Dans iOS 16, certaines apps d'Apple continuent de contourner les VPN
Il y a des trous dans la raquette des VPN sur iOS comme sur Android. Lors de l'activation d'un VPN, toutes les connexions web sont censées transiter dans le tunnel VPN. Mais ce n'est pas le cas depuis iOS 13, comme l'a découvert ProtonVPN en mars 2020, et ce qui a été confirmé l'été dernier dans iOS 15.6.
We confirm that iOS 16 does communicate with Apple services outside an active VPN tunnel. Worse, it leaks DNS requests. #Apple services that escape the VPN connection include Health, Maps, Wallet.
— Mysk 🇨🇦🇩🇪 (@mysk_co) October 12, 2022
We used @ProtonVPN and #Wireshark. Details in the video:#CyberSecurity #Privacy pic.twitter.com/ReUmfa67ln
Et iOS 16 ne change rien à l'affaire, d'après la découverte des chercheurs en sécurité Tommy Mysk et Talal Haj Bakry. Plusieurs apps d'Apple continuent de contourner le tunnel VPN pour se connecter directement aux serveurs du constructeur, parmi lesquelles Fichiers, Localiser, Plans, les réglages, Cartes, l'app Apple Store, Santé et même l'innocent Clips. Parmi ces données, on trouve des requêtes DNS.
Encore plus étonnant, voire inquiétant, le nouveau mode Isolement qui limite drastiquement la surface d'attaque pour les malwares ne change rien à l'affaire. Pire, la « fuite » de données qui contourne les VPN est plus importante, les pushs des notifications transitent en dehors du tunnel.
Cela signifie que des organisations gouvernementales ou des fournisseurs d'accès sont potentiellement en mesure d'identifier un utilisateur d'iPhone en analysant ce trafic web. Malgré un mode Isolement qui devrait justement limiter ces risques (même si Apple n'a rien dit sur d'éventuels changements qui affecteraient l'usage des VPN dans ce mode).
On se console comme on peut, les deux chercheurs ont également établi qu'Android communiquait avec les services de Google en dehors d'une connexion VPN active. Ni Apple, ni Google ne se sont exprimés sur ce sujet, mais on peut avancer l'hypothèse qu'aucun des deux ne veut qu'un VPN malveillant puisse collecter des données de trafic web provenant de leurs apps.
De mon expérience les VPN sur smartphone ne sont pas fiables à 100%. En effet, j’ai eu des déconnexions non notifiées très régulièrement avec NordVPN et assez régulière avec ProtonVPN.
@Gravoche67
ProtonVPN s’améliore un peu dans la gestion des déconnexions, mais c pas encore ça.
Il y en a un qui mérite le détour c’est Mullvad.
@Chris K
Sûrement prometteur, mais manque une fonction essentielle, le Kill Switch et je ne vois aucune info concernant les protocoles employés.
@Gravoche67
Protocole WireGard (la version desktop propose d’autres protocoles). Le « killswitch » est automatique (s’appuie sur une fonction fournie par iOS).
@Chris K
As-tu un test à faire partager ?
@Gravoche67
Ah non, désolé. Suis tombé dessus par hasard quand me suis aperçu il y a quelque temps que ProtonVPN me bouffait la batterie.
En fait ce qui m’avait intrigué c’est le fait de pouvoir créer un compte sans fournir aucune info perso (pas d’adresse e-mail, pas de numéro de tel etc..).
J’ai trouvé le truc simple et efficace. Après c sans doute moins élaboré en options que ProtonVPN mais somme toute pas forcément moins fiable.
Bon j’ai aucune action dans Mullvad. J’aime bien ProtonVPN aussi 😁
Encore une nième affaire qui montre l’abus de pouvoir des géant de la tech sur les prioritaires des technologies : leurs clients.
On est en droit de faire ce qu’on veut avec nos produits. C’est totalement honteux et inadmissible qu’ils s’octroient les pouvoirs de décider de contourner un réglage su l’utilisateur aura choisit et d’en provoquer des failles de sécurité de la vie privée.
@JePiCol
Malheureusement vous avez tort.
Les appareils vous appartiennent, mais pas le logiciel qui les fait fonctionner.
Vous avez oublié qu’au premier démarrage d’un iPhone ou Mac, vous acceptez la license d’utilisation qui définit les règles d’utilisation d’iOS ou macOS. Vous êtes donc informés des le début des limites, sinon il vous suffit de les refuser…
@amonbophis
Bien sûr. C’est justement mon point. C’est ça l’abus de pouvoir.
@ JePiCol
On vous force à utiliser un iPhone ?
Non.
Il n'y a donc aucun abus de pouvoir.
Pouvez-vous exiger de Peugeot de vous fournir une voiture avec un moteur d'une autre marque ? Non. La loi vous interdit même de le faire vous même. Abus de pouvoir ?
Enfin, l'article donne même une raison probable : Peut-être qu'Apple ne veut pas qu'un VPN vérolé qui par sa nature verrait tout le traffic réseau passer puisse se servir dans vos données échangées avec Apple :
> on peut avancer l'hypothèse qu'aucun des deux ne veut qu'un VPN malveillant puisse collecter des données de trafic web provenant de leurs apps
"Enfin, l'article donne même une raison probable : Peut-être qu'Apple ne veut pas qu'un VPN vérolé qui par sa nature verrait tout le traffic réseau passer puisse se servir dans vos données échangées avec Apple "
Comment pourrait-on installer un VPN vérolé ou malveillant en provenance de l'AppStore??? J'ose espérer que les contrôles d'Apple sur ces apps pour le moins sensibles sont suffisamment approfondis pour qu'on puisse leur faire confiance !
@ r e m y
> Comment pourrait-on installer un VPN vérolé ou malveillant en provenance de l'AppStore?
- En ne l'installant pas à partir de l'AppStore. (Entreprise, version beta,...)
- En profitant d'une faille de surveillance chez Apple qui a déjà laissé passer des trucs douteux sur son AppStore. (Celui-ci minimise la probabilité d'installer un truc foireux, mais la perfection n'étant qu'une illusion, une utopie, un but ultime...).
- Apple ne peut pas aller inspecter dans le détail les serveurs qu'utilisent les VPNs.
@marc_os
C’est un argument bidon.
Déjà j’ai un modèle de véhicule dont le moteur est d’une autre marque... bref.
Et puis j’ai payé pour un produit, j’estime m’en rendre proprietaire. Personne m’oblige à choisir tel ou tel marque c’est pas une raison.
Avec un tel raisonnement ça conduit aux pires sociétés dystopiques totalitaires. C’est en marche ou crève...
Ben non les géant de la tech doivent avoir moins de pouvoir et se soumettre à ceux qui les finance directement c’est à dire le consommateur.
@marc_os
@marc_os
Heureusement quand on achète une maison on nous impose pas les meubles et leur agencement !...
@JePiCol
A t’amuser à changer le type de ciment dans ta baraque 😂
@sebas_
Ben si je veux je peux. C’est pas parce que tu ne sais pas le faire que ça reste impossible. Au moins l’ancien propriétaire n’a pas sont mot à dire !
@JePiCol
Oui, de la même manière que tu peux retrofitter une vieille voiture, mais ça reste quand même marginal et assez compliqué..
aux US (ou c’est légal), y en a bien qui mettent des moteurs de Subaru dans leur vieux bus VW 🤷🏻♂️
@sebas_
Que ça soit marginal ou que tu les méprise ça reste leur liberté et c’est ça qui compte. Si ça te plaît pas ben on te force pas à le faire hein.
@JePiCol
Pourquoi tant de haine? Un vendredi soir en plus… tout va bien?
@sebas_
Pas de psychologie à deux balles. Ça montre surtout que tu n’a pas d’argument.
Y a pas de haine. Ne stresse pas. « Tout va bien se passer ».
@JePiCol
Ce n’est pas un abus de pouvoir, puisque rien ne vous oblige à utiliser leurs appareils, vous pouvez passer sur android.
En étant une société privée, Apple fait ce qu’elle veut.
Par contre la où ça devient un abus de pouvoir, c’est quand une société privée devient monopolistique. Dans ce cas les pouvoir publics se doivent d’être vigilants.
Mais comme le marché smartphone est partagé entre iOS et android, ce n’est pas cette situation.
@JePiCol
Je me demande si ce n’est pas pour des questions de sécurité. Je ne dis pas ça parce que le marketing d’Apple fonctionne sur moi, il est certainement très efficace.
Je pense à certaines fonctions sensibles du système qui pourraient être détournées vers des serveurs pirates qui simuleraient ceux d’Apple en passant par un vpn installé avec un logiciel malveillant. 🤔
Après, je n’y connais pas grand chose, mais je crois que certains logiciels sont piratés de cette manière.
@roccoyop
Pas besoin de VPN pour faire ça.
@ roccoyop
> Pas besoin de VPN pour faire ça
Et alors ? Oui il n'y a pas qu'une seule sorte de méchants potentiels.
L'important est qu'un VPN peut faire ça - aussi.
Y a un truc qui me chiffonne quand même à la lecture de cet article.
Lorsque par exemple j’ai un serveur VPN qui est à la ramasse, y a plus rien qui arrive sur mon device. Et notamment les notifications push dont il est fait mention.
Si je choisis alors un serveur VPN stable, paf tout remarche.
Je ne remets pas en cause les leaks démontrés mais y-a-t-il pour autant un contournement total ?
@Chris K
Es-tu sur NordVPN? Parce que, cela m’arrivait tout le temps avec celui ci.
@Gravoche67
Non. Ai quitté NordVPN depuis bien longtemps…
« Encore plus étonnant, voire inquiétant »
Je vois pas en quoi, la fiabilité des VPN est plus qu’aléatoire 🤷🏼♂️
Je fais bien plus confiance à Apple pour faire transiter ce genre de données qu’un VPN tiers
@cosmoboy34
L’inquiétude peut être que lorsque je suis sur un spot que je ne connais pas et à qui je ne fais pas confiance, malgré l’utilisation du VPN, des informations passent en clair sur le réseau et peuvent donc être intercepter.
@Ensearque
Quelles informations peuvent être récupérées ? A part savoir que vous communiquer avec Apple , on peut rien en tirer car tout est chiffré via un tunnel TLS donc on peut pas avoir le contenu
@cosmoboy34
Je suis de votre avis. Je suis surpris de tant de confiance dans des VPN tiers.
Toutes les données passant par des serveurs d’une entreprise dont on ignore la qualité en matière de sécurité des bases de données, et qui n’a pas autant à perdre en image que des grosses firmes comme Apple et Google si ils se font pirater leurs base de données.
@kafy28
Tout à fait. Peut être un positionnement positif envers les VPN dans l’article en rapport avec les partenariats de macg 🤷🏼♂️
@igen pourriez-vous nous proposer un banc d’essai sur les VPNs avec des valeurs sûres et des VPNs de niches comme Mullvad?
@Gravoche67
+1
Un test très complet en plusieurs épisodes.
Y compris pour des connexions à une entreprise distante (pour les TPE)
Mullvad est vraiment pas mal. Un bon guide est celui de Wirecutter qui se positionne en analysant les boites derrière les VPNs pour savoir si on peut leur faire confiance → https://www.nytimes.com/wirecutter/reviews/best-vpn-service/
Pour une TPE, Wireguard est très facile à mettre en place de nos jours. J'ai entendu du bien de Tailscale qui se base dessus → https://tailscale.com/
@Gravoche67
C’est compliqué… on peut avoir un aperçu du bordel que ça peut être : https://www.macg.co/services/2021/10/vpn-sans-surprise-certains-fournisseurs-se-payent-des-sites-de-comparatifs-124655
Donc en plus de tester l’aspect techniques (vitesse, stabilité, split tunneling, protocoles etc…), il faut chercher qui est derrière les fournisseurs de ces VPNs, sont-ils propriétaires de leurs serveurs ou simples locataires, de quelle(s) législation(s) dépendent-ils etc…
Après tout dépend de ce que tu entends par valeur sûre.
@Chris K
J’avais lu l’article et c’est vrai que c’est compliquer de trouvé des testes fiables. J’ai aussi remarqué que Google remonte uniquement les articles SEO et SEA.
@Gravoche67
J’ajoute, pour avoir un synthèse (en anglais) :
https://restoreprivacy.com/vpn/best/
https://restoreprivacy.com/vpn/best/reddit/
Pour info, lorsque les flux VPN utilisent le Per-App VPN ou On-Demand, avec certaines règles (dans le cas de profils VPN déployés par MDM), la télémétrie est également tunnelisée. C’est le cas par exemple pour le protocole IKEv2 avec le Always On VPN.
Typiquement, dans ce scénario, les flux APNS ne passent pas. On peut donc en conclure que cet article est valable pour les VPN « installés par app » (en général grand public), mais pas ceux « installés par profil de configuration MDM » (en général professionnels).
Vivant en Chine, je n’ai par exemple accès à aucun services Google sans VPN. Je reçois pourtant les notifications push de gmail (avec aperçu du message) même quand le vpn n’est pas activé (idem avec d’autres genres d’apps, comme par ex Reddit). C’est normal?
@ charlie105
> je n’ai par exemple accès à aucun services Google sans VPN. Je reçois pourtant les notifications push de gmail
Hypothèse :
- Il y a des trous dans la raquette des filtres chinois. (réception des notifications push)
- Le VPN fait son office dans les cas où les filtres chinois fonctionnent. (accès aux services Google en général)