Il est possible d’utiliser un VPN sur son iPhone ou iPad afin de mieux protéger sa vie privée, mais iOS ne parvient pas à acheminer tout le trafic Internet vers le tunnel sécurisé. Et si l’on en croit un chercheur en sécurité, Apple est au courant depuis des années maintenant.

VPN iPhone

Une mauvaise gestion des VPN sur iOS

Michael Horowitz explique qu’après avoir testé plusieurs VPN sur des appareils iOS, la plupart d’entre eux semblent fonctionner correctement au début, délivrant à l’appareil une nouvelle adresse IP et de nouveaux serveurs DNS, et envoyant des données au serveur VPN. Cependant, au fil du temps, le tunnel VPN laisse échapper des données.

En général, lorsqu’un utilisateur se connecte à un VPN, le système d’exploitation ferme toutes les connexions Internet existantes, puis les rétablit à travers le tunnel sécurisé. Ce n’est pas ce qu’a observé le chercheur dans ses enregistrements avancés. Au contraire, les sessions et les connexions établies avant l’activation du VPN ne sont pas interrompues comme on pourrait s’y attendre et peuvent toujours envoyer des données en dehors du tunnel pendant qu’il est actif, les laissant potentiellement non chiffrées et exposées aux fournisseurs d’accès à Internet et à d’autres groupes.

Proton avait déjà signalé un problème similaire en mars 2020. Le groupe parlait d’une vulnérabilité présente dans iOS 13.3.1 en lien avec les VPN et qui était toujours d’actualité. Apple avait indiqué qu’il ajouterait la fonctionnalité Kill Switch (c’est-à-dire le fait de stopper tout le trafic Internet si le VPN est déconnecté) à une future mise à jour logicielle. Mais nous sommes deux ans plus tard et le Kill Switch n’est toujours pas là.

Lors des tests, Michael Horowitz a noté que l’appareil iOS continue à faire des demandes en dehors du tunnel chiffré du VPN aux services d’Apple et d’Amazon Web Services (AWS).

Une solution temporaire pour avoir le comportement attendu est d’activer le VPN sur son iPhone ou iPad, puis activer et désactiver le mode avion. Cela forcera le rétablissement de tout le trafic Internet via le VPN. Mais le chercheur et Proton notent que cette méthode n’est pas fiable à 100%.