Android 16 : une faille qui met les VPN en échec
Image d'illustration. VPNFrance Num / PR-ADN
Une vulnérabilité système permettrait à certaines connexions de contourner les protections VPN et de révéler l’IP réelle des utilisateurs.
Tl;dr
- Une faille dans Android 16 permettrait à certaines applis de contourner les VPN et de révéler l’adresse IP réelle des utilisateurs.
- Le problème vient de la gestion des connexions QUIC et touche tous les VPN, même avec « Always-On » et le kill switch activés.
- Google n’a pas encore corrigé la faille, tandis que GrapheneOS propose déjà un correctif et des contournements techniques existent via adb.
Une faille Android 16 met en danger l’anonymat VPN
La confidentialité numérique, déjà mise à rude épreuve ces dernières années, fait face à une nouvelle menace d’envergure : un bug découvert dans Android 16 permettrait à des applications malveillantes de contourner les protections des meilleurs VPN, exposant ainsi la véritable adresse IP des utilisateurs. L’information émane directement de Mullvad VPN, acteur suédois reconnu pour son engagement envers la vie privée.
Ce qui frappe dans cette vulnérabilité, c’est sa capacité à contourner les mécanismes supposés les plus solides du système : même avec l’option Always-On VPN activée et le fameux « kill switch » d’Android, certains flux de données pourraient sortir du tunnel sécurisé sans que l’utilisateur n’en ait conscience. Concrètement, toute personne s’appuyant sur un VPN pour masquer sa localisation ou sécuriser ses échanges sur des réseaux publics pourrait se voir trahie par une simple faille logicielle.
L’origine technique du problème
Le cœur du problème réside dans la gestion des connexions QUIC lors de leur fermeture par Android 16. Selon Mullvad, il est possible pour une application d’exploiter une fonction du service Connectivity Manager afin de faire transiter certains paquets hors du tunnel VPN. À noter, toutes les applications VPN présentes sur Android sont concernées puisque la faille se situe au niveau du système lui-même, seule l’alternative axée sur la sécurité, GrapheneOS, a déjà corrigé ce défaut dans son propre code.
Dans une liste synthétique, voici ce qu’il faut retenir côté technique :
- Le bug affecte toutes les solutions VPN sous Android 16.
- L’exploitation passe par le protocole QUIC et une fonction système détournée.
- GrapheneOS est la seule distribution ayant réagi rapidement.
Aucune réponse corrective de Google pour l’instant
L’affaire prend un tour frustrant lorsque l’on apprend que le rapport transmis à la division sécurité d’Android aurait été classé comme « Won’t Fix (Infeasible) ». À ce jour, aucune mise à jour ne semble prévue côté Google. Les fonctionnalités comme le kill switch ou « Bloquer les connexions sans VPN » apparaissent donc, temporairement du moins, défaillantes.
Pistes de mitigation et vigilance accrue recommandée
Face à ce constat, les utilisateurs désireux de se protéger doivent recourir à une solution manuelle relativement technique. Le contournement préconisé par Mullvad consiste à activer le mode développeur puis exécuter des commandes via l’adb (Android Debug Bridge). Ce correctif désactive la fermeture « douce » des connexions QUIC responsable de la fuite mais risque d’être annulé lors de futures mises à jour système.
En attendant mieux, prudence s’impose quant au choix des applications installées et aux sites visités sous Android 16. Un rappel cinglant : même les outils supposés renforcer notre confidentialité peuvent faillir là où on ne l’attend pas.