Un chercheur en sécurité très critique sur les VPN sur iOS

Dans un blog intitulé « Les VPN sur iOS sont une arnaque », Michael Horowitz, chercheur reconnu en sécurité accuse les VPN installés sur un iPhone ou un iPad de fuites de données tandis qu'Apple ferme les yeux. Dans un article publié pour la première fois en mai 2022, mais mis à jour régulièrement, il confirme les fuites de données en utilisant plusieurs types de VPN et des logiciels de plusieurs fournisseurs. Il a récemment effectué des tests avec un iPhone fonctionnant sous iOS 15.6.

Un VPN (Virtual Private Network) doit établir une connexion sécurisée et chiffrée entre un appareil et Internet - un tunnel privé à travers lequel les données et communications peuvent circuler. Cependant, Michael Horowitz explique que toutes les sessions et connexions mises en place avant l'activation du VPN doivent être interrompues et que cela ne se produit pas par défaut, ce qui signifie que les données peuvent toujours être envoyées en dehors du VPN.

Le VPN « ne fait pas son travail »

Le spécialiste a enquêté davantage pour voir si un fournisseur de VPN iOS avait mis en œuvre une option appelée « Kill TCP sockets after connection », qui éliminerait ces connexions. Comme il l'écrit, « j'ai vérifié une poignée de clients VPN iOS d'autres éditeurs et je n'en ai trouvé aucun avec une option concernant la fin des connexions/sockets existantes lors de l'établissement du tunnel VPN ».

La principale critique ici est que les liaisons sécurisées sont souvent mises en œuvre parce qu'un utilisateur veut protéger ses données, mais ici, le VPN ne fait pas son travail. Certaines connexions peuvent être ouvertes en dehors du VPN. Il est possible que le problème vienne d'iOS plutôt que des clients VPN, concède Michael Horowitz.

Apple aux abonnés absents

Cependant, Apple n'a pas encore abordé le problème (du moins pas publiquement) et cela dure depuis deux ans. En mars 2020, les détails de ce qui semble être le même bug ont été diffusés par un rapport de ProtonVPN. Il peut conduire à une fuite de données dans les versions 13 et 14 d'iOS. À cette époque, John Dunn de Sophos a écrit qu'un correctif « pourrait ne pas apparaître avant des semaines ». Malheureusement, cela dure un peu plus longtemps que cela. En attendant la réponse d'Apple, Michael Horowitz suggère d'établir une connexion sécurisée à l'aide d'un client VPN via un routeur, plutôt que sur un terminal iOS.