Le mode de tunneling fractionné est temporairement indisponible pendant que les programmeurs examinent le problème
Paume faciale : ExpressVPN, un service VPN qui fournit une connexion Internet sécurisée avec une garantie de remboursement de 30 jours, présentait depuis deux ans un bug dans la version Windows de son logiciel qui pourrait être exploité pour divulguer les domaines visités par les clients.
Le 19 mai 2022, ExpressVPN a publié la version 12.23.1 de son logiciel Windows, nécessaire pour accéder au service VPN bien connu de l’entreprise. Cette version a introduit un bug qui permettait à certaines requêtes DNS de rester « non protégées » lorsque la fonctionnalité de tunneling fractionné était active. En réponse, les développeurs ont choisi de désactiver temporairement le split tunneling.
Le site officiel d’ExpressVPN explique que le tunnelage fractionné permet aux clients d’acheminer le trafic de certains appareils ou applications via le tunnel VPN crypté tout en permettant à d’autres appareils ou applications d’accéder directement à Internet. Cette fonctionnalité peut être utile dans des scénarios spécifiques où le trafic Internet crypté peut empêcher l’accès correct aux services locaux. De plus, il peut fournir des performances de téléchargement améliorées ou un accès sans entrave aux appareils connectés au réseau local (LAN).
ExpressVPN prend en charge deux modes de tunneling fractionné : le tunneling fractionné normal et le tunneling fractionné « inverse ». Avec le logiciel buggé, l’utilisation du tunneling inverse entraînait une fuite des requêtes DNS des utilisateurs vers des serveurs tiers. Au lieu de passer par les serveurs d’ExpressVPN, les demandes de résolution de domaine transitaient par la connexion Internet habituelle, permettant potentiellement à des entités externes (généralement le FAI gérant les serveurs DNS) de détecter l’activité de navigation des utilisateurs.
Le bug, reconnu par ExpressVPN, a été découvert par « l’expert VPN » et rédacteur de CNET, Attila Tomaschek. C’était un peu embarrassant pour une entreprise qui promet un service VPN sécurisé qui « fonctionne tout simplement ». Bien qu’elle ait affecté moins d’un pour cent de la base d’utilisateurs Windows, la société a décidé de désactiver l’intégralité de la fonctionnalité de tunneling fractionné afin de minimiser les risques potentiels en cours.
La dernière version d’ExpressVPN pour Windows ne fournit plus les options de tunneling fractionné et les utilisateurs sont encouragés à l’installer dès que possible pour des raisons de sécurité. Les utilisateurs de l’ancienne version 10, ainsi que les clients disposant d’autres plateformes informatiques, ne sont pas concernés par le bug.
Les programmeurs d’ExpressVPN travaillent avec diligence pour corriger la faille de sécurité de la version 12, comme l’indique la société. Une fois que les ingénieurs sont convaincus que le problème DNS a été résolu, le tunneling fractionné doit être rétabli dans une version mise à jour.