Une faille découverte en mars 2020 par ProtonVPN empêcherait toujours les VPN de crypter l’ensemble du trafic sur iOS.
L’affaire ne date pas d’hier. En mars 2020, la société ProtonVPN découvrait une vulnérabilité sur iOS. Et pas des moindres puisque, même avec un VPN, le système d’exploitation ne fermait pas toutes les connexions, laissant potentiellement fuiter certaines informations. Deux ans ont passé et pourtant, ladite faille n’a toujours pas été corrigée.
C’est du moins ce qu’avance Michael Horowitz, un consultant indépendant en informatique. Il écrit : « une inspection détaillée des données quittant l'appareil iOS montre que le tunnel VPN fuit. Les données quittent l'appareil iOS en dehors du tunnel VPN (…) J'ai confirmé cela en utilisant plusieurs types de VPN et des logiciels de plusieurs fournisseurs de VPN. La dernière version d'iOS que j'ai testée est la 15.6. Cette fuite de données a été publiée pour la première fois par ProtonVPN en mars 2020 et iOS v13. »
D’autres failles corrigées
ProtonVPN avait bien trouver une parade pour contourner le problème. Il suffisait d'activer le mode avion après avoir mis en route le VPN. Ce qui avait pour effet de couper les connexions restées ouvertes. Mais ce petit tour de passe-passe ne fonctionne plus sur les dernières versions du système d’exploitation d'après Michael Horowitz.
Le chercheur assure avoir contacté Apple et la Cybersecurity and Infrastructure Security Agency (CISA), pour les alerter. Sans succès. En conséquence de quoi, il suggère : « d'établir la connexion VPN à l'aide d'un logiciel client VPN dans un routeur, plutôt que sur un appareil iOS. »
Apple n'est pourtant pas inactif lorsqu'il s'agit de sécuriser ses systèmes d'exploitation. La marque à la pomme a par exemple publié plusieurs mises à jour de sécurité mercredi 17 août. La firme a corrigé deux failles « zero day » activement exploitées, CVE-2022-32893 et CVE-2022-32894. La première est une vulnérabilité d'écriture dans WebKit, le moteur de navigateur Web utilisé par Safari. Elle permettait à un attaquant d'exécuter du code arbitraire à distance via internet. La seconde donnait la possibilité à un tiers d’exécuter du code malveillant sur les appareils. Et ce avec les privilèges du noyau du système d’exploitation, soit le niveau de privilège le plus élevé. L’entreprise a invité ses utilisateurs à procéder aux dernières mises à jour de leurs appareils.