Plusieurs chercheurs en cybersécurité tirent (à nouveau) la sonnette d'alarme quant à la cyberconfidentialité supposément permise par l'usage d'un VPN sur un iPhone.
Même si le VPN est actif, des informations fuitent vers d'autres serveurs, et certaines sont particulièrement sensibles.
La cyberconfidentialité et Apple, ça fait deux…
Le problème a beau avoir été soulevé depuis la version 13.3.1 d'iOS en… mars 2020, depuis, rien ou presque n'a changé. Malgré le lancement récent d'iOS 16, le chercheur en cybersécurité canadien Tommy Mysk a constaté que son iPhone (mis à jour) ne communiquait pas seulement avec le serveur attribué par son VPN, bien que ce dernier soit activé. Dans la vidéo ci-dessous disponible sur son compte Twitter, le chercheur en cybersécurité illustre en 20 secondes à quel point cette faille est problématique.
En temps normal, la connexion VPN telle qu'établie par Mysk devrait lui permettre de couper toutes les communications en cours avec d'autres serveurs que celui attribué par son fournisseur, ici ProtonVPN. Or, il n'en est rien, puisqu'au bout d'environ 30 secondes de vidéo, Mysk constate que plusieurs applications communiquent par le biais d'un autre serveur, différent de celui attribué par ProtonVPN.
Cependant, la faute ne provient pas du fournisseur de la solution VPN, mais d'Apple. Un autre chercheur en cybersécurité cité par 9To5Mac, Michael Horowitz, a constaté que la marque à la pomme n'autorisait pas les applications de solutions VPN à couper les connexions en cours le temps que l'attribution du serveur soit faite. C'est pourtant là l'essence même du fonctionnement d'un VPN. Celui-ci doit, en temps normal, rouvrir par la suite ces mêmes connexions dans un tunnel crypté pour que les informations contenues ne soient, par exemple, pas connues de votre fournisseur d'accès à Internet ou d'un hacker.
Android ferait de même avec Google
Horowitz et Mysk affirment que des applications clés continuent de communiquer avec d'autres serveurs en dehors du tunnel crypté, ce qui est préjudiciable à la confidentialité des données qu'elles contiennent. Plans, avec les informations concernant les déplacements, Health, avec les données relatives à la santé, ou encore Wallet, qui contient notamment les billets divers et cartes de crédit, sont concernées.
Au total, cela touche au moins 8 applications, puisque 9To5Mac répertorie aussi l'App Store, Clips, Fichiers, Localiser et Réglages. Et le pire, c'est qu'Apple n'est pas la seule à appliquer cela. Mysk a confirmé à 9To5Mac que Google, avec son système d'exploitation Android, faisait de même. « […] Android communique avec les services Google en dehors d'une connexion VPN active, même si les options "Toujours active" et "Bloquer les connexions sans VPN" sont activées. J'ai utilisé un Google Pixel sous Android 13. »
Tommy Mysk considère ces actions de la part d'Apple et de Google comme étant délibérées, sans que l'on puisse, de fait, savoir officiellement ce que font ces firmes des données collectées. Officieusement, en revanche, la porte est ouverte.
Source : 9To5Mac
