Votre adresse IP pourrait être divulguée. Tout de suite.
Android 16 a un problème, et ce n’est pas un petit problème. Un ingénieur en sécurité basé à Zurich a publié un article sur lowlevel.fun, détaillant une vulnérabilité dans laquelle les applications peuvent ignorer complètement vos paramètres VPN. Les données vont directement aux serveurs Web, sans masque. Pas de cryptage. Pas de cachette.
Le chercheur l’a signalé à Google via son programme de récompense de vulnérabilité. Vous connaissez le principe, trouvez un bug, soyez payé. L’équipe de sécurité de Google a examiné les journaux et fermé le ticket.
Leur réponse ? Il est « impossible » de le réparer.
Ils ont dit que ce n’était pas une priorité suffisamment élevée. Le chercheur n’a pas répondu aux demandes de commentaires, nous devons donc le croire sur parole pour le reste.
Google a tenté de calmer les nerfs dans un e-mail adressé à CNET.
“Ce problème affecte uniquement les appareils sur lesquels une application malveillante est installée.”
C’est juste un point. Si vous n’avez pas de mauvaises applications, vous n’avez pas de fuite. Mais cela dépend du fait que Google Play Protect détecte tout instantanément. Par définition, ce n’est pas possible. De nouvelles menaces existent avant même d’être connues. Il y a une fenêtre de temps. Un dangereux.
Prenons du recul une seconde. Qu’est-ce qu’un VPN ?
C’est un logiciel qui brouille votre trafic et cache votre véritable adresse IP. Vous voulez de l’intimité ? Vous voulez avoir l’air d’être dans un autre pays ? Voilà comment.
Ce bug touche le service système ConnectivityManager dans Android 16. Ce service indique aux serveurs Web lorsqu’une connexion est complètement terminée. Simple, non ? Faux. Cette poignée de main finale contourne entièrement le tunnel VPN. Votre véritable adresse IP est inscrite sur ce paquet. Peu importe où se trouve le serveur. Cela montre qui vous êtes vraiment.
Type de VPN ? Non pertinent.
Paramètres de cryptage ? Contourné.
Autorisations ? Inutile ici.
Il ne s’agit pas d’une configuration faible. C’est un angle mort structurel.
Voici le kicker. Vous pouvez activer “VPN toujours actif”. Vous pouvez activer “Bloquer les connexions sans VPN.” Ces fonctionnalités promettent aucune activité non sécurisée. Ce sont les lourdes serrures de votre porte d’entrée numérique. Ce bug trouve de toute façon un moyen de sortir par la fenêtre.
C’est terrifiant pour les personnes qui ont réellement besoin d’intimité. Journalistes. Militants. Les personnes soumises à des régimes restrictifs. Les décors leur mentent. La connexion est active, mais la protection est creuse.
Y a-t-il des preuves que quelqu’un a déjà utilisé cela comme une arme ?
Non, rien dans la nature. Encore.
Mais le laisser ouvert ne le fait pas disparaître. Les utilisateurs d’Android 16 sont des cibles faciles à moins qu’ils ne bougent.
GrapheneOS l’a corrigé.
Cela prouve que le bug est réparable. Si Google disait que c’était impossible, GrapheneOS leur a prouvé le contraire avec une mise à jour du code. Si votre vie privée compte plus pour vous que d’avoir une ROM vanille, Mullvad suggère de changer.
Il existe une autre voie. C’est compliqué. Cela nécessite un confort technologique.
L’ingénieur de sécurité a trouvé une commande de débogage qui désactive le comportement défectueux. Cela fonctionne lorsque le débogage USB est activé. Vous pouvez télécharger Android Debug Bridge et l’exécuter vous-même.
Mais ne soyez pas stupide. Ne touchez ces paramètres que si vous savez exactement ce que fait l’arrêt des fonctionnalités en mode débogage.
Sinon, vous attendez que Google change d’avis sur la « priorité ». Ou attendre que quelqu’un exploite la fuite.
