Vulnérabilité VPN iOS

Comme toujours, ProtonVPN peut compter sur le soutient de sa communauté. Cette est consacrée à une vulnérabilité VPN iOS dans la version 13.4. En effet, cette faille empêcherait les VPN d'opérer le processus de chiffrement. Notre avis sur ProtonVPN est très bon, nous aimons sa fiabilité, le fait qu'il Open Source mais aussi et surtout, nous adorons l'esprit de sa communauté.

Il peut parfois arriver que des vulnérabilités avec certains logiciels tiers soient découvertes. Le programme de divulgation responsable de ProtonVPN, compte 90 jours avant de rendre publique l'information. La présente faille de sécurité, concerne tous les services de VPN et pas seulement Proton. En attendant un correctif, qui ne serait tarder de la part d'Apple, voici quelques détails concernant la nature de cette faille ainsi que quelques conseils pour atténuer les risques.

illustration : vulnérabilité iOS VPN

Vulnérabilité VPN iOS : Explications

En règle générale, lorsque vous vous connectez à un réseau privé virtuel, le système d'exploitation de votre appareil ferme toutes les connexions Internet existantes, puis les rétablit par le biais du tunnel VPN exclusivement.

Un membre de la communauté Proton a découvert que dans la version 13.3.1 d'iOS, le système d'exploitation ne ferme pas les connexions existantes. Le problème persiste également dans la dernière version, 13.4. La plupart des connexions sont de courte durée et seront parfois rétablies d'elles-mêmes par le tunnel VPN. Cependant, certaines sont de longue durée et peuvent rester ouvertes de quelques minutes à quelques heures en dehors du tunnel VPN.

L'esemple le plus important est le service de notification push d'Apple, qui maintient une connexion de longue durée entre l'appareil et les serveurs d'Apple. Ce problème pourrait avoir des répercussions sur n'importe quelle application ou service, comme les applications de messagerie instantanée ou encore les balises Internet.

Le problème du contournement du VPN pourrait entraîner l'exposition des données des utilisateurs si les connexions concernées ne sont pas elles-mêmes chiffrées. Le problème le plus courant est celui des fuites d'IP. Un attaquant pourrait voir l'adresse IP de l'utilisateur et celle des serveurs auxquels il se connecte. En outre, le serveur auquel vous vous connectez pourrait voir votre véritable adresse IP plutôt que celle du serveur VPN.

Les personnes les plus exposées à ce risque sont celles qui vivent dans des pays où la surveillance et la censure sont courants.

Ni ProtonVPN ni aucun autre service VPN ne peut fournir une solution à ce problème car iOS ne permet pas à une application VPN de stopper les connexions réseau existantes.

Compatible

Information de compatibilité de ProtonVPN

VPN gratuit
Support technique
Compatible P2P
Sans logs
Très rapide
Serveurs de très haute qualité
Streaming sécurisé
Kill Switch
+/- 500 serveurs répartis sur 40 pays
Accès au serveur le plus rapide en 1 clic
Serveurs Tor
Option de gestion de mails chiffrés parmi les plus performants
Site en anglais

Lire la revue complète

Note de la rédaction

Comment atténuer la vulnérabilité ?

Les connexions Internet établies après votre connexion au VPN ne sont pas affectées. Mais les connexions qui sont déjà en cours lorsque vous vous connectez au VPN peuvent se poursuivre indéfiniment en dehors du tunnel VPN. Il n'y a aucun moyen de garantir que ces connexions seront fermées au moment où vous démarrez votre application VPN Apple.

Vous pouvez cependant effectuer la commande suivante pour a minima limiter certains risques :

  • Se connecter à n'importe quel serveur de votre VPN
  • Activez le mode avion. Cela arrêtera toutes les connexions Internet et déconnectera temporairement votre VPN.
  • Désactivez le mode avion. Votre VPN se reconnectera, et vos autres connexions devraient également se reconnecter, mais cette fois, à l'intérieur du tunnel VPN.

Il est cependant impossible de garantir à 100% que cette méthode fonctionnera totalement. Apple recommande d'utiliser un VPN toujours actif pour éviter ce problème. Cette méthode nécessite l'utilisation d'une gestion des périphériques, ce qui ne permet malheureusement pas de résoudre le problème pour les applications tierces les VPN.

Apple a confirmé travailler à la correction de cette vulnérabilité. Si vous n'êtes toujours équipé d'un VPN sur votre iPhone, sachez que ProtonVPN est en français maintenant. En effet, même si le site est toujours en cours de traduction, l'intégralité des applications ainsi que le support technique sont disponibles en français.