iOS : un bogue non corrigé empêche les VPN de chiffrer le trafic Internet
Un membre de la communauté Proton a découvert une faille dans la manière dont iOS traite le trafic sortant. Un problème remonté à Apple par l'équipe de Proton Technologies.
Bien choisir son VPN est crucial, car il est impossible pour l’utilisateur de déterminer si une entreprise se tient ou non à ses engagements, puisqu’il ne fait pas que masquer ou chiffrer la navigation Internet d’un utilisateur mais vient remplacer son FAI et en conséquence peut connaître non seulement son historique, mais également son adresse IP et sa position. Tous les VPN n’ont pas la même politique en matière de traitement des informations personnelles. Certains n’en gardent aucune et ne conservent aucun journaux (logs), proposent des moyens de paiement anonymes et se trouvent en dehors de la juridiction des Five ou Fourteen Eyes quand d’autres ont des pratiques où l’hygiène numérique n’entre pas autant en ligne de compte. C’est cependant un tout autre problème si dès le départ le système d’exploitation d’un appareil empêche le VPN de chiffrer correctement le trafic, comme c’est le cas sous iOS.
Des connexions non chiffrées
Un membre de la communauté Proton, Luis, également consultant en sécurité, a trouvé une faille de sécurité dans la version 13.3.1 du système d’exploitation, également présent dans la version 13.4 d’iOS. Les administrateurs du blog ProtonVPN expliquent qu’ “en général, lorsque vous vous connectez à un réseau privé virtuel (VPN), le système d’exploitation de votre appareil ferme toutes les connexions Internet existantes et les rétablit ensuite à travers le tunnel VPN.” Luis a découvert que dans la version 13.3.1 d’iOS, le système d’exploitation ne ferme pas les connexions existantes. Si la plupart des connexions sont de courte durée et seront finalement ré-établies à travers le tunnel VPN, certaines peuvent rester ouvertes des heures entières. C’est le cas notamment des notifications push d’Apple.
Last year, we discovered a vulnerability in iOS that causes connections to bypass VPN encryption. This is a bug in iOS that impacts all VPNs. We have informed Apple, and we are now sharing details so you can stay safe. https://t.co/78v3Brispm
— ProtonVPN (@ProtonVPN) March 25, 2020
Des risques pour les internautes
Le problème que pose cette faille est la fuite des adresses IP des utilisateurs et l’adresse IP des serveurs auxquels ils se connectent, un risque qu’encourent les personnes résidant dans des nations où le trafic Internet est surveillé. ProtonVPN ne pouvant fournir de solution, le bogue a été signalé à Apple, et n’est dévoilé qu’aujourd’hui, 90 jours plus tard comme le veut la politique de Proton Technologies. La vulnérabilité obtient un score CVSS moyen.
Une solution partielle
ProtonVPN offre malgré tout une manière de limiter les risques :
- Connectez-vous à n’importe quel serveur ProtonVPN.
- Activez le mode Avion. Cette opération va fermer toutes les connexions Internet et déconnecter temporairement ProtonVPN.
- Désactiver le mode Avion. ProtonVPN va se reconnecter, et vos autres connexions devraient également se reconnecter à l’intérieur du tunnel VPN, bien ce ne soit pas garanti à 100%, selon les auteurs.