iOS
Il y a des trous dans la raquette des VPN sur iOS comme sur Android. Lors de l’activation d’un VPN, toutes les connexions web sont censées transiter dans le tunnel VPN. Mais ce n’est pas le cas depuis iOS 13, comme l’a découvert ProtonVPN en mars 2020, et ce qui a été confirmé l’été dernier dans iOS 15.6.
We confirm that iOS 16 does communicate with Apple services outside an active VPN tunnel. Worse, it leaks DNS requests. #Apple services that escape the VPN connection include Health, Maps, Wallet.
We used @ProtonVPN and #Wireshark. Details in the video:#CyberSecurity #Privacy pic.twitter.com/ReUmfa67ln
Et iOS 16 ne change rien à l’affaire, d’après la découverte des chercheurs en sécurité Tommy Mysk et Talal Haj Bakry. Plusieurs apps d’Apple continuent de contourner le tunnel VPN pour se connecter directement aux serveurs du constructeur, parmi lesquelles Fichiers, Localiser, Plans, les réglages, Cartes, l’app Apple Store, Santé et même l’innocent Clips. Parmi ces données, on trouve des requêtes DNS.
Encore plus étonnant, voire inquiétant, le nouveau mode Isolement qui limite drastiquement la surface d’attaque pour les malwares ne change rien à l’affaire. Pire, la « fuite » de données qui contourne les VPN est plus importante, les pushs des notifications transitent en dehors du tunnel.
Cela signifie que des organisations gouvernementales ou des fournisseurs d’accès sont potentiellement en mesure d’identifier un utilisateur d’iPhone en analysant ce trafic web. Malgré un mode Isolement qui devrait justement limiter ces risques (même si Apple n’a rien dit sur d’éventuels changements qui affecteraient l’usage des VPN dans ce mode).
On se console comme on peut, les deux chercheurs ont également établi qu’Android communiquait avec les services de Google en dehors d’une connexion VPN active. Ni Apple, ni Google ne se sont exprimés sur ce sujet, mais on peut avancer l’hypothèse qu’aucun des deux ne veut qu’un VPN malveillant puisse collecter des données de trafic web provenant de leurs apps.
De mon expérience les VPN sur smartphone ne sont pas fiables à 100%. En effet, j’ai eu des déconnexions non notifiées très régulièrement avec NordVPN et assez régulière avec ProtonVPN.
@Gravoche67
ProtonVPN s’améliore un peu dans la gestion des déconnexions, mais c pas encore ça.
Il y en a un qui mérite le détour c’est Mullvad.
@Chris K
Sûrement prometteur, mais manque une fonction essentielle, le Kill Switch et je ne vois aucune info concernant les protocoles employés.
@Gravoche67
Protocole WireGard (la version desktop propose d’autres protocoles). Le « killswitch » est automatique (s’appuie sur une fonction fournie par iOS).
@Chris K
As-tu un test à faire partager ?
@Gravoche67
Ah non, désolé. Suis tombé dessus par hasard quand me suis aperçu il y a quelque temps que ProtonVPN me bouffait la batterie.
En fait ce qui m’avait intrigué c’est le fait de pouvoir créer un compte sans fournir aucune info perso (pas d’adresse e-mail, pas de numéro de tel etc..).
J’ai trouvé le truc simple et efficace. Après c sans doute moins élaboré en options que ProtonVPN mais somme toute pas forcément moins fiable.
Bon j’ai aucune action dans Mullvad. J’aime bien ProtonVPN aussi 😁
Encore une nième affaire qui montre l’abus de pouvoir des géant de la tech sur les prioritaires des technologies : leurs clients.
On est en droit de faire ce qu’on veut avec nos produits. C’est totalement honteux et inadmissible qu’ils s’octroient les pouvoirs de décider de contourner un réglage su l’utilisateur aura choisit et d’en provoquer des failles de sécurité de la vie privée.
@JePiCol
Malheureusement vous avez tort.
Les appareils vous appartiennent, mais pas le logiciel qui les fait fonctionner.
Vous avez oublié qu’au premier démarrage d’un iPhone ou Mac, vous acceptez la license d’utilisation qui définit les règles d’utilisation d’iOS ou macOS. Vous êtes donc informés des le début des limites, sinon il vous suffit de les refuser…
@amonbophis
Bien sûr. C’est justement mon point. C’est ça l’abus de pouvoir.
@ JePiCol
On vous force à utiliser un iPhone ?
Non.
Il n’y a donc aucun abus de pouvoir.
Pouvez-vous exiger de Peugeot de vous fournir une voiture avec un moteur d’une autre marque ? Non. La loi vous interdit même de le faire vous même. Abus de pouvoir ?
Enfin, l’article donne même une raison probable : Peut-être qu’Apple ne veut pas qu’un VPN vérolé qui par sa nature verrait tout le traffic réseau passer puisse se servir dans vos données échangées avec Apple :
> on peut avancer l’hypothèse qu’aucun des deux ne veut qu’un VPN malveillant puisse collecter des données de trafic web provenant de leurs apps
@JePiCol
Je me demande si ce n’est pas pour des questions de sécurité. Je ne dis pas ça parce que le marketing d’Apple fonctionne sur moi, il est certainement très efficace.
Je pense à certaines fonctions sensibles du système qui pourraient être détournées vers des serveurs pirates qui simuleraient ceux d’Apple en passant par un vpn installé avec un logiciel malveillant. 🤔
Après, je n’y connais pas grand chose, mais je crois que certains logiciels sont piratés de cette manière.
@roccoyop
Pas besoin de VPN pour faire ça.
@ roccoyop
> Pas besoin de VPN pour faire ça
Et alors ? Oui il n’y a pas qu’une seule sorte de méchants potentiels.
L’important est qu’un VBN peut faire ça – aussi.
Y a un truc qui me chiffonne quand même à la lecture de cet article.
Lorsque par exemple j’ai un serveur VPN qui est à la ramasse, y a plus rien qui arrive sur mon device. Et notamment les notifications push dont il est fait mention.
Si je choisis alors un serveur VPN stable, paf tout remarche.
Je ne remets pas en cause les leaks démontrés mais y-a-t-il pour autant un contournement total ?
@Chris K
Es-tu sur NordVPN? Parce que, cela m’arrivait tout le temps avec celui ci.
@Gravoche67
Non. Ai quitté NordVPN depuis bien longtemps…
« Encore plus étonnant, voire inquiétant »
Je vois pas en quoi, la fiabilité des VPN est plus qu’aléatoire 🤷🏼♂️
Je fais bien plus confiance à Apple pour faire transiter ce genre de données qu’un VPN tiers
@cosmoboy34
L’inquiétude peut être que lorsque je suis sur un spot que je ne connais pas et à qui je ne fais pas confiance, malgré l’utilisation du VPN, des informations passent en clair sur le réseau et peuvent donc être intercepter.
@Ensearque
Quelles informations peuvent être récupérées ? A part savoir que vous communiquer avec Apple , on peut rien en tirer car tout est chiffré via un tunnel TLS donc on peut pas avoir le contenu
@cosmoboy34
Je suis de votre avis. Je suis surpris de tant de confiance dans des VPN tiers.
Toutes les données passant par des serveurs d’une entreprise dont on ignore la qualité en matière de sécurité des bases de données, et qui n’a pas autant à perdre en image que des grosses firmes comme Apple et Google si ils se font pirater leurs base de données.
@igen pourriez-vous nous proposer un banc d’essai sur les VPNs avec des valeurs sûres et des VPNs de niches comme Mullvad?
@Gravoche67
+1
Un test très complet en plusieurs épisodes.
Y compris pour des connexions à une entreprise distante (pour les TPE)
@Gravoche67
C’est compliqué… on peut avoir un aperçu du bordel que ça peut être : https://www.macg.co/services/2021/10/vpn-sans-surprise-certains-fournisseurs-se-payent-des-sites-de-comparatifs-124655
Donc en plus de tester l’aspect techniques (vitesse, stabilité, split tunneling, protocoles etc…), il faut chercher qui est derrière les fournisseurs de ces VPNs, sont-ils propriétaires de leurs serveurs ou simples locataires, de quelle(s) législation(s) dépendent-ils etc…
Après tout dépend de ce que tu entends par valeur sûre.
@Chris K
J’avais lu l’article et c’est vrai que c’est compliquer de trouvé des testes fiables. J’ai aussi remarqué que Google remonte uniquement les articles SEO et SEA.
@Gravoche67
J’ajoute, pour avoir un synthèse (en anglais) :
https://restoreprivacy.com/vpn/best/
https://restoreprivacy.com/vpn/best/reddit/
Pour info, lorsque les flux VPN utilisent le Per-App VPN ou On-Demand, avec certaines règles (dans le cas de profils VPN déployés par MDM), la télémétrie est également tunnelisée. C’est le cas par exemple pour le protocole IKEv2 avec le Always On VPN.
Typiquement, dans ce scénario, les flux APNS ne passent pas. On peut donc en conclure que cet article est valable pour les VPN « installés par app » (en général grand public), mais pas ceux « installés par profil de configuration MDM » (en général professionnels).
Vivant en Chine, je n’ai par exemple accès à aucun services Google sans VPN. Je reçois pourtant les notifications push de gmail (avec aperçu du message) même quand le vpn n’est pas activé (idem avec d’autres genres d’apps, comme par ex Reddit). C’est normal?
@ charlie105
> je n’ai par exemple accès à aucun services Google sans VPN. Je reçois pourtant les notifications push de gmail
Hypothèse :
– Il y a des trous dans la raquette des filtres chinois. (réception des notifications push)
– Le VPN fait son office dans les cas où les filtres chinois fonctionnent. (accès aux services Google en général)
CONNEXION UTILISATEUR
Le Club iGen c’est :
Soutenez le travail d’une rédaction indépendante. Rejoignez la plus grande communauté Apple francophone !
Rejoignez-nous !
Fièrement publié depuis 1999 par MacGeneration SARL.
Service de presse en ligne reconnu par la CPPAP sous le numéro 0127 W 94156. ISSN 1773-200X. Tous droits réservés.
Version 1.3. Réinitialiser réglages données privées .