Dans cet article, nous allons couvrir l’énorme faille de confidentialité d’iOS montrant que l’utilisation d’un VPN sur iPhone n’est pas sûre et présente 2 défauts majeurs qui en font un problème de sécurité.
Une grave vulnérabilité dans les applications iOS VPN a été découverte par un chercheur en sécurité en août, maintenant une nouvelle vulnérabilité a été révélée par un autre chercheur. Le premier problème était que le démarrage d’un programme VPN était censé mettre fin à toutes les connexions actives, mais ce n’est pas le cas. Deuxièmement, de nombreuses applications Apple, y compris Wallet et Health (toutes deux mentionnées ci-dessus), transportent des informations sensibles en dehors du tunnel VPN.
Une énorme faille de confidentialité iOS montre que les VPN ne fonctionnent pas comme ils le devraient
En règle générale, vos données sont d’abord acheminées vers votre FAI ou votre opérateur de téléphonie mobile lorsque vous vous connectez à un site Web ou à un autre serveur. Ils l’envoient ensuite au serveur distant. Cela vous met en danger contre les points d’accès Wi-Fi frauduleux et votre FAI peut savoir qui vous êtes et quels sites Web et services vous utilisez.
Au lieu de cela, un VPN transfère vos données vers un serveur sécurisé sous forme cryptée. Un opérateur de point d’accès, un FAI ou un opérateur ne peut pas accéder à vos données. Ils savent que vous utilisez un VPN uniquement à cause de cela. La comparaison typique est que c’est comme utiliser un tunnel secret pour connecter votre appareil et votre serveur VPN. De la même manière que votre adresse IP, votre emplacement ou d’autres informations personnellement identifiables ne sont pas accessibles aux sites Web ou aux services que vous naviguez, votre trafic semble provenir du serveur VPN.
Défaut 1 : Ne pas fermer les connexions existantes
Lorsqu’un programme VPN est activé, il doit mettre fin instantanément à toutes les connexions de données actuellement actives (non sécurisées) avant de les rétablir dans le “tunnel” sécurisé. Tout service VPN doit inclure cela comme fonctionnalité de base. Michael Horowitz a découvert qu’iOS ne permet pas aux applications VPN de mettre fin à toutes les connexions non sécurisées actuellement actives, ce qui signifie que non seulement cela ne s’est pas produit de manière cohérente.
Défaut 2 : de nombreuses applications Apple sont exclues
Tommy Myskun développeur et chercheur en sécurité, était curieux et a mené ses propres expériences, en examinant quelles adresses IP étaient contactées lorsqu’un VPN était activé et a découvert que de nombreuses applications Apple standard ignoraient le tunnel VPN et se connectaient directement aux serveurs Apple.
Nous confirmons qu’iOS 16 communique avec les services Apple en dehors d’un tunnel VPN actif. Pire, il fuit les requêtes DNS. Les services #Apple qui échappent à la connexion VPN incluent la santé, les cartes, le portefeuille.
En conséquence, les FAI et les pirates utilisant des points d’accès Wi-Fi factices simples à créer pour mener des attaques de type “man-in-the-middle” sont en mesure d’intercepter toutes les données transférées vers ou depuis ces sites. Les applications suivantes ont publié des données :
- Apple Store
- Clips
- Des dossiers
- Trouver mon
- Santé
- Plans
- Réglages
- Porte monnaie
Il est évident que la majorité ou la totalité des données traitées par ces applications peuvent contenir des informations incroyablement sensibles, allant des problèmes de santé aux cartes de paiement. Vous pouvez voir son expérience enregistrant les adresses IP auxquelles l’iPhone a accédé ici :
Nous confirmons qu’iOS 16 communique avec les services Apple en dehors d’un tunnel VPN actif. Pire, il fuit les requêtes DNS. #Pomme les services qui échappent à la connexion VPN incluent la santé, les cartes, le portefeuille.
Nous avons utilisé @ProtonVPN et #Wireshark. Détails dans la vidéo :#La cyber-sécurité #Intimité pic.twitter.com/ReUmfa67ln— Mysk
(@mysk_co) 12 octobre 2022
Android fonctionne de la même manière qu’iOS lors de l’utilisation des services Google, selon Mysk.
Je sais ce que vous vous demandez et la réponse est OUI. Android communique avec les services Google en dehors d’une connexion VPN active, même avec les options “Toujours activé” et “Bloquer les connexions sans VPN”. J’ai utilisé un téléphone Pixel sous Android 13.
Nous espérons que vous avez apprécié cet article sur les énormes failles de confidentialité d’iOS qui montrent que l’utilisation d’un VPN sur iPhone n’est pas sûre. Si vous l’avez fait, nous sommes sûrs que vous apprécierez également la lecture de certains de nos autres articles, tels que Apple ProRAW expliqué : Comment prendre des photos ProRAW sur iPhone, ou iOS 16 : Comment envoyer des mémos vocaux sur iPhone.
Source: Une énorme faille de confidentialité iOS montre que l’utilisation d’un VPN sur iPhone n’est pas sûre
