Mise à jour le 23 août, 2022 par Metaverse
L’utilisation d’un réseau privé virtuel (VPN) sur les appareils iOS a entraîné une fuite de données dont Apple est au courant depuis au moins 2020 et qu’elle n’a pas encore corrigée, selon diverses enquêtes.
Un VPN est un outil qui redirige le trafic Internet d’un appareil via un tunnel sécurisé, cachant votre adresse IP tout en cryptant vos données. Les utilisateurs recourent souvent à cette alternative pour protéger leur vie privée contre d’éventuelles cyberattaques, entre autres avantages.La fiabilité de ces VPN sur iOS est remise en question.
Le chercheur a souligné que la dernière version d’iOS dans laquelle il a testé la fiabilité d’un VPN est la 15.6. Par ailleurs, il a rappelé que la firme ProtonVPN avait alerté sur cette même fuite de données en mars 2020.
ProtonVPN a identifié cette fuite dans la version iOS 13.3.1 à l’époque, selon son blog. Comme Horowitz, la société a souligné que les VPN n’étaient pas en mesure de fermer les sessions précédemment ouvertes et de les rouvrir dans leur tunnel sécurisé.
La firme a noté que la plupart des sessions et des connexions « finissaient par se rétablir dans le tunnel VPN, mais d’autres, comme le service de notification push d’Apple, pouvaient continuer à envoyer des données » pendant des minutes ou des heures « en dehors du tunnel VPN.
Un chercheur en sécurité affirme que les appareils iOS d’Apple n’acheminent pas entièrement le trafic réseau via des VPN comme un utilisateur pourrait s’y attendre, un problème de sécurité potentiel que le fabricant connaît depuis des années.
👀🔥
— 🇨🇵 Tiona Sta Z 🇨🇵 (@TionaSta) August 18, 2022
Apple ne propose pas de solutions à l’utilisateur final
ProtonVPN a fait part de ses inquiétudes à Apple avant de révéler publiquement ses conclusions sans obtenir aucune solution en retour. De son côté, Horowitz a informé l’entreprise fin mai dernier sans obtenir de réponse.
Le chercheur a par la suite tenté de recontacter Apple, qui a reconnu le 19 août être au courant de ce problème.
La société technologique de Cupertino a rappelé à Horowitz que la fonction “Toujours sur VPN” de la gestion des appareils mobiles (MDM) permet au personnel informatique d’une entreprise de forcer toutes les données des appareils iOS à rester dans le réseau de l’entreprise. Cependant, MDM n’est pas disponible pour l’utilisateur final.
Dans sa réponse, Apple mentionne également l’option API introduite dans iOS 14. Dans ce cas, son utilisation est réservée aux développeurs et l’utilisateur final en est également exempté.