Apple évite toujours le VPN pour une partie de ses services sous iOS 16 et même iOS 17
Les mises à jour d’iOS se succèdent et Apple ne semble pas motivée pour corriger un vieux bug qui limite l’intérêt d’un VPN. Le constat est établi au moins depuis iOS 13 et la première version d’iOS 16 était elle aussi concernée, sans changement depuis. Comme les chercheurs en sécurité de Mysk le prouvent dans cette vidéo, plusieurs connexions initiées par Apple, notamment toutes celles qui concernent les notifications instantanées ainsi que dans l’app Plans, ignorent toujours le VPN configuré sur un appareil iOS.
C’était le cas avec iOS 16.5.1 lors de la réalisation de cette vidéo et iOS 16.6 sortie hier ne change rien à l’affaire. Même la bêta actuelle d’iOS 17 ne fait pas mieux et il semble bien qu’Apple ne compte pas corriger ce trou dans la raquette. En théorie, le VPN devrait servir pour toutes les connexions effectuées par un appareil, sans exception. Pourquoi Apple se réserve cet étrange passe-droit ? Le constructeur n’a jamais communiqué sur le sujet, alors on ne peut que spéculer.
Plus gênant encore, le mode isolement ajouté avec iOS 16 et qui est censé renforcer la sécurité des appareils iOS ne modifie pas ce comportement. Ce qui veut dire qu’un acteur malveillant pourrait toujours intercepter une partie des communications réalisées par un iPhone ou iPad, même si son utilisateur l’a activé et même s’il utilise un VPN.
Ça semble être plus un comportement souhaité (pas pour l'utilisateur) qu'un bug 😸
"les notifications instantanées ainsi que dans l’app Plans"
ouais, comme ça les espions sauront qu'il y a une mise à jour iOS ca va etre un gros avantage pour eux. L'app plan c'est plus embêtant, encore faudrait-il confirmer que le contenu serait en clair, ce qui m'etonnerait.
Bref, rasoir d'Occam : apple s'en fout, c'est dans la liste, en bas de la 5eme pile de bugs à corriger. Ya pas de plan caché (nan même pas, au moins on pourrait se dire qu'ils suivraient la question)
J'espère que vous plaisantez... Vous savez combien d'informations confidentielles passent dans toutes les notifications?
@foux
« …encore faudrait-il confirmer que le contenu serait en clair, ce qui m'etonnerait. »
C’est cela qui ne permettrait pas la plaisanterie :
Si ce n’était pas confirmé.
Une investigation plus poussée devrait prouver, qu’en sus de la connexion direct à Apple, Apple garderait le moyen de rendre le contenu interceptable 🥱 enfin, d’après ce que j’imagine improbable 🤨 si crypté de bout en bout.
@fleeBubl
oui je pars du principe que c’est crypté
sinon on est dans la giga grosse erreur, ce qui m’etonnerait vu qu’apple connait ce soucis depuis longtemps
@CostaDelSol
Les notifications sont du traffic ‘inbound’ donc pour la meilleure UX Apple a tout intérêt à passer par le chemin de réseau le plus court (en terme de hop). En terme de confidentialité ca n’a pas d’impact vu que la notification part d’Apple, qui par définition connaît son contenu et via un tunnel encrypté donc invisible pour les noeuds intermédiaires.
Le faire passer les notifications par le VPN choisit par l’utilisateur (qui est souvent un endpoint a l’autre bout de la terre pour regarder Netflix) n’aurait qu’un intérêt psychologique, au prix de ralentissement de la réactivité et de surcharge des serveurs d’Apple (qui doivent attendre le handcheck et le récépissé de la transaction avant de fermer le tunnel). On parle ici de douzaine de milliards de notification par jour.
Pour Apple Maps j’imagine que la raison doit être similaire, cette fois pour transmettre la localisation.
Bref c’est « branlette de geek paranoïaque » contre « sérieux challenge d’infrastructure ». Je pense qu’Apple finira par avoir le réseau distribué de data centers qui permettront de résoudre ça, mais ça va coûter bonbon.
cela permet d’identifier l’utilisateur , comme avec les identifiants publicitaires a ne jamais activé c’est pour identitée l’utilisateur même avec un vpn
Ce qui est sur l'iPhone reste sur l'iPhone = ce qui est pour nous reste chez nous.
* rire démoniaque *
Ce n’est pas du tout un bug, on en parle régulièrement depuis bien longtemps.
Et en quoi ça n'en fait pas un bug? C'est pas parce que c'est identifié et connu que ce n'est pas un bug.
C'est en tous cas absolument anormal, et comme d'habitude avec Apple, un énorme trou sur la confidentialité des données.
@foux
Attention, ici il s’agit d’un problème de sécurité potentiel. La sécurité et la confidentialité sont deux choses absolument distinctes. La faille de sécurité peut, dans certains cas, amener à des problèmes de confidentialité. Dans ce cas précis, aucune info de l’article n’indique un problème de confidentialité; à moins que vous ayez des informations supplémentaires ?
Ça permet à Macron d'allumer ton tel à distance et t'espionner 😏
@TheUMan
Mdr si c’était aussi facile, bien simplet de croire ça
C’est fait exprès pour la NSA 😏
@IRONMAN65
Sans rentrer dans le complotisme, c’est sûrement une raison du genre…
N’oublions pas qu’Apple est soumis aux lois américaines, même si in fine je préfère savoir les données chez eux que Google ou Facebook.
Choisissez votre poison.
Difficile de ne pas y voir une cohérence avec la multiplication des publicités au sein des logiciels inclus dans les ippareils.
La stratégie d’établissement de profiles publicitaires coûte que coûte de l’immense base d’utilisateurs des produits Apple est maintenant avéré. Même si selon elle cela reste sur ses serveurs, cet état de fait me pose problème étant donné le modèle économique « premium » actuel. Nous payons en plus d’être le produit ; l’évolution de cette marque est affligeant.
Il faut un VPN au niveau du routeur, utiliser sa propre connexion 4/5G à l’extérieur et ne jamais utiliser un Wifi public pour limiter autant que possible ces problèmes 😈
@R-APPLE-R
Oui mais, ayant un VPN, il y a souvent des services qui ne fonctionne pas quand celui ci est activé.
bug == feature ?
Dans le même genre: étant en Chine je n’ai pas accès à Twitter, Gmail, etc. sans VPN; par contre je reçois bien les notifications meme si celui ci n’est pas activé.
À mettre en relation avec les déclarations du dév de LittleSnitch : depuis quelques temps, Apple se réserve le droit de faire passer des services bas niveau sans filtrage possible. Moi, ça me choque.
Ca arrange le gouvernement US, ça arrange Apple, et de plus cela ne dissuadera personne ici de ne pas poser 1299 boules pour leurs prochains iPhone...
La seule différence dans le comportement entre les autres GAFAM et Apple, c'est.... euh rien... Ha si le prix, on trouve des Pixel 6A pour moins de 300, et des Pixel 7 pour moins de 500...
Tout d’abord, Apple doit corriger ce problème.
Ensuite je reviens sur le commentaire dans Plan, App qui nécessite normalement la géolocalisation pour fonctionner… Donc celui qui veut rester anonyme ne va pas se faire localiser….
Pour les notifications pushs, je pense que cela ne pourrait pas fonctionner dans certains cas: sur mes devices, pas de réseaux si VPN en mode veille. Mais si les notications passaient par le VPN, aucune chance de les recevoir…
La géolocalisation n'a aucune raison valable pour remonter la position géographique à Apple. L'iPhone, ou l'iPad, est doté d'un GPS dont les infos peuvent être traitées purement localement sur l'appareil.
Faute de réaction d’Apple, ce serait intéressant qu’un journaliste prenne contact avec un white hacker pour creuser ce que les informations qui ne passent pas par le VPN dévoilent réellement.
Et d’abord, identifier si elles sont cryptées ou non.
Si vraiment il y a des informations non anonymisées exploitables par Apple, on peut faire confiance aux publicitaires qui attaquent Apple pour ATT pour le mette en avant puisque ce serait une base technique montrant qu’ils ne s’appliquent pas les règles qu’ils imposent. Ce serait tellement gros, que personnellement, ça m’étonnerait.
@hptroll
Là je suis d’accord car si c’est rien de grave, que c’est chiffrés,…🤷♂️
L'un des soucis c'est que ce passe-droit que s'accorde Apple signifie que l'OS accepte que certains flux by-passent le VPN parametré par l'utilisateur.
A partir de là, des apps ou sites web mal intentionnés peuvent faire de même.
@r e m y
Ça dépend. Si seulement Apple autorise ces logiciels et que l’OS sait que c’est que pour eux, comment quelqu’un d’autre pourrait faire l’inverse ? Ou alors c’était déjà le cas avant 😉
@Krysten2001
Non quand tu crées une porte, même si elle est conçue pour ton seul usage, il y a toujours quelqu'un qui finit par trouver comment l'utiliser.
C'est bien le problème des backdoors que réclament certaines administrations. Une fois la porte creee, tu ne maitrises plus qui s'en sert.
@r e m y
Oui pas faux. Faut voir comment Apple a joué son coup pour ça 🤔