Pourquoi est-ce important: Les réseaux privés virtuels (VPN) sont depuis longtemps une application vitale pour des millions de personnes chaque jour, leur permettant, ainsi qu’à leurs données, de rester à l’abri des cybermenaces ou attaques potentielles. Malheureusement, un fournisseur de VPN suédois populaire a révélé que les utilisateurs d’Android pourraient ne pas être aussi protégés que nous le pensions.
Dans les paramètres d’Android, les utilisateurs peuvent sélectionner “VPN toujours actif”, qui est censé restreindre toute connexion à l’appareil sans VPN actif. Cette fonctionnalité est utile pour les consommateurs Android qui accordent la priorité à leur vie privée, en particulier ceux qui stockent ou transfèrent des données sensibles avec leurs appareils.
Un VPN crée un “tunnel” virtuel entre deux points sur Internet à travers lequel les données cryptées peuvent voyager en privé sans être interceptées. Une analogie serait de faire rouler une balle de ping-pong sur une table vers une autre personne. N’importe quel tiers pourrait saisir la balle, en faire ce qu’il veut, puis l’envoyer à sa destination d’origine. Cependant, si vous faites rouler la balle dans un tube, elle sera beaucoup plus difficile à intercepter. Les données transitent par les VPN de la même manière, il est donc difficile de saisir les informations. Étant donné que le paquet de données est crypté, la source et la destination sont également masquées.
Malheureusement, un fournisseur de VPN suédois nommé Mullvad rapporte que le VPN Always-on n’est pas entièrement travail comme prévu et présente un défaut notable. Le problème est qu’Android envoie occasionnellement une “vérification de connectivité” pour trouver des serveurs à proximité fournissant une connexion. Les contrôles de connectivité contiennent des données vitales sur les appareils, telles que les adresses IP, le trafic HTTPS et les recherches DNS. Rien de tout cela n’est crypté car il ne passe pas par le tunnel VPN, ce qui signifie que toute personne interceptant une vérification de connectivité pourrait voir des informations concernant l’appareil, même avec le VPN Always-on activé.
Mullvad a demandé à Google de modifier la description de cette fonctionnalité ou de corriger la faille d’Android. Selon VPNoverview, Google n’a pas tardé à répondre aux préoccupations de Mullvad.
“Nous avons examiné la demande de fonctionnalité que vous avez signalée et souhaitons vous informer que cela fonctionne comme prévu”, a déclaré un ingénieur de Google. “Nous ne pensons pas qu’une telle option serait compréhensible par la plupart des utilisateurs, nous ne pensons donc pas qu’il y ait de bonnes raisons de l’offrir.”
La réponse est quelque peu préoccupante, car la société confirme qu’elle n’a aucun plan pour corriger cette faille. Bien que Mullvad pense qu’il s’agit d’une préoccupation notable, il ne pense pas que la plupart des utilisateurs devraient la considérer comme un risque important.
“[Any] une tentative de désanonymisation nécessiterait un acteur assez sophistiqué”, a déclaré le spécialiste du VPN.
Il n’existe actuellement aucun moyen pour les fournisseurs de VPN de mettre à jour leurs applications pour contourner cette faille, car elle est intégrée au système d’exploitation Android et ne peut pas être désactivée. De plus, Google n’ayant pas l’intention de modifier l’option Always-on VPN signifie que cela ne changera probablement pas. Par conséquent, les utilisateurs plus prudents peuvent soit vivre avec le problème, soit trouver un meilleur moyen de sécuriser leurs données.