Ceux qui utilisent une connexion VPN (Virtual Private Network) ont généralement une bonne raison pour cela. Le système d’exploitation mobile de Google, Android, semble toutefois acheminer les connexions au-delà du VPN dans certaines circonstances, même si cela a été explicitement interdit dans les options.
VPN Android : pas sécurisé malgré le blocus ?
Les connexions VPN offrent la possibilité d’établir virtuellement une connexion réseau privée (et donc protégée). Cela permet de protéger les données transmises ou de masquer l’identité en ligne.
Ceux qui décident d’utiliser un VPN le font pour une bonne raison. Sous Android, cependant, une connexion VPN est censée être contournée automatiquement dans certaines circonstances, même si cela vous a été explicitement interdit dans les paramètres.
C’est du moins ce que rapporte le fournisseur VPN commercial Mullvad sur son blog. Même si le paramètre « Bloquer les connexions sans VPN » est sélectionné, Android semble dans certaines circonstances une partie du trafic non filtrée via le VPN.
Mullvad l’a remarqué lors d’un audit non spécifié, ce qui soulève naturellement des problèmes de sécurité concernant la confidentialité. Le blog déclare :
« On comprend pourquoi le système Android veut envoyer ce trafic par défaut. Par exemple, s’il existe un portail captif sur le réseau, la connexion devient inutilisable jusqu’à ce que l’utilisateur s’y connecte.(…) Cela peut entraîner des problèmes de sécurité pour certains utilisateurs.
Problème de confidentialité pour Android ?
En fonction de la menace, cela pourrait entraîner un problème majeur de confidentialité pour Android. Dans Android IssueTracker, où les problèmes et les bugs du système d’exploitation peuvent être signalés, Mullvad a créé une entrée correspondante.
Là et sur le blog, ils demandent à Google d’introduire la possibilité de désactiver les contrôles de connexion sur Android d’origine, comme ils sont déjà proposés dans GrapheneOS.
Selon Google, aucun correctif n’est nécessaire, la fonctionnalité fonctionne exactement comme prévu (« comportement prévu »). Une telle fonctionnalité ne serait pas compréhensible pour la plupart des utilisateurs et il n’y aurait donc pas beaucoup de demande pour une telle fonctionnalité.
Mullvad demande maintenant au moins une mise à jour de la documentation pour cette raison « impact potentiel sur la vie privée des utilisateurs ». Cependant, Google n’a pas fait de commentaires supplémentaires à ce sujet.