iOS 16 et la vie privée, ça fait deux : c’est la conclusion d’une enquête réalisée par un expert en cybersécurité canadien, qui pointe du doigt la fuite d’information qui intervient sur un iPhone lors de l’utilisation d’un VPN. Un problème également rencontré avec Android.
Aujourd’hui, des millions de personnes à travers le monde utilisent un VPN pour chiffrer et anonymiser complètement leur connexion à Internet, via un réseau Wi-Fi ou un réseau 4G/5G. Cette démarche est censée protéger complètement la vie privée de l’utilisateur. Cependant, ça n’est pas toujours le cas : c’est ce que pointe du doigt Tommy Mysk, un chercheur en sécurité canadien qui s’est penché sur le cas d’iOS 16.
iOS 16 d’Apple est une vraie passoire en matière de confidentialité
L’expert en cybersécurité a utilisé l’application iOS de ProtonVPN, un service professionnel de VPN sur abonnement, pour tester la manière dont un iPhone sous iOS 16 gère la situation. En théorie, le terminal est censé couper toute communication avec les serveurs autres que ceux du VPN par lesquels la communication transite. Mais en pratique, ce n’est pas le cas.
Dans une vidéo publiée sur son compte Twitter, Tommy Mysk révèle que malgré la connexion via ProtonVPN, iOS 16 continue d’envoyer tranquillement des informations en dehors de la connexion sécurisée. Et pas n’importe quelles informations, puisque l’on parle notamment de données de santé liées à l’application Apple Health, mais aussi des données de localisation associées à Apple Plans ou encore des données de paiement Apple Wallet.
We confirm that iOS 16 does communicate with Apple services outside an active VPN tunnel. Worse, it leaks DNS requests. #Apple services that escape the VPN connection include Health, Maps, Wallet.
— Mysk 🇨🇦🇩🇪 (@mysk_co) October 12, 2022
We used @ProtonVPN and #Wireshark. Details in the video:#CyberSecurity #Privacy pic.twitter.com/ReUmfa67ln
Ici, le fournisseur d’accès VPN n’est pas en cause : c’est Apple qui ne joue pas le jeu. Il s’avère de l’entreprise n’autorise pas les applications VPN à couper toutes les connexions non sécurisées existantes au moment où le VPN est activé par l’utilisateur. De nombreuses applications d’Apple sont concernées par cette situation : Apple Store, Clips, Documents, Find My, Health, Plans, Paramètres et Wallet.
Android et les VPN, ce n’est pas mieux qu’Apple
Si le comportement d’Apple sur le sujet s’avère potentiellement dangereux pour la vie privée, il est à noter que Google ne fait pas mieux avec Android. Intrigué par la situation, Tommy Mysk a réalisé des tests similaires avec un smartphone Google Pixel sous Android 13. « Je sais ce que vous vous demandez, et la réponse est OUI », explique-t-il à nos confrères de 9to5mac. « Android communique aussi avec les services de Google même lorsqu’une connexion VPN est active, y compris quand les options « Toujours activé » et « Bloquer les connexions sans VPN » sont cochées. »
L’expert en sécurité va même plus loin, en estimant qu’Apple et Google opèrent ainsi de manière intentionnelle. Lorsque 9to5mac lui demande si Apple pourrait agir ainsi par crainte de voir les performances réseaux restreintes, Tommy Mysk estime que cette situation ne s’avère pas problématique pour les entreprises, d’autant plus que certaines données, comme les notifications push, sont parfaitement capables de transiter par un VPN.
Cela est donc susceptible de remettre en question l’intérêt d’utiliser un VPN pour protéger ses données personnelles lors de l’utilisation d’un smartphone. Certes, tout le monde n’a pas accès aux informations pour autant, mais le simple fait qu’Apple (ou Google) puissent en disposer va totalement à l’encontre du principe du VPN. Il ne reste plus qu’à attendre une éventuelle réaction des entreprises en question.