Un bug iOS permet à vos données de contourner le tunnel VPN. Mullvad a décidé de le corriger lui-même, quitte à compliquer la vie de ses utilisateurs.
Sur iPhone, un VPN est censé faire transiter l’intégralité du trafic par un tunnel chiffré. Dans les faits, iOS laisse certaines données passer à côté. Mullvad, fournisseur suédois réputé pour sa politique de confidentialité stricte, documente le problème depuis mars 2025 et a signalé le bug à Apple. Plus d’un an après, aucun correctif n’est venu. Le fournisseur vient d’annoncer qu’il prend les choses en main.
Pourquoi iOS laisse fuiter du trafic en dehors du VPN
Le cadre technique d’Apple, NetworkExtension, propose une option appelée includeAllNetworks. Activée, elle force chaque octet de trafic à passer par le tunnel VPN. Si le tunnel tombe, le trafic s’arrête. C’est en théorie le coupe-circuit idéal pour les utilisateurs soucieux de leur vie privée.
Le problème, c’est que cette option déclenche une réaction en chaîne au moment des mises à jour. Quand l’App Store tente de mettre à jour l’application Mullvad, iOS coupe le tunnel VPN existant. Puisque includeAllNetworks bloque tout trafic hors tunnel, la mise à jour ne peut pas se télécharger. L’iPhone perd sa connexion. Le système relance la tentative, échoue à nouveau, et l’utilisateur se retrouve bloqué dans une boucle sans accès réseau.
Mullvad avait jusqu’ici refusé d’activer cette option pour éviter ce scénario. Le fournisseur considérait le remède pire que le mal. Sauf que la fuite de données, elle, restait ouverte. Les attaques dites LocalNet, où un réseau Wi-Fi piégé imite un point d’accès de confiance, exploitent précisément cette brèche pour intercepter le trafic.
Sécurité ou confort : Mullvad oblige ses utilisateurs à choisir
La prochaine version de l’application iOS embarquera une nouvelle option baptisée « Force all apps ». Elle activera includeAllNetworks, mais demandera une intervention manuelle à chaque mise à jour. Première option : déconnecter le VPN le temps de l’installation. Seconde : désactiver temporairement « Force all apps » puis la réactiver à la main.
Mullvad assume le compromis. « Nous ne voulons plus attendre. Nous préférons offrir la meilleure sécurité possible, même avec des limitations majeures en termes d’expérience », écrit l’équipe sur son blog. Le bug qui empêche le tunnel de fonctionner correctement avec includeAllNetworks n’est toujours pas corrigé côté Apple.
D’autres fournisseurs VPN, comme ProtonVPN, ont documenté des failles similaires sur iOS par le passé. La plateforme d’Apple pose un problème structurel aux services de confidentialité. Le cadre NetworkExtension empêche les développeurs tiers de contrôler finement le routage réseau, contrairement à ce qui est possible sur Android ou sur ordinateur.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
Mullvad