Les personnes qui utilisent un VPN sur des iPhones et des iPads ne sont pas aussi sûres qu’elles le pensent. L’expert en sécurité Michael Horowitz ainsi que plusieurs fournisseurs de VPN ont révélé des problèmes qui affectent l’intégrité d’iOS depuis des années. Il se pourrait très bien que les VPN ne fonctionnent pas sur iOS, depuis iOS 13 et peut-être même avant.

Comment fonctionnent les VPN

Avant d’entrer dans les détails de ces affirmations, passons très rapidement en revue le fonctionnement des VPN. Si vous le savez déjà, vous pouvez sauter cette partie pour arriver à la partie juteuse, mais si vous êtes nouveau dans le domaine des VPN, vous voudrez peut-être prendre le temps.

Lorsque vous vous connectez à Internet, vous envoyez des informations de votre ordinateur (supposons qu’il s’agisse d’un réseau WiFi pour les besoins de l’argumentation) à un serveur géré par votre fournisseur d’accès Internet (FAI). De là, vous vous connectez au site que vous voulez, dans ce cas, le serveur de notre site web. Dans ce scénario, votre FAI sait à quel site vous vous êtes connecté, et le site connaît votre adresse IP et donc l’endroit d’où vous vous êtes connecté.

En bref, un VPN reroute votre connexion. Depuis le serveur de votre FAI, elle va vers un serveur géré par votre VPN, et de là vers le site que vous voulez. Ainsi, le site auquel vous vous connectez ne peut plus vous retrouver. Lorsqu’il essaie de savoir d’où vous vous connectez, tout ce qu’il obtient est l’adresse IP du serveur VPN.

En plus de cela, le VPN crypte également la connexion entre votre ordinateur et le serveur VPN dans ce qu’on appelle un tunnel VPN. Cela signifie que votre FAI ne sait plus ce que vous faites et qu’il est beaucoup plus difficile pour quiconque de découvrir ce que vous faites s’il intercepte votre connexion.

Le VPN de Google fonctionne enfin sur l’iPhone

Les VPN et iOS

Cependant, selon le chercheur en cybersécurité Michael Horowitz – qui a déclaré que « nerd informatique à la retraite » serait plus exact dans un courriel adressé à Journal du Freenaute- les utilisateurs d’iOS ne bénéficient pas de toute la force de cette protection. Comme il l’explique en détail dans son billet de blog, lorsqu’un utilisateur d’iPhone ou d’iPad engage son VPN alors qu’une connexion est encore active, toutes les données transférées par la connexion ne restent pas dans le tunnel.

Horowitz a effectué la plupart de ses tests sur un iPad, qui fonctionne sous iPadOS, une version légèrement différente d’iOS qui fait fonctionner les iPhones. Cependant, ils peuvent être considérés comme identiques pour les besoins de ces tests.

Dans ce cas, vous pouvez considérer la connexion VPN moins comme un tunnel et plus comme un tuyau. Lorsqu’un VPN fait son travail, toute l’eau qui y est versée ressort de l’autre côté. Cependant, dans le cas de ce problème iOS, une partie de l’eau sort du tuyau en transit, d’où l’utilisation du mot « fuite ». Ces fuites sont causées par un problème dans iOS et ne sont pas dues à des problèmes avec les VPN eux-mêmes.

Il convient également de noter que les fuites concernent des données cryptées et non, comme on pourrait s’y attendre, des adresses IP ou d’autres problèmes de DNS. Le résultat est que les utilisateurs d’iOS qui rencontrent ce problème ne peuvent probablement pas être suivis, le VPN fait toujours son travail dans ce sens. Puisqu’elles sont cryptées, les données divulguées ne courent pas non plus de risque particulier, heureusement. Cependant, cela ne signifie pas qu’il ne s’agit pas d’un défaut assez grave.

Lâcher le morceau

Le problème n’est pas seulement d’ordre technique : Comme Horowitz le note lui-même, Proton, les développeurs de ProtonVPN, l’ont signalé pour la première fois en mars 2020, il y a plus de deux ans. Lorsque Proton a contacté Apple au sujet de ce problème à l’époque, la société s’est vu répondre qu’il était « attendu ».

Comme Horowitz l’a découvert en effectuant d’autres tests, Apple ne l’a pas corrigé dans aucune itération d’iOS depuis. Lorsque Horowitz a contacté Apple lui-même, il a reçu plus ou moins la même réponse que ProtonVPN et on lui a dit que les choses « fonctionnaient comme prévu ». Cela semble étrange, d’autant plus que la fuite est prouvée sans aucun doute.

Ce n’est pas qu’Apple n’a rien fait : apparemment, depuis iOS 14, il y a un interrupteur que les développeurs iOS doivent activer dans leur code pour que ce problème disparaisse. Cependant, selon les développeurs auxquels Horowitz a parlé, le problème est que cela ne fonctionne qu’avec certains protocoles VPN – l’ensemble des règles qui déterminent la façon dont les VPN communiquent avec d’autres machines – et pas tous. Certains des protocoles les plus populaires ne fonctionnent apparemment pas avec cet indicateur, notamment OpenVPN et WireGuard.

Corrections possibles pour les VPN iOS qui fuient

Cependant, à court terme, il semble y avoir une autre solution, qui a été découverte par le fournisseur de VPN Mullvad il y a quelques années. Elle consiste à se connecter au VPN normalement, puis à activer le mode avion, à désactiver le Wi-Fi, puis à désactiver à nouveau le mode avion. Horowitz, pour sa part, affirme que cela ne fonctionne pas toujours, cependant, donc vous ne voulez peut-être pas vous y risquer.

Une autre option consiste à utiliser un VPN qui coupe toutes les connexions ouvertes au démarrage. Le seul qui semble pouvoir le faire actuellement est Windscribe – il faut cocher la case « Kill TCP sockets after connection » dans les paramètres – mais nous ne doutons pas que d’autres suivront maintenant que la nouvelle est connue.

Pour l’instant, cependant, la seule chose que vous pouvez faire est, comme le recommande Horowitz, de connecter vos appareils mobiles Apple via un routeur VPN. Ainsi, l’ensemble de votre réseau utilise le VPN en même temps, et les iPhones et iPads séparés ne peuvent plus fuir. Notez cependant que si vous faites cela, vous voudrez peut-être désactiver les données mobiles afin de ne pas avoir à vous en servir si votre routeur tombe en panne, pour quelque raison que ce soit.

Autres problèmes

Tout cela est plutôt mauvais, mais ce n’est peut-être pas la fin. Horowitz s’attend à ce que d’autres problèmes liés à l’iOS surviennent lors de tests supplémentaires. Par exemple, il y a un problème qui a été signalé par le chercheur en sécurité Matt Volante en 2018 et à nouveau par l’application de protection du suivi Disconnect en 2022. Dans ces cas, il semble que les développeurs puissent choisir de faire en sorte que leurs applications iOS contournent le tunnel VPN.

Si c’est le cas, c’est une affaire énorme pour tous les utilisateurs d’iPhone, mais surtout pour ceux qui vivent dans des pays où Internet est censuré. Comme le souligne Disconnect, la plupart des applications russes doivent être approuvées par le gouvernement russe, ce qui signifie qu’il y a de fortes chances que ces applications utilisent cette faille.

Apple a-t-il cassé les VPN ?

Pour l’instant, la seule chose qui semble claire, c’est que nous n’avons découvert que les premiers pieds du terrier du lapin. Apple semble avoir mis un peu de désordre dans la sécurité des VPN, ce qui peut arriver, mais ne semble pas avoir accordé une priorité particulière à la résolution de ces problèmes. Au moment où nous écrivons ces lignes, nous ne savons pas si ce problème existe toujours dans l’iOS 16 qui vient d’être publié, mais compte tenu de l’absence de réaction d’Apple jusqu’à présent, nous ne retenons pas notre souffle pour dire qu’il a été corrigé.

Bien que l’on puisse dire qu’il n’y a pas de réel problème parce que les données des utilisateurs ne sont pas en danger, cela semble un peu négligé, surtout venant d’une société comme Apple, qui aime proclamer à quel point elle est consciente de la sécurité et de la confidentialité. Bien qu’il appartienne à chaque consommateur de décider de l’impact de cette situation sur sa relation avec l’entreprise, on a l’impression qu’Apple a laissé tomber une balle et ne l’a pas ramassée ici.