iOS fait toujours fuiter des données avec un VPN

Mickaël Bazoge |

Sur iOS, les applications VPN font fuiter des données, ce qui va à l'encontre même de leur fonctionnement. La découverte de Michael Horowitz, un consultant indépendant en informatique, s'appuie sur celle de ProtonVPN : dès mars 2020, le service détaillait une vulnérabilité dans iOS 13, qui n'a toujours pas fait l'objet d'un correctif.

iOS ne sécurise pas les connexions existantes quand on active un VPN

iOS ne sécurise pas les connexions existantes quand on active un VPN

Le problème est toujours le même : le système d'exploitation ne ferme pas toutes les connexions existantes au moment de lancer un VPN, alors que l'OS devrait lui laisser la main. Résultat : des connexions demeurent actives, notamment celles qui permettent de recevoir des notifications. Apple maintient la connexion entre l'iPhone et ses serveurs de push, afin de limiter la pression sur la batterie.

Avec iPadOS 15.6 avec un VPN, des données en fuite vers le serveur push d'Apple, mais aussi chez Gmail.

Si l'intention est louable, il n'empêche que cette connexion n'est pas sécurisée par le VPN. ProtonVPN recommandait à l'époque d'activer le mode avion juste après l'activation du VPN, une opération qui coupe net toutes les connexions ouvertes. Selon Horowitz, cette bidouille ne sert plus à rien.

Le consultant a été en contact avec Apple ces derniers mois concernant cette brèche, sans réaction probante pour le moment. Peut-être que le regain de communication autour du problème « aidera » le constructeur à se bouger les fesses s'y intéresser sérieusement.


Source
Vignette : Dan Nelson, Unsplash
Tags
avatar Jymini | 

Autant je comprends le pourquoi des connexions maintenus vers les serveurs Apple, autant je n'arrive pas à comprendre le rationnel pour des services tiers.

avatar Dylem | 

Moi je comprends pas.
Un VPN doit tout rediriger, ou alors il faut laisser la possibilité à l'utilisateur de laisser des noms de domaines utiliser la connexion "normale".

avatar Urubu | 

@Jymini

Autant je comprends pourquoi on se préoccupe de sécuriser ses connections, autant je ne comprends pas qu’on ne soit pas préoccupé de passer par un service tiers autre qu’Apple

avatar Sgt. Pepper | 

Donc la fuite ne renseigne juste que l’iPhone se connecte à un server push Apple & Google ?

Je comprends que cela ne soit pas modifié…

avatar Dylem | 

Euh non, l'appareil reste connecté à ces services sans utiliser le VPN.

avatar jacoch | 

Si la personne a de bonnes raisons de se connecter à un VPN, c'est justement pour pas laisser de trace. Surtout des connexions sur des services mail. Dans l'exemple, c'est le port IMAP SSL, mais si c'est le cas d'autres ports de messagerie, ça peut être grave. Surtout si la personne pense être sécurisée par un VPN.

avatar Sgt. Pepper | 

@jacoch

Si une personne se connecte en VPN c’est pour ses connections futures
et non pas passées/ en court .🤷‍♂️

De plus , si c’est pour se connecter à un réseau douteux : on de déconnecte , on active d’abord son VPN et puis on se connecte au réseau
Dans ce cas , que reste-t-il des cnx existantes ?

De toute façon , la grande majorité de l’usage VPN est de contourner les restrictions géo Loc ou prendre un abbo pas cher

Ou Cela sert aussi pour se connecter à un réseau privé (entreprise) donc pas un gros soucis non plus .

avatar Dylem | 

Olalala...

Tant de désinformations, ça fait vraiment peur!

"De plus , si c’est pour se connecter à un réseau douteux : on de déconnecte , on active d’abord son VPN et puis on se connecte au réseau"

Non, personne fait ça, vraiment, tu dis n'importe quoi.

avatar Sgt. Pepper | 

@Dylem

🥳
Ce qui revient au même à ce que recommande Proton VPN

- Connect to any Proton VPN server.
- Turn on airplane mode.
- Turn off airplane mode.

Le turn Off airplane mode se fait alors que le réseau douteux ☠️

https://protonvpn.com/blog/apple-ios-vulnerability-disclosure/

avatar Dylem | 

Regarde le lien que tu viens de copier coller....

"apple-ios-vulnerability"

C'est une faille d'iOS.
Un VPN, quand il est activé, coupe toutes les connexions précédente, c'est le principe en fait.

Et ça se corrige avec une MAJ.

avatar R-APPLE-R | 

Du Apple tout craché, et ça se dit protecteur de la vie privée 😾

avatar Baptiste_nv18 | 

@R-APPLE-R

Sécurité et confidentialité ne sont absolument pas la même chose 🤣🤣🤣

avatar winnipeg | 

Il faut surtout se mettre à place de certains journalistes / activistes dans certaines parties du monde qui justement utilisent l’iPhone avec vpn imaginant être protégés comme dans les pubs… le soucis n’est pas la fuite en tant que telle, qui dit dev dit bug. Le soucis c’est le manque de réactivité pour les résoudre voire un certain mépris envers ceux qui remontent ces problèmes.

avatar Sgt. Pepper | 

@winnipeg

C’est quoi ton cas d’utilisation où un activiste serait en danger ?

Le VPN est activé AVANT de se connecter à des serveurs sensibles , pas après

avatar Dylem | 

@Sgt. Pepper

Oui bon, on a compris, tu n'y compris rien, donc tais-toi maintenant.

Merci.

avatar Sgt. Pepper | 

@Dylem

Sinon , tu sais faire des phrases constructives ?

avatar Dylem | 

Et toi, arrêter d'affirmer des choses sur un domaine qui te dépasse?

avatar winnipeg | 

@Sgt. Pepper

Mais que dites vous? Relisez-vous vos interventions?

avatar fredsoo | 

@winnipeg

C’est bien le problème. La lenteur d’Apple à réagir et rectifier le tir.
Au prix du matos et avec les moyens du navire amiral aucune excuse.
Politique d’enculé.

avatar bibi81 | 

l’iPhone avec vpn imaginant être protégés comme dans les pubs

A mon avis le problème est surtout là ! Croire ce qui est dit dans les pubs...

avatar debione | 

@bibi81:

Il me semble que la pub mensongère est un délit... (pfiouuu, et Apple ne sont de loin pas les seuls). Il serait d'ailleurs de bon ton que l'Europe se décide à aussi taper du poing sur la table sur ce sujet.

avatar foxot | 

Et est-ce que ce fonctionnement persiste en activant le nouveau mode isolement d'iOS 16 ?
Ça n'enlève pas qu'Apple doit corriger cette faille (ou au moins laisser un réglage pour l'utilisateur), mais ce serait toujours mieux que rien.

avatar Sgt. Pepper | 

Proton VPN indique en Oct.2020 qu’il vont implémenter la fonction “kill switch” qui permet de bloquer les connections existantes

https://protonvpn.com/blog/apple-ios-vulnerability-disclosure/

Kill switch qui est effectivement disponible :

https://protonvpn.com/support/what-is-kill-switch/

Donc la situation semble mon grave que l’article indique ?

avatar Dylem | 

Proton est une société orienté très sécurité.
C'est à l'OS de faire ce taf.

avatar victoireviclaux | 

"Comment ça ? Qu'est ce que j'apprends ? Je n'ai pas possible ?"
Pour ceux qui ont la réf 🤓

avatar calotype | 

@victoireviclaux

T’as voulu fourrer massoud ?

avatar victoireviclaux | 

@calotype

Non. C'est Albert de SOS Ciné 🤓

avatar calotype | 

@victoireviclaux

Connais pas . Lol

avatar victoireviclaux | 

@calotype

Dommage 😅

avatar 0MiguelAnge0 | 

J’ai un VPN sur tous les bidules avec un kill switch: quand le VPN n’est pas con’ecté il n’y a aucune data.
Dès que l’écran s’éteint, il n’y a aucune data.

Les push notifications ne passent pas par le VPwn et tant mieux car sinon dans mon cas, je serais coupé du monde.

A chaque mise en route, mon VPN met 2~3d pour se connecter et si entre temps je vais trop vite, mes apps ne fonctionnent pas.

CONNEXION UTILISATEUR