Mac et Apple

Une vulnérabilité dans iOS 13.3.1 empêche les VPN de crypter tout le trafic

L'utilisation d'un réseau privé virtuel (VPN) est la voie à suivre pour beaucoup de gens dans la nature, mais il s'avère qu'un bogue iOS 13.3.1 et provoque plus tard des maux de tête.

Le bug a été signalé pour la première fois par Ordinateur Bleeping, après avoir été découvert par ProtonVPN. Selon la découverte, la vulnérabilité est présente dans iOS 13.3.1 et versions ultérieures, et elle empêche les VPN de crypter tout le trafic. Cela signifie que certaines connexions Internet peuvent contourner le chiffrement et donc potentiellement exposer les adresses IP et les données utilisateur.

Sur la base des informations fournies, les versions iOS impactées par ce bogue ne mettent pas fin à toutes les connexions existantes lorsque l'appareil se connecte via le VPN. Cela leur permet de se reconnecter aux serveurs de destination une fois le VPN correctement établi. Cela signifie également que ce bogue n'affecte que les connexions existantes et n'affecte pas les connexions établies après la connexion du VPN.

Une vulnérabilité de sécurité actuellement non corrigée affectant iOS 13.3.1 ou version ultérieure empêche le réseau privé virtuel (VPN) de crypter tout le trafic et peut conduire à certaines connexions Internet contournant le cryptage VPN pour exposer les données des utilisateurs ou divulguer leurs adresses IP.

Bien que les connexions établies après la connexion à un VPN sur votre appareil iOS ne soient pas affectées par ce bogue, toutes les connexions précédemment établies resteront en dehors du tunnel sécurisé du VPN comme l'a révélé ProtonVPN.

Le problème est exacerbé par le fait qu'iOS ne permet pas aux applications VPN de tuer les connexions existantes. Cela signifie qu'en fin de compte, Apple devra corriger ce problème directement afin que les utilisateurs VPN puissent recommencer à utiliser leur service aussi régulièrement qu'avant. Pour ce que cela vaut, Apple est conscient du problème et explore des options pour le réduire dans un avenir proche.

Mais il y a de bonnes nouvelles car il existe une solution temporaire:

Jusqu'à ce qu'un correctif soit fourni, Apple recommande d'utiliser Always-on VPN pour atténuer ce problème. Cependant, comme cette solution de contournement utilise la gestion des appareils, elle ne peut pas être utilisée pour atténuer la vulnérabilité des applications VPN tierces telles que ProtonVPN.

ProtonVPN recommande la procédure suivante si vous utilisez un VPN tiers:

  1. Connectez-vous à un serveur VPN.
  2. Activez le mode avion. Cela tuera toutes les connexions Internet et déconnectera temporairement le VPN.
  3. Désactivez le mode avion. Le VPN se reconnectera et vos autres connexions devraient également se reconnecter à l'intérieur du tunnel VPN (non fiable à 100%)

Ce n'est donc pas la meilleure nouvelle pour les utilisateurs de VPN, mais au moins un correctif temporaire est en place, et Apple espère trouver quelque chose de mieux bientôt.