sam. Nov 26th, 2022

L’utilisation d’un VPN sur Android n’est pas aussi sécurisée que vous pourriez le penser. Selon les experts, une tentative de désanonymisation est clairement possible.

L’installation d’un VPN sur votre Android devrait protéger tout le trafic sortant. C’est du moins ce que promettent les fournisseurs de VPN. Mais le système Android suggère également un certain niveau de sécurité à l’utilisateur.

Au cours d’une analyse de sécurité détaillée d’une application VPN bien connue, les chercheurs en sécurité ont découvert qu’Android n’envoie pas tout le trafic de données via le tunnel VPN sécurisé. La faute n’est pas avec le VPN installé. Le système d’exploitation Android de Google n’est tout simplement pas conçu pour la sécurité et la confidentialité.

VPN sur Android : Un faux sentiment de sécurité ?

Peu importe le VPN que vous utilisez sur Android. Le système d’exploitation Android n’envoie pas tout le trafic via un tunnel sécurisé. Les chercheurs en sécurité de Mullvad ont récemment pris conscience de cette vulnérabilité.

Ils ont constaté que les téléphones Android n’envoient pas de trafic via le tunnel crypté pour vérifier la connectivité, même lorsqu’un VPN est actif sur Android. L’activation de l’option système « Bloquer les connexions sans VPN » ne change rien à cela. Les experts de Mullvad sont convaincus que cette option système donne à l’utilisateur du téléphone mobile un faux sentiment de sécurité.

Parce que quiconque contrôle le « serveur de contrôle de connexion » ou observe et analyse le trafic réseau de notre téléphone portable peut accéder à des données précieuses telles que notre véritable adresse IP.

Voir aussi  Uber : un chauffeur de 18 ans piraté

Les experts en sécurité préviennent : «Même si le contenu du message ne révèle pas plus que « un appareil Android est connecté », les métadonnées (y compris l’adresse IP source) peuvent être utilisées pour obtenir plus d’informations.« 

Une tentative de désanonymisation est clairement possible

Clairement, un VPN sur Android a toujours une raison d’exister. Les experts de Mullvad soulignent : «Cependant, comme une telle tentative de désanonymisation nécessiterait un attaquant assez sophistiqué, la plupart de nos utilisateurs ne considéreront probablement pas cela comme un risque important.« Mais tous ceux qui utilisent un VPN sur leur téléphone Android ont différentes raisons de le faire.

Si vous voulez être sûr qu’aucune donnée ne quitte le téléphone en dehors du tunnel VPN, vous devez soit installer un système d’exploitation alternatif (GrapheneOS), soit désactiver manuellement la vérification de la connexion Android.

VPN sur Android : tout fonctionne comme prévu pour Google

VPN sur Android - Mullvad fait des suggestions d'amélioration
VPN sur Android – Mullvad fait des suggestions d’amélioration

Confronté au « trou de sécurité » de Mullvad, Google a réagi avec une rapidité inhabituelle. Après seulement trois jours, les experts en sécurité ont été informés que tout fonctionnait comme prévu à leurs yeux. Google ne voit donc aucune raison de renommer l’option système « Bloquer les connexions sans VPN.

Cependant, Google admet également qu’il y a plus de données qui ne sont pas envoyées via un tunnel VPN.

Les contrôles de connectivité sont loin d’être la seule chose exemptée du VPN.

Les applications privilégiées peuvent également contourner le VPN. Ce qui dans de nombreux cas est même nécessaire à leur fonctionnement. Un exemple est le trafic IWLAN ou tethering.

Google

De plus, Google constate que Mullvad peut signaler le « problème » dans l’application VPN si nécessaire. Une proposition de solution correspondante peut être apportée aux utilisateurs de VPN sur Android au sein de l’application respective.

VPN sur Android - Google propose une solution
VPN sur Android – Google propose une solution

Une ROM personnalisée spéciale n’est pas nécessaire pour cela, selon Google. Cette fonction peut être désactivée à tout moment via le shell ADB avec « adb shell settings put global captive_portal_mode 0 ». Pour réactiver la vérification de la connectivité, tapez simplement « adb shell settings delete global captive_portal_mode ».

Voir aussi  Optus Hacker cède et s'excuse