Apple ne propose aucune solution à une fuite de données sur les appareils iOS via un VPN

L’entreprise connaît le problème des tunnels sécurisés dans les réseaux privés depuis 2020, mais ignore les chercheurs.
L’utilisation d’un réseau privé virtuel (VPN) sur les appareils iOS a entraîné une fuite de données dont Apple est au courant depuis au moins 2020 et qu’elle n’a pas encore corrigée, selon diverses enquêtes.
Un VPN est un outil qui redirige le trafic Internet d’un appareil via un tunnel sécurisé, cachant votre adresse IP tout en cryptant vos données. Les utilisateurs recourent souvent à cette alternative pour protéger leur vie privée contre d’éventuelles cyberattaques, entre autres avantages.La fiabilité de ces VPN sur iOS est remise en question.

Le chercheur Michael Horowitz a publié un rapport sur son site internet dans lequel il assure que l’utilisation de ces outils dans le système d’exploitation de l’iPhone est “cassé”.Horowitz reconnaît qu’au début “ils semblent bien fonctionner”. Cela implique que l’appareil iOS reçoit une nouvelle adresse IP et un nouveau serveur DNS. Ensuite, les données de l’utilisateur atteignent le serveur VPN. Cependant, ce chercheur explique qu'”une inspection détaillée” montre des fuites dans le tunnel VPN sécurisé. En effet, les sessions et les connexions établies sur l’appareil avant l’activation du VPN ne sont pas fermées et peuvent continuer à relayer vos données.Horowitz a affirmé qu’il s’agissait d’une “fuite de données” qu’il a confirmée en utilisant “plusieurs types de VPN et de logiciels de plusieurs fournisseurs de VPN”.

Le chercheur a souligné que la dernière version d’iOS dans laquelle il a testé la fiabilité d’un VPN est la 15.6. Par ailleurs, il a rappelé que la firme ProtonVPN avait alerté sur cette même fuite de données en mars 2020.

ProtonVPN a identifié cette fuite dans la version iOS 13.3.1 à l’époque, selon son blog. Comme Horowitz, la société a souligné que les VPN n’étaient pas en mesure de fermer les sessions précédemment ouvertes et de les rouvrir dans leur tunnel sécurisé.

La firme a noté que la plupart des sessions et des connexions « finissaient par se rétablir dans le tunnel VPN, mais d’autres, comme le service de notification push d’Apple, pouvaient continuer à envoyer des données » pendant des minutes ou des heures « en dehors du tunnel VPN.

https://t.co/hOJhuQJARG

Un chercheur en sécurité affirme que les appareils iOS d’Apple n’acheminent pas entièrement le trafic réseau via des VPN comme un utilisateur pourrait s’y attendre, un problème de sécurité potentiel que le fabricant connaît depuis des années.

👀🔥

— 🇨🇵 Tiona Sta Z 🇨🇵 (@TionaSta) August 18, 2022

Apple ne propose pas de solutions à l’utilisateur final

ProtonVPN a fait part de ses inquiétudes à Apple avant de révéler publiquement ses conclusions sans obtenir aucune solution en retour. De son côté, Horowitz a informé l’entreprise fin mai dernier sans obtenir de réponse.

Le chercheur a par la suite tenté de recontacter Apple, qui a reconnu le 19 août être au courant de ce problème.

La société technologique de Cupertino a rappelé à Horowitz que la fonction “Toujours sur VPN” de la gestion des appareils mobiles (MDM) permet au personnel informatique d’une entreprise de forcer toutes les données des appareils iOS à rester dans le réseau de l’entreprise. Cependant, MDM n’est pas disponible pour l’utilisateur final.

Dans sa réponse, Apple mentionne également l’option API introduite dans iOS 14. Dans ce cas, son utilisation est réservée aux développeurs et l’utilisateur final en est également exempté.