Dans iOS 16, certaines apps d'Apple continuent de contourner les VPN

Il y a des trous dans la raquette des VPN sur iOS comme sur Android. Lors de l'activation d'un VPN, toutes les connexions web sont censées transiter dans le tunnel VPN. Mais ce n'est pas le cas depuis iOS 13, comme l'a découvert ProtonVPN en mars 2020, et ce qui a été confirmé l'été dernier dans iOS 15.6.

We confirm that iOS 16 does communicate with Apple services outside an active VPN tunnel. Worse, it leaks DNS requests. #Apple services that escape the VPN connection include Health, Maps, Wallet.
We used @ProtonVPN and #Wireshark. Details in the video:#CyberSecurity #Privacy pic.twitter.com/ReUmfa67ln

— Mysk 🇨🇦🇩🇪 (@mysk_co) October 12, 2022

Et iOS 16 ne change rien à l'affaire, d'après la découverte des chercheurs en sécurité Tommy Mysk et Talal Haj Bakry. Plusieurs apps d'Apple continuent de contourner le tunnel VPN pour se connecter directement aux serveurs du constructeur, parmi lesquelles Fichiers, Localiser, Plans, les réglages, Cartes, l'app Apple Store, Santé et même l'innocent Clips. Parmi ces données, on trouve des requêtes DNS.

Encore plus étonnant, voire inquiétant, le nouveau mode Isolement qui limite drastiquement la surface d'attaque pour les malwares ne change rien à l'affaire. Pire, la « fuite » de données qui contourne les VPN est plus importante, les pushs des notifications transitent en dehors du tunnel.

Cela signifie que des organisations gouvernementales ou des fournisseurs d'accès sont potentiellement en mesure d'identifier un utilisateur d'iPhone en analysant ce trafic web. Malgré un mode Isolement qui devrait justement limiter ces risques (même si Apple n'a rien dit sur d'éventuels changements qui affecteraient l'usage des VPN dans ce mode).

On se console comme on peut, les deux chercheurs ont également établi qu'Android communiquait avec les services de Google en dehors d'une connexion VPN active. Ni Apple, ni Google ne se sont exprimés sur ce sujet, mais on peut avancer l'hypothèse qu'aucun des deux ne veut qu'un VPN malveillant puisse collecter des données de trafic web provenant de leurs apps.