Un bogue non corrigé dans les versions récentes d’iOS empêche le VPN de crypter tout le trafic

Une vulnérabilité de sécurité non corrigée a été signalée dans les dernières versions d’iOS qui empêche les réseaux privés virtuels (VPN) de pouvoir chiffrer le trafic des utilisateurs. Le bogue, qui existe même dans la dernière mise à jour iOS 13.4, pourrait exposer les données personnelles des utilisateurs ou fournir leurs informations d’adresse IP aux attaquants en contournant le cryptage VPN par défaut. Apple n’a pas fourni de clarté sur son correctif, bien que vous puissiez vous attendre à une mise à jour de votre appareil iOS dans les prochains jours qui corrigerait la faille de sécurité.

Découverte initialement par un consultant en sécurité de la communauté Proton, la vulnérabilité de contournement VPN a affecté iOS 13.3.1 et les versions ultérieures, y compris iOS 13.4 qui a été déployée juste plus tôt cette semaine. ProtonVPN a divulgué le problème via un article de blog pour informer tous les fournisseurs de VPN et les utilisateurs finaux de sa portée.

Un VPN est généralement utilisé pour crypter le trafic, et une fois que vous activez un VPN sur votre appareil, son système d’exploitation ferme généralement les connexions Internet existantes et les rétablit via le tunnel VPN. Cependant, le bogue découvert dans les versions récentes d’iOS empêche le système d’exploitation de fermer toutes les connexions Internet existantes.

Bien que la plupart des connexions Internet soient de courte durée et soient susceptibles d’être rétablies via le tunnel VPN, certaines sont durables et peuvent rester actives même pendant des heures en dehors du tunnel. Le service de notification push d’Apple en est un exemple qui maintient une connexion de longue durée entre l’appareil et les serveurs d’Apple. Cela pose des problèmes de sécurité majeurs.

«La vulnérabilité de contournement VPN pourrait entraîner l’exposition des données des utilisateurs si les connexions affectées ne sont pas elles-mêmes chiffrées (bien que ce soit inhabituel de nos jours). Le problème le plus courant est celui des fuites IP. Un attaquant pourrait voir l’adresse IP des utilisateurs et l’adresse IP des serveurs auxquels ils se connectent », l’équipe ProtonVPN écrit dans le billet de blog expliquant le bug.

L’équipe souligne également que les utilisateurs dans les pays où la surveillance et les violations des droits civils sont courants sont les plus à risque en raison d’une faille de sécurité. De plus, les fournisseurs de services VPN ne peuvent pas fournir une solution de contournement de leur côté pour corriger la faille, car elle existe au niveau du système d’exploitation.

Cela étant dit, les utilisateurs iOS concernés peuvent atténuer la vulnérabilité de contournement VPN sur leurs appareils en activant et désactivant le mode avion après la connexion à un service VPN. Cela est susceptible de rétablir la connectivité avec les connexions Internet existantes via le tunnel VPN.

Apple est déjà au courant de la faille et devrait bientôt mettre à jour iOS avec un correctif. Pendant ce temps, vous pouvez appliquer la solution de contournement du mode avion pour limiter le problème dans une certaine mesure. Le fabricant d’iPhone a également recommande ses utilisateurs à opter pour la méthode VPN Always-on qui nécessite un logiciel de gestion des appareils pour crypter tout le trafic via un service VPN.

Étant donné que l’iPadOS est également construit sur iOS, il aurait également le même défaut de contournement VPN et pourrait chiffrer le trafic des utilisateurs via les solutions de contournement susmentionnées.