iOS 13 est concerné par un bug de contournement de VPN

Un bug non patché dans la dernière version du système d’exploitation iOS d’Apple empêche les applications de réseau privé virtuel (VPN) de masquer certaines données privées transmises entre un appareil et les serveurs auxquels elles demandent des données. Bien que le bug ne soit pas corrigé, Apple suggère des mesures que les utilisateurs peuvent prendre pour réduire les risques, affirment les chercheurs.

Le bug, décrit dans un rapport de ProtonVPN, a un impact sur la dernière version iOS 13.4 d’Apple. La faille est liée à la façon dont le logiciel de sécurité VPN se charge sur les appareils iOS. Après le lancement, le logiciel VPN est censé mettre fin à tout le trafic Internet et rétablit les connexions sous forme chiffrée et protégée. Les chercheurs ont déclaré que la faille de contournement VPN d’Apple dans iOS ne met pas fin à toutes les connexions existantes et laisse une quantité limitée de données non protégées, telles que l’adresse IP d’un appareil. Ces données sont exposées pendant une fenêtre de temps limitée.

«La plupart des connexions sont de courte durée et seront finalement rétablies via le tunnel VPN par elles-mêmes. Cependant, certaines sont de longue durée et peuvent rester ouvertes pendant des minutes ou des heures en dehors du tunnel VPN », ont expliqué les chercheurs dans une analyse technique de la faille.

faille iOS donnée

Le bug reste non corrigé à un moment critique où beaucoup utilisent des VPN pour des restrictions de travail à domicile et de séjour à la maison imposées en raison de la pandémie du Covid-19.

“Un pirate pourrait voir l’adresse IP des utilisateurs et l’adresse IP des serveurs auxquels ils se connectent”, selon l’article. «De plus, le serveur auquel vous vous connectez pourrait voir votre véritable adresse IP plutôt que celle du serveur VPN.»

Selon des chercheurs, Apple a déclaré que les utilisateurs pouvaient activer Always-on VPN pour atténuer le problème, une méthode qui nécessite l’utilisation de la gestion des appareils, selon un article de la société américaine. Cela signifie que cela n’atténue pas le problème pour les VPN de parti-tiers que les gens pourraient utiliser avec leurs appareils, selon les chercheurs.

Pour être clair, l’impact de la faille est limité. Les applications iOS doivent utiliser App Transport Security qui protège les données transmises via HTTPS. Cela dit, les chercheurs avertissent que la plus grande menace de cette faille de contournement VPN est potentiellement de révéler l’adresse IP d’un appareil. Ces données, associées à l’utilisation d’Internet, peuvent permettre à un parti-tiers de collecter des métadonnées d’utilisateur.

ios

Les chercheurs ont ajouté que la faille peut également avoir un impact imprévisible sur d’autres communications avec un appareil iOS. “Un exemple frappant est le service de notification push d’Apple, qui maintient une connexion de longue durée entre l’appareil et les serveurs d’Apple. Mais le problème pourrait affecter n’importe quelle application ou service, comme les applications de messagerie instantanée ou les balises Web », ont écrit les chercheurs.

En règle générale, Proton attendrait 90 jours avant de révéler une faille dans un logiciel tiers via son programme de divulgation responsable. Cependant, les chercheurs de Proton ont jugé prudent de faire une exception dans ce cas et d’alerter leurs propres utilisateurs de cette vulnérabilité.

Apple a distribuer plusieurs patchs récemment

Apple a déjà publié cette semaine une multitude de correctifs dans une mise à jour de sécurité pour ses systèmes iOS et macOS ainsi que pour son navigateur Safari, watchOS, tvOS et iTunes. Cependant, un correctif pour la faille de contournement VPN n’en faisait pas partie, bien que la société ait réparé une faille sérieuse dans WebKit pour iOS et Safari qui pourrait permettre l’exécution de code à distance.

Comment se protéger de cette faille d’iOS?

ProtonVPN a offert quelques conseils pratiques pour atténuer la vulnérabilité de contournement du VPN sur iOS alors qu’elle n’est pas corrigée.

Une option pour les utilisateurs consiste à se connecter à leur application VPN de parti-tiers, activer le mode avion pour supprimer toutes les connexions Internet et déconnecter temporairement le VPN, puis le désactiver à nouveau. Cela devrait permettre à la reconnexion VPN ainsi qu’à d’autres connexions de se renouveler via le tunnel VPN, selon l’article.

Cependant, les chercheurs de ProtonVPN ont reconnu qu’ils ne pouvaient pas garantir cela à 100%».

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x