LES DOSSIERS DE L'INFORMATICIEN

L'actu cybersécurité avec L'INFO-CR

Fil d'actualité introuvable
Cybersécurité

VPN : une faille vieille de deux ans toujours ouverte sur iOS

Une faille découverte en mars 2020 par ProtonVPN empêcherait toujours les VPN de crypter l’ensemble du trafic sur iOS.

L’affaire ne date pas d’hier. En mars 2020, la société ProtonVPN découvrait une vulnérabilité sur iOS. Et pas des moindres puisque, même avec un VPN, le système d’exploitation ne fermait pas toutes les connexions, laissant potentiellement fuiter certaines informations. Deux ans ont passé et pourtant, ladite faille n’a toujours pas été corrigée.

C’est du moins ce qu’avance Michael Horowitz, un consultant indépendant en informatique. Il écrit : « une inspection détaillée des données quittant l'appareil iOS montre que le tunnel VPN fuit. Les données quittent l'appareil iOS en dehors du tunnel VPN (…) J'ai confirmé cela en utilisant plusieurs types de VPN et des logiciels de plusieurs fournisseurs de VPN. La dernière version d'iOS que j'ai testée est la 15.6. Cette fuite de données a été publiée pour la première fois par ProtonVPN en mars 2020 et iOS v13. »

D’autres failles corrigées

ProtonVPN avait bien trouver une parade pour contourner le problème. Il suffisait d'activer le mode avion après avoir mis en route le VPN. Ce qui avait pour effet de couper les connexions restées ouvertes. Mais ce petit tour de passe-passe ne fonctionne plus sur les dernières versions du système d’exploitation d'après Michael Horowitz. 

Le chercheur assure avoir contacté Apple et la Cybersecurity and Infrastructure Security Agency (CISA), pour les alerter. Sans succès. En conséquence de quoi, il suggère : « d'établir la connexion VPN à l'aide d'un logiciel client VPN dans un routeur, plutôt que sur un appareil iOS. »

Apple n'est pourtant pas inactif lorsqu'il s'agit de sécuriser ses systèmes d'exploitation. La marque à la pomme a par exemple publié plusieurs mises à jour de sécurité mercredi 17 août. La firme a corrigé deux failles « zero day » activement exploitées, CVE-2022-32893 et CVE-2022-32894. La première est une vulnérabilité d'écriture dans WebKit, le moteur de navigateur Web utilisé par Safari. Elle permettait à un attaquant d'exécuter du code arbitraire à distance via internet. La seconde donnait la possibilité à un tiers d’exécuter du code malveillant sur les appareils. Et ce avec les privilèges du noyau du système d’exploitation, soit le niveau de privilège le plus élevé. L’entreprise a invité ses utilisateurs à procéder aux dernières mises à jour de leurs appareils.

La quotidienne de l'Informaticien

Abonnez-vous gratuitement 😊

 

Mon panier

 x 

Panier Vide

Notre préférence

Copyright © 2024 L'INFORMATICIEN
- L1FO par l'Informaticien -
Tous droits réservés L'Informaticien
Le magazine L'Informaticien et le site linformaticien.com sont édités par la société PC Presse
Contacts :
  • 88, boulevard de la Villette, 75019 PARIS - FRANCE
  • Tél. +33 1 74 70 16 30
  • Rédaction : [email protected]
  • Abonnements : [email protected]
  • Directeur de la publication : Gaël Chervet
  • Rédacteur en Chef : Bertrand Garé
  • Chef de rubrique : Guillaume Périssat
  • Partenariats / Publicité : Stéphane Larcher /
    +33 1 74 70 16 30 / [email protected]
  • Chef de studio : Franck Soulier
  • L'INFOCYBERRISQUES est édité par PC PRESSE SA au capital de 130.000 euros, 443 043 369 RCS PARIS
Une société du Groupe Ficade
Powered by Mediamatis