Faille critique sur Android : votre trafic Internet en danger à cause d’un bug VPN

Une faille importante affecte actuellement les VPN sous Android, exposant potentiellement les données de navigation des utilisateurs. Cette vulnérabilité suscite des inquiétudes autour de la confidentialité en ligne et pousse à la vigilance sur l’usage des réseaux privés virtuels.

Un défaut inquiétant dans la protection VPN d’Android 16

Le monde de la cybersécurité s’agite autour d’une nouvelle vulnérabilité découverte sur Android 16. En cause : une faille qui permet à certaines applications de contourner la protection des tunnels VPN, exposant ainsi la véritable adresse IP des utilisateurs.

Ce souci technique touche même les fonctionnalités avancées telles que Always-On VPN et le célèbre « kill switch » intégré au système d’exploitation, censés justement empêcher toute fuite accidentelle de données.

Un risque généralisé pour la confidentialité

Ce n’est pas un simple défaut isolé. Selon Mullvad VPN, acteur suédois reconnu pour son engagement envers la vie privée, toutes les meilleures applications VPN sont affectées, sans exception. La particularité de cette brèche réside dans sa capacité à déjouer les mécanismes pourtant réputés infaillibles d’Android. Les experts de Mullvad précisent que même si l’utilisateur active les protections maximales du système, certaines applications malveillantes peuvent exploiter une fonction du service Connectivity Manager pour transmettre du trafic hors tunnel sécurisé. Résultat : votre véritable IP pourrait être révélée à des serveurs externes à votre insu.

À ce jour, seul l’OS alternatif axé sur la confidentialité, GrapheneOS, a déjà déployé un correctif efficace. Notons que le problème est structurel : il relève du cœur même du système Android et ne se limite donc pas à une application particulière.

La réponse de Google et ses limites

Face à l’alerte lancée par Mullvad, l’équipe sécurité d’Android aurait choisi de classer le dossier comme « Won’t Fix (Infeasible) ».

Un deuxième signalement a été soumis via le bug tracker officiel de Google, mais celui-ci reste pour l’instant inaccessible au public. Cette inertie suscite l’inquiétude parmi les utilisateurs soucieux de protéger leur anonymat sur des réseaux publics ou dans des contextes sensibles.

Astuces pour limiter les risques sur Android 16

Pour ceux qui souhaitent malgré tout se prémunir contre cette faille, Mullvad VPN propose une solution temporaire plutôt technique :

• Activer le mode développeur et le débogage USB.
• Lancer une commande ADB spécifique pour désactiver la fonctionnalité problématique liée au protocole QUIC.
• Redémarrer l’appareil après modification.

Attention toutefois : chaque mise à jour d’Android risque d’annuler ce correctif manuel — il faudra donc réappliquer la procédure régulièrement. Par ailleurs, rester vigilant quant aux applications installées demeure essentiel ; privilégier uniquement celles en qui vous avez pleinement confiance reste encore la meilleure défense contre d’éventuelles fuites involontaires.