VPN gratuit sur macOS : un bug Chromium peut exposer votre adresse IP réelle

par Lisa | 14 Août 2025 | Actualités VPN

Illustration : un bug Chromium peut exposer votre adresse IP réelle

Le 7 août 2025, Windscribe a révélé une vulnérabilité peu connue, mais potentiellement gênante pour les utilisateurs de VPN gratuit sur macOS ou de Proxy VPN via extension. En cause : un bug dans Chromium qui permet à l’API Web Share (navigator.share()) d’exposer l’adresse IP réelle, même lorsque le trafic est censé passer par un proxy configuré dans le navigateur.

Un utilisateur vigilant à l’origine de la découverte

C’est un utilisateur de l’extension Windscribe pour Chrome sur macOS qui a remarqué le problème. Lorsqu’il cliquait sur un bouton « Partager » sur un site, son adresse IP réelle apparaissait en clair du côté du serveur. Pourtant, le proxy de Windscribe était bien activé dans Chrome.

Windscribe a rapidement enquêté et découvert la cause : lorsqu’un site déclenche navigator.share(), Chrome sur macOS ouvre la fenêtre native de partage d’Apple. Mais, au moment même où cette fenêtre apparaît, macOS lance en arrière-plan une requête pour récupérer les métadonnées du lien (titre, favicon, balises Open Graph, etc.). Cette requête est effectuée directement par macOS, en utilisant la pile réseau système, et donc en contournant le proxy ou l’extension VPN du navigateur.

Illustration Mac book pro

Un bug Chromium qui concerne toutes les extensions VPN sur macOS

Ce problème n’est pas spécifique à Windscribe : il peut toucher tous les navigateurs basés sur Chromium sur macOS (Chrome, Edge, Brave…) dès lors qu’un utilisateur se repose sur un proxy configuré uniquement au niveau du navigateur.

En revanche, les utilisateurs d’un VPN activé au niveau système (application VPN native) ne sont pas concernés, puisque dans ce cas, même les requêtes de macOS passent par le tunnel VPN.

Windscribe a signalé la faille à l’équipe Chromium, qui l’a reconnue et a rapidement intégré un correctif dans le code source.

Pour mieux comprendre : Les pires VPN gratuits pour Chrome : votre extension en fait-elle partie ?

Le correctif côté Chromium : déjà actif, mais pas encore officialisé dans Chrome stable

Le bug découvert par Windscribe a bien été corrigé dans Chromium, le projet open source qui sert de base à Chrome et à d’autres navigateurs. L’équipe Chromium a marqué la faille comme Fixed le 7 août 2025, et le correctif empêche désormais la récupération des métadonnées lors de l’ouverture de la fenêtre de partage sur macOS.

En revanche, cette correction n’apparaît pas encore dans les notes officielles de Chrome stable. Cela ne signifie pas qu’elle n’est pas incluse, mais simplement que Google ne l’a pas encore documentée ou confirmée dans une version publique. Ce décalage est classique : entre l’intégration du code dans Chromium et son déploiement dans Chrome, il y a un délai lié aux tests, à la validation et au packaging des mises à jour.

En pratique, il est donc probable que le correctif arrive dans une mise à jour mineure de Chrome 139.x ou dans Chrome 140, mais il faudra attendre la confirmation officielle ou un test utilisateur pour en être certain.

Pour mieux comprendre : Les meilleurs VPN gratuits pour Chrome

Onion Browser sur iOS avait déjà identifié le risque

Sur le forum Privacy Guides, un membre a relevé qu’une faille similaire avait été corrigée dans Onion Browser (navigateur Tor pour iOS) en juillet 2025. Le commit GitHub associé est explicite :

« Fix share sheet IP address leak by providing our own metadata loaded through Tor. »

Les développeurs d’Onion Browser ont choisi une approche différente : précharger eux-mêmes les métadonnées via Tor avant d’ouvrir la fenêtre native de partage.

Ainsi, aucune requête réseau ne sort en clair hors du tunnel Tor, même si iOS tente de récupérer les données en arrière-plan.

Illustration : Interface du navigateur Tor

Pourquoi c’est important ?

Cette affaire illustre une réalité souvent sous-estimée : même avec une extension VPN ou un proxy activé, certaines fonctionnalités systèmes peuvent contourner les protections du navigateur et exposer l’adresse IP réelle.
Et comme dans ce cas, la fuite n’apparaît pas dans les outils développeur du navigateur, l’utilisateur n’a aucun moyen de la détecter facilement.

Pour mieux comprendre : Extension VPN vs Application VPN : Quelle est la vraie protection ?

Chaque jour, vous êtes de plus en plus nombreux à consulter nos pages et à nous poser des questions pour comprendre comment sécuriser vos données personnelles et réduire votre suivi en ligne. Merci pour votre intérêt et vos nombreux partages !

A propos de l'auteur : Lisa

Fondatrice de VPN Mon Ami

Experte en cybersécurité avec plus de 12 ans d'expérience dans le domaine des VPN, j'écrit de nombreux articles pour sensibiliser les internautes à la confidentialité en ligne.

VPN gratuit sur macOS : un bug Chromium peut exposer votre adresse IP réelle

Un utilisateur vigilant à l’origine de la découverte

Un bug Chromium qui concerne toutes les extensions VPN sur macOS

Le correctif côté Chromium : déjà actif, mais pas encore officialisé dans Chrome stable

Onion Browser sur iOS avait déjà identifié le risque

Pourquoi c’est important ?

A propos de l'auteur : Lisa

Articles récents

Extension VPN vs Application VPN : Quelle est la vraie protection ?

VPN gratuit sur macOS : un bug Chromium peut exposer votre adresse IP réelle

Les pires VPN gratuits du Google Play (édition août 2025)

Quand un VPN gratuit squatte illégalement les serveurs d’un autre

Boostez votre connexion sécurisée avec l’optimisation des itinéraires VPN de Surfshark

Fuite de données chez Bouygues Telecom : et si la vraie menace était notre lassitude ?

14 jours pour savoir si votre réseau pro tient vraiment la route avec Proton

Quelles sont les applications de messagerie les plus sûres pour une communication VRAIMENT privée ?

Rejeté, mais pas enterré : Chat Control refait surface en 2025

Mullvad VPN Loader : après un faux départ, l’outil est enfin disponible