iOS ne sécurise pas les connexions existantes quand on active un VPN

Nicolas Furno |

Quand on active un VPN sur un appareil, le système d’exploitation est censé fermer immédiatement toutes les connexions existantes et les rouvrir dans la foulée. Cette mesure permet de sécuriser toutes les connexions et pas seulement les nouvelles qui seront créées après l’activation du VPN. Comme le révèlent les créateurs de ProtonVPN, ce n’est pas ce que fait iOS 13.

Rappelons tout d’abord qu’un VPN établit une connexion sécurisée entre votre appareil et un serveur distant. C’est ce serveur qui se charge ensuite de relayer toutes les requêtes vers les sites web et autres services en ligne utilisés. On utilise un VPN pour de multiples raisons, mais l’idée de départ est la sécurité des connexions effectuées par votre appareil. C’est pourquoi il est important de sécuriser toutes les connexions dès qu’un VPN s’active, ce qui n’est pas le cas avec la toute dernière version d’iOS.

Cette faille de sécurité n’est pas gravissime, puisque la plupart des connexions ont une durée de vie extrêmement courte. Quand vous affichez la page d’un site web dans Safari sur un iPhone, la connexion entre le smartphone et le serveur web dure quelques secondes au pire et elle est ensuite coupée. Mais comme l’explique ProtonVPN, il y a des connexions qui restent actives plus longtemps, notamment celle qui permet de recevoir des notifications instantanées.

Sur cette capture d’écran fournie par ProtonVPN, on voit que l’iPhone (cercle à gauche) continue de se connecter directement au serveur de push d’Apple (cercle rouge en haut), au lieu de le faire via le serveur intermédiaire (cercle rouge en bas à droite).

Apple maintient une connexion permanente entre ses serveurs de push et votre iPhone, probablement pour limiter l’impact sur la batterie. Si vous activez un VPN, cette connexion ne passera pas sur le serveur et elle ne sera à ce titre pas sécurisée. En attendant que le bug soit réglé, ProtonVPN recommande d’activer brièvement le mode avion d’iOS après avoir activé le VPN, ce qui permet cette fois de fermer toutes les connexions ouvertes.

ProtonVPN a notifié l’entreprise de Cupertino de cette faille de sécurité 90 jours avant de publier son article. Apple a répondu qu’un correctif allait être mis en place, mais iOS 13.4 ne l’intègre pas encore.

avatar iNup | 

Je me demande si les appels wifi ne prennent pas en compte une connexion à un VPN également!

avatar Novezan | 

« Cette faille de sécurité n’est pas gravissime, puisque la plupart des connexions ont une durée de vie extrêmement courte. »

Gravissime ou pas, si on utilise un VPN c’est justement pour ”tunneliser”sa connexion, et pas avoir ce type de déconvenue...

avatar 0MiguelAnge0 | 

@Novezan

Soit mais j’espère que dans l’exemple en question, Apple utilise une liaison https qui est sécurisées!!!!

Il y a une différence entre sécuriser et anonymiser une connection vu d’un observateur extérieur (sachant qu’elles ne seront pas anonymes pour le provider)

Le VPN ouvre un tunnel anonymisé dans lequel circule (je l’espère) des données sécurisées.

avatar 8iMac | 

C’est surtout un super moyen de maintenir le tracking publicitaire

avatar pagaupa | 

@8iMac

😜

avatar AlexG | 

@8iMac

De la part d'un Apple qui sort un Safari qui défonce le tracking publicitaire ?
Si c'est le cas, ce n'est pas volontaire je pense.

avatar 666 | 

Un vpn gratuit et fiable qui change vraiment la localisation sur Google existe ? 😐

avatar rolmeyer | 

Edit

avatar Malouin | 

@666

Quand c’est gratuit...

avatar John McClane | 

Est-ce que c’est un bon VPN ProtonVPN ?

avatar ArthurPrchy | 

@John McClane

Je l’utilise régulièrement et aucun soucis avec eux

avatar PierreBondurant | 

@ArthurPrchy

La version payante ou gratuite?

avatar Novezan | 

@John McClane

La première question à se poser avant de choisir une VPN est :
Quel degré de confiance j’accorde à ce prestataire ?
Tous vendent l’anonymat, mais peu proposent un paiement anonyme (espèce, crypto monnaie, ...)

Je n’utilise pas protonVPN mais j’utilise ProtonMail et j’en suis satisfait. J’aurais pu utiliser ProtonVPN, mais j’étais déjà chez un autre prestataire dont je suis très satisfait (mullvad).

avatar nespresso92 | 

@Novezan

Les plus gros VPN de la place offre tous un paiement en Bitcoin.

avatar Novezan | 

@nespresso92

Oui clairement, maintenant quid du sois disant anonymat...

avatar nespresso92 | 

@Novezan

En ce qui me concerne la vie privée et les libertés n’ont jamais vraiment existé, les gens sont bien naïfs.

Donc, comme pour l’utilisation d’un outil informatique on fait ou pas confiance au développeur. Ceci est valable pour un VPN mais aussi pour ses e-mails ou bien ses photos. Personne ne se pose la question concernant le stockage chez Adobe ou Apple.

Pour le citoyen ordinaire le VPN sert surtout à passer outre les problèmes de géolocalisation ou éviter le tracking intempestif. Donc regarder Netflix ou Pornhub n’intéresse nullement la DGSI.

Le cyber criminel à quant lui d’autres soucis réels concernant son anonymat et connaît les règles à appliquer...

Donc, utiliser ExpressVPN au Panama qui n’a de compte à rendre à personne, pourquoi pas. Mais le revers de la médaille c’est qu’ils n’auront pas de compte à vous rendre aussi.

avatar Vixen45 | 

Bonjour, Mullvad permet d'avoir une bonne vitesse de connection ? sachant que j'ai la fibre.

avatar Novezan | 

@Vixen45

Il y a encore quelques mois j’étais client fibre 1gb chez Orange, et avec Mulvad j’avais env 700mb...

avatar Vixen45 | 

D'accord merci

avatar victoireviclaux | 

@John McClane

Vu la confiance accordé à ProtonMail, je pense que oui.
Après j'utilise pour l'instant NordVPN (ahhhh les promotions...) 😅

avatar John McClane | 

@victoireviclaux

Ok merci ! Je pense tester les deux, ils ont l’air sérieux.

avatar bhelden | 

@victoireviclaux

La même... La promo a ~117 au lieu de +300/400 😂

avatar victoireviclaux | 

@bhelden

Tu m'étonnes 🤣

avatar nespresso92 | 

@John McClane

Oui correct pas vraiment pas rapide.

J’ai ExpressVPN, Winscribe et Proton VPN.

Sur un débit de 500MB en WiFi chez moi, Winscribe me donne 400MB, ExpressVPN 250MB et Proton 100MB.

avatar John McClane | 

@nespresso92

Ah en effet ça réduit drastiquement !

avatar occam | 

@John McClane

Je crois que ceci pourrait vous intéresser :
https://protonvpn.com/support/server-load-percentages-and-colors-explained/

Les scénarios sont réalistes, ils correspondent à peu près à mon expérience.

Quant à la question de confiance que vous posez plus haut : pour connaître un peu le milieu dans lequel le groupe fondateur a évolué, ainsi que leurs collatéraux, je suis enclin à leur accorder un certain crédit, plus qu’à un provider lambda dont je ne saurais strictement rien.
Si la capacité brute n’est pas le critère K.O., je vous conseille d’essayer Proton.

avatar John McClane | 

@occam

Merci !
Je vais essayer Proton en version gratuite pour commencer, et voir si ça ralentit notablement mon petit ADSL ou si c’est transparent (vu que c’est déjà lent, peut-être que je ne verrai pas la différence !).

avatar nespresso92 | 

@John McClane

Si vous êtes à cheval sur la sécurité sous toutes ces formes il y a aussi PerfectPrivacy chez nos amis suisses.
Le plus par rapport aux autres VPN, ils offrent, comme Winscribe des filtres au niveau de leur DNS contre les pubs, le pistage, le porn... pour replacer ou compléter des produits comme Adguard.
Leur support est aussi très bien.

Je les avais testé pendant 1 an avant de passer chez ExpressVPN puis chez Winscribe aujourd’hui. Pour info, Windscribe fournit un firewall à son application VPN qui bloque toutes tentative de connection à internet dans hors VPN. Donc, techniquement la faille mentionnée ici ne devrait pas impacter leur VPN et donc iOS.

Un très site, et très exhaustif, sur l’ensemble des VPN du marché pour vous faire une idée:
https://thatoneprivacysite.net
L’accès au fichier Excel est aussi possible pour travailler en local.

avatar John McClane | 

@nespresso92

"Un très site, et très exhaustif, sur l’ensemble des VPN du marché pour vous faire une idée:
https://thatoneprivacysite.net"

Merci ! Je vais consulter tout ça...

avatar guilpa | 

@John McClane

LeLeurs serveurs sont en suisse, il permet de faire transiter votre connexion entre plusieurs pays

avatar Sanid35 | 

Ben moi j’utilise un VPN pro et j’ai pas specialement envie que tout passe par ce VPN justement...

avatar victoireviclaux | 

Aie aie aie... 🤭 Bon j'utilise pas trop le VPN mais c'est vrai que c'est embêtant (après je n'ai pas d'apps qui tournent en arrière-plan)

avatar Ginger bread | 

On est loin de la réactivité de Microsoft, parfois Apple met 6 mois.
Enfin vu la situation actuelle faut pas s attendre à un miracle

avatar postman94801 | 

@Ginger bread

Cela dépend une faille sur IE6 à été corrigée plusieurs années après sa découverte !

avatar Ginger bread | 

@postman94801

IE6?
Si tu te mets à sortir les archives aussi^^

avatar Tenas | 

Nous à la maison on utilisent Nord vpn sur nos deux iPhone et sur le pc et ont en est satisfaient, suffit juste de trouver le bon protocole de connexion.

avatar Krysten2001 | 

@Tenas

Qu’utilisez-vous ? Par moment NordVPN se déconnecte comme ça vous aussi ?

avatar AlexG | 

@Depret Lucas

Moi oui, clairement j'ai parfois des soucis de connexions au bout d'un moment avec NordVPN. Mais je pense que c'est une caractéristique de tous les VPN, puisqu'un serveur n'est pas peut-être pas aussi performant en permanence ?

avatar Krysten2001 | 

@AlexG

Oui par moment on voit le logo VPN se remettre ou alors on n’est plus connecté alors que je suis en toujours connecté,... bizarre peut-être que ça sera réglé avec la prochaine MAJ d’iOS

avatar ben865 | 

"l’idée de départ est la sécurité des connexions effectuées par votre appareil"

Petite précision technique, la fonction des VPN a été détournée pour rendre invisible des informations sortant d'un appareil, à la base il s'agit de connecter un réseau privé virtuel à un autre réseau inaccessible depuis internet. la sécurité ajoutée n'est que du bon sens.

"cette connexion ne passera pas sur le serveur et elle ne sera à ce titre pas sécurisée"

Autre pécision, les connexions aux serveurs Push d'Apple sont évidemment chiffrées et donc sécurisées de base.
Faire passer ces connexions Push à travers un VPN sert à masquer l'origine de la connexion du point de vue d'Apple.
(C'est valable pour n'importe quelle connexion à n'importe quel service évidemment, excepté dans le cas de ce bug sur iOS)

Bon lundi à tout le monde 🙂

avatar Link1993 | 

@ben865

J'allais dire la même chose... Y'a clairement un engouement sur les VPN, solution que la majorité de la population n'a pas compris à quoi ça servait, ni comment ça marchait...

avatar powergeek | 

J'utilise Speedify. Satisfait pour l'instant.

avatar ClownWorld 🤡 | 

Rien ne vous empêche de fermer les applications et de les rouvrir après.
Faux débat.
Et les trolls Android qui la ramènent comme si sur leur OS c’était mieux

avatar sangoku | 

« Cette faille de sécurité n’est pas gravissime »

Si elle l’est ...
Combien de personnes vivant dans une dictature et utilisant un vpn sur leur iphone vont se faire mettre en taule à cause des fuites d’IP ?
Combien de chinois, iraniens, russes, omanais, turques, saoudiens et autres vont devoir expliquer à leur policiers ce qu’ils faisaient cachés derrière un VPN et pourquoi leur IP a pu être associée à une connexion avec un opposant par exemple ...
Potentiellement de nombreux drames en perspective ☹️
Une faute des système iOS qui a dû envoyer du monde dans des geôles alors qu’ils se croyaient en sécurité.

avatar Antwan | 

« Apple maintient une connexion permanente entre ses serveurs de push et votre iPhone, probablement pour limiter l’impact sur la batterie.»

C’est pas probablement une histoire de batterie c’est juste le seul moyen de faire fonctionner les notifications push, car l’iPhone n’a pas de connection entrante. (Globalement les réseaux mobiles ne sont pas architecturés pour ça)

CONNEXION UTILISATEUR