependant, selon le chercheur en cybersécurité Michael Horowitz, qui a déclaré que "nerd informatique à la retraite" serait plus précis dans un e-mail à How-To Geek, les utilisateurs d'iOS ne bénéficient pas de toute la force de cette protection. Comme il l'explique en détail dans son article de blog, lorsqu'un utilisateur d'iPhone ou d'iPad engage son VPN alors qu'une connexion est toujours active, toutes les données transférées via la connexion ne resteront pas dans le tunnel.

Horowitz a effectué la plupart de ses tests sur un iPad, qui fonctionne sur iPadOS, une version légèrement différente d'iOS qui exécute les iPhones. Cependant, ils peuvent être considérés comme identiques pour les besoins de ces tests.

Dans ce cas, vous pouvez considérer la connexion VPN moins comme un tunnel et plus comme un tuyau. Lorsqu'un VPN fait son travail, toute l'eau qui coule sort de l'autre côté. Cependant, avec ce problème iOS, une partie de l'eau sort du tuyau en transit, d'où l'utilisation du mot "fuite". Ces fuites sont causées par un problème dans iOS et ne sont pas dues à des problèmes avec les VPN eux-mêmes.

En outre, il convient de noter que ce qui est divulgué, ce sont des données cryptées, et non, comme vous pouvez vous y attendre, des adresses IP ou d'autres problèmes DNS. Le résultat est que les utilisateurs d'iOS qui rencontrent ce problème ne peuvent probablement toujours pas être suivis, le VPN fait toujours son travail dans ce sens. Puisqu'elles sont cryptées, les données divulguées ne sont pas non plus exposées à un risque particulier, heureusement. Cependant, cela ne signifie pas que ce n'est pas un défaut assez grave.

Lâcher le ballon

Ce n'est pas seulement un problème pour des raisons techniques : comme Horowitz le note lui-même, Proton, les développeurs de ProtonVPN, l'ont signalé pour la première fois en mars 2020, il y a plus de deux ans. Lorsque Proton a contacté Apple à propos de ce problème à l'époque, la société a été informée que c'était «prévu».

Comme Horowitz l'a découvert grâce à des tests supplémentaires, Apple ne l'a corrigé dans aucune itération d'iOS depuis. Lorsque Horowitz a contacté Apple lui-même, il a obtenu plus ou moins la même réponse que ProtonVPN et on lui a dit que les choses «fonctionnaient comme prévu». Cela semble étrange, d'autant plus que la fuite est prouvée hors de tout doute.

Non pas qu'Apple n'ait rien fait : Apparemment, depuis iOS 14, il y a un interrupteur que les développeurs iOS doivent activer dans leur code pour faire disparaître ce problème. Cependant, selon les développeurs auxquels Horowitz s'est entretenu, le problème est que cela ne fonctionne qu'avec certains protocoles VPN - l'ensemble de règles qui déterminent la façon dont les VPN communiquent avec d'autres machines - pas toutes. Certains des protocoles les plus populaires ne fonctionneront apparemment pas avec ce drapeau, notamment OpenVPN et WireGuard.

Correctifs possibles pour les fuites de VPN iOS

Cependant, à court terme, il semble y avoir un autre correctif, qui a été découvert par le fournisseur VPN Mullvad il y a quelques années. Cela implique de se connecter au VPN normalement, puis d'activer le mode avion, de désactiver le Wi-Fi, puis de désactiver à nouveau le mode avion. Horowitz, pour sa part, affirme que cela ne fonctionne pas toujours, donc vous ne voudrez peut-être pas le risquer.

Une autre option consiste à utiliser un VPN qui tuera toutes les connexions ouvertes au démarrage, si cela était possible sur iOS. Windscribe a cette fonction sur le bureau - vous devez cocher "Tuer les sockets TCP après la connexion" dans les paramètres - mais pas dans l'application iOS du service. On ne sait pas si Apple autorise cela sur iOS.

Pour l'instant, cependant, la seule chose que vous pouvez faire est, comme le recommande Horowitz, de connecter vos appareils mobiles Apple via un routeur VPN. De cette façon, tout votre réseau utilise le VPN en même temps, et donc les iPhones et iPads séparés ne peuvent plus fuir . Notez, cependant, que si vous faites cela, vous voudrez peut-être désactiver les données mobiles afin de ne pas pouvoir vous y rabattre en cas de panne de votre routeur, pour quelque raison que ce soit.

Autres issues

Tout cela est assez mauvais, mais ce n'est peut-être pas la fin. Horowitz s'attend à ce que d'autres problèmes iOS surviennent à la suite de tests supplémentaires. D'une part, il y a un problème qui a été signalé par le chercheur en sécurité Matt Volante en 2018 et à nouveau en suivant l'application de protection Disconnect en 2022. Dans ces cas, il semble que les développeurs peuvent choisir de faire contourner le tunnel VPN par leurs applications iOS.

Si tel est le cas, c'est un gros problème pour tous les utilisateurs d'iPhone, mais surtout pour ceux des pays où Internet est censuré. Comme le souligne Disconnect, la plupart des applications russes doivent être approuvées par le gouvernement russe, ce qui signifie qu'il y a de fortes chances que ces applications utilisent cette faille.

Apple a-t-il cassé les VPN ?

À l'heure actuelle, la seule chose qui semble claire, c'est que nous n'avons découvert que les premiers mètres du terrier du lapin. Apple semble avoir gâché un peu la sécurité VPN, ce qui, nous le supposons, peut arriver, mais ne semble pas avoir accordé une priorité particulièrement élevée à la résolution de ces problèmes. Au moment d'écrire ces lignes, nous ne savons pas si ce problème existe toujours dans l'iOS 16 qui vient de sortir, mais compte tenu de l'absence de réaction d'Apple jusqu'à présent, nous ne retenons pas notre souffle qu'il a été corrigé.

Bien que vous puissiez affirmer qu'il n'y a pas de réel problème parce que les données des utilisateurs ne sont pas à risque, cela semble un peu bâclé, en particulier venant d'une entreprise comme Apple, qui aime proclamer à quel point elle est soucieuse de la sécurité et de la confidentialité. Bien qu'il appartienne aux consommateurs individuels de décider comment cela affectera leur relation avec l'entreprise, on a l'impression qu'Apple a laissé tomber une balle et ne l'a pas ramassée ici.