Sur iOS, les applications VPN font fuiter des données, ce qui va à l'encontre même de leur fonctionnement. La découverte de Michael Horowitz, un consultant indépendant en informatique, s'appuie sur celle de ProtonVPN : dès mars 2020, le service détaillait une vulnérabilité dans iOS 13, qui n'a toujours pas fait l'objet d'un correctif.
iOS ne sécurise pas les connexions existantes quand on active un VPN
Le problème est toujours le même : le système d'exploitation ne ferme pas toutes les connexions existantes au moment de lancer un VPN, alors que l'OS devrait lui laisser la main. Résultat : des connexions demeurent actives, notamment celles qui permettent de recevoir des notifications. Apple maintient la connexion entre l'iPhone et ses serveurs de push, afin de limiter la pression sur la batterie.
Si l'intention est louable, il n'empêche que cette connexion n'est pas sécurisée par le VPN. ProtonVPN recommandait à l'époque d'activer le mode avion juste après l'activation du VPN, une opération qui coupe net toutes les connexions ouvertes. Selon Horowitz, cette bidouille ne sert plus à rien.
Le consultant a été en contact avec Apple ces derniers mois concernant cette brèche, sans réaction probante pour le moment. Peut-être que le regain de communication autour du problème « aidera » le constructeur à se bouger les fesses s'y intéresser sérieusement.
Source : Vignette : Dan Nelson, Unsplash
