C’est en mai qu’un expert en sécurité a révélé pour la première fois que les applications iPhone VPN divulguaient les données des utilisateurs, affirmant qu’Apple ne faisait rien pour y remédier.
Maintenant, seulement quelques mois plus tard, un autre problème majeur a été découvert lors de l’utilisation d’un logiciel VPN sur iOS. Dans ce cas, certaines des informations les plus sensibles des gens sont en danger réel.
Un autre expert a récemment découvert que de nombreuses applications Apple, notamment Health et Wallet, envoient les données privées des utilisateurs en dehors d’un tunnel VPN actif.
Cependant, les meilleurs services VPN ne sont pas les seuls à blâmer ici.
Nous confirmons qu’iOS 16 communique avec les services Apple en dehors d’un tunnel VPN actif. Pire, il fuit les requêtes DNS. Les services #Apple qui échappent à la connexion VPN incluent la santé, les cartes, le portefeuille. Nous avons utilisé @ProtonVPN et #Wireshark. Détails dans la vidéo :#CyberSecurity #Privacy pic.twitter.com/ReUmfa67ln12 octobre 2022
Les applications Apple contournent le cryptage VPN
« Nous confirmons qu’iOS 16 communique avec les services Apple en dehors d’un tunnel VPN actif. Pire, il fuit les requêtes DNS », a tweeté le développeur et chercheur en sécurité Tommy Mysk le 12 octobre.
Théoriquement, lorsque vous vous connectez à un VPN sécurisé, vos données sont cryptées et transitent par l’un de ses serveurs internationaux avant d’atteindre leur destination. Cela signifie que ni votre FAI, ni aucun autre tiers ne doit pouvoir accéder à ce flux d’informations. De même, les sites Web que vous visitez ne pourront pas définir votre véritable adresse IP ou tout autre détail d’identification.
Mysk a effectué quelques tests sur iOS 16 avec Proton VPN et Wireshark actifs. À sa grande consternation, lui et son équipe ont découvert que de nombreuses applications Apple ignorent en fait le tunnel VPN et échangent des données directement avec les serveurs Apple.
Pire encore, les applications qui divulguent des données sont en fait celles qui gèrent les informations les plus privées et les plus sensibles. Il s’agit de Santé, Portefeuille, Apple Store, Clips, Fichiers, Localiser, Cartes et Paramètres.
Parlant des raisons de ce bogue, Myks semble croire qu’Apple le fait intentionnellement.
« Il existe des services sur l’iPhone qui nécessitent des contacts fréquents avec les serveurs Apple, tels que Find My et Push Notifications. Cependant, je ne vois pas de problème de tunnellisation de ce trafic dans la connexion VPN. Le trafic est de toute façon crypté », a-t-il déclaré. 9to5Mac (s’ouvre dans un nouvel onglet)ajoutant qu’ils ne s’attendaient pas à ce qu’une telle quantité de trafic soit exposée.
Pas seulement iOS VPN
Comme le confirme Mysk lors de ses tests, les utilisateurs d’iPhone et d’iPad ne sont pas les seuls à risquer leur vie privée.
« Je sais ce que vous vous demandez et la réponse est OUI. Android communique avec les services Google en dehors d’une connexion VPN active, même avec les options Toujours activé et Bloquer les connexions sans VPN », a-t-il déclaré.
Il y a quelques jours à peine, nous avons rendu compte des conclusions de Mullvad VPN selon lesquelles les appareils Android sapent discrètement les services VPN lors de son dernier audit de sécurité.
Ici, les VPN Android exposent les données des utilisateurs tout en effectuant des vérifications de connectivité lors de l’accès à certains réseaux Wi-Fi.
Le fournisseur de VPN a promis à Google d’ajouter une option pour désactiver ces vérifications lorsque le VPN est actif, mais le grand géant de la technologie pense que cela n’est pas nécessaire. C’est pourquoi Mullvad pousse maintenant pour au moins modifier la description « trompeuse » de ses fonctionnalités liées au VPN.