Un expert en sécurité et blogueur de premier plan a affirmé que les VPN iOS ne parvenaient pas à sécuriser les données des utilisateurs à l’intérieur du tunnel VPN.
Des fuites de données se seraient produites au cours des deux dernières années, Apple le sachant mais n’ayant pas agi pour corriger le bogue sur ses dernières versions iOS.
Cela pourrait être un choc pour les utilisateurs qui cherchent à protéger leur vie privée en ligne avec l’un des meilleurs services VPN pour iPhone.
Les utilisateurs de VPN iOS en danger
« Les VPN sur iOS sont cassés », a écrit Michael Horowitz dans un article de blog (s’ouvre dans un nouvel onglet) qui fait la mise à jour depuis le 25 mai.
Il a effectué un total de quatre tests depuis son iPad, changeant à chaque fois de version iOS (15.4.1, 15.5 et 15.6), de fournisseur VPN (il a essayé avec ProtonVPN, OVPN et Windscribe), de protocole VPN (IKEv2, WireGuard et OpenVPN) et de serveur réseau.
Même si au début, les VPN semblent tous fonctionner, une inspection plus approfondie a révélé le même résultat décevant : le logiciel a piraté l’adresse IP des appareils et d’autres données personnelles. « Les données quittent l’appareil iOS en dehors du tunnel VPN. Ce n’est pas une fuite DNS classique/héritée, c’est une fuite de données », conclut-il.
En termes simples, les VPN iOS ne semblent pas être en mesure de tuer les sessions existantes avant d’établir une connexion sécurisée. Exactement ce que vous attendez de l’un des services VPN les plus sécurisés.
Apple était au courant du bogue depuis 2020
Cette vulnérabilité affectant les VPN iOS n’est malheureusement pas nouvelle. La société de sécurité suisse Proton a signalé pour la première fois (s’ouvre dans un nouvel onglet) dessus en 2020, affirmant que la fuite de données a commencé au moins dans iOS 13.3.1.
Maintenant, deux ans plus tard et quelques mises à jour iOS après, Apple ne semble pas encore avoir réussi à corriger ce bogue risqué.
À l’époque, Proton a souligné quelques solutions de contournement au problème. Ceux-ci activent le VPN toujours actif option – quelque chose qui, selon Proton, ne fonctionnerait pas sur les applications tierces – activer le kill switch sur votre application VPN et/ou utiliser le Mode avion pour mettre fin à toutes vos connexions existantes.
Cependant, Horowitz suggère que ni l’option kill switch ni l’astuce du mode avion n’ont réussi lorsqu’il les a essayées lors de ses tests.
« À ce jour, environ cinq semaines plus tard, Apple ne m’a pratiquement rien dit », a-t-il écrit le 3 juillet, suggérant que pour le géant de la Silicon Valley, il serait vraiment facile d’effectuer le même test et d’enquêter sur la question.
« À ce point, Je ne vois aucune raison de faire confiance à un VPN sur iOS. Ma suggestion serait d’établir la connexion VPN à l’aide d’un logiciel client VPN dans un routeur, plutôt que sur un appareil iOS. »
