Depuis plus d’un an, Mullvad signale discrètement à Apple un bug qui compromet la protection offerte par son VPN sur iPhone. Fatigué d’attendre comme il l’explique sur son blog, le fournisseur suédois a décidé d’agir seul, quitte à imposer à ses utilisateurs une contrainte supplémentaire à chaque mise à jour.
Le cœur du problème réside dans une option du cadre système d’Apple, appelée includeAllNetworks. Activée, elle oblige la totalité du trafic réseau à transiter par le tunnel chiffré du VPN. Si ce tunnel tombe, plus rien ne passe : un coupe-circuit radical, ce qui est – en théorie – idéal pour qui cherche à ne laisser aucune donnée fuiter.
Le problème, c’est qu’Apple a introduit un bug dans ce mécanisme : quand l’App Store tente de mettre à jour l’application Mullvad, iOS coupe le tunnel existant. Comme includeAllNetworks bloque tout trafic hors tunnel, la mise à jour ne peut donc pas non plus se télécharger : l’iPhone perd sa connexion et le système recommence indéfiniment, ce qui laisse l’utilisateur bloqué.
Face à cette impasse, Mullvad avait jusqu’ici fait le choix de ne pas activer l’option en estimant que la perturbation causée était pire que le bénéfice espéré. Sauf que cette prudence avait un prix : en laissant includeAllNetworks désactivée, le VPN restait exposé aux attaques dites LocalNet où un réseau Wi-Fi malveillant se fait passer pour un point d’accès de confiance afin d’intercepter le trafic qui s’échappe du tunnel.
Un choix assumé, un confort sacrifié
La prochaine version de l’application iOS inclura donc une option baptisée “Force all apps” qui activera includeAllNetworks et colmatera la brèche. En contrepartie, chaque mise à jour de l’application Mullvad nécessitera une intervention manuelle : soit déconnecter le VPN le temps de l’opération, soit désactiver temporairement l’option puis la réactiver. Dans les deux cas, pendant quelques secondes ou quelques minutes, le trafic de l’iPhone ne sera plus protégé.
Mullvad assume pleinement ce compromis. L’équipe a indiqué sur son blog qu’elle préférait “offrir la meilleure sécurité possible, même avec des limitations majeures en termes d’expérience”, plutôt que de continuer à attendre un correctif qui ne vient pas. Cette position est totalement cohérente avec l’identité du fournisseur dont la politique de confidentialité ultra-stricte lui a valu d’être… interdit de publicité au Royaume-Uni.
Un autre VPN parmi les meilleurs en 2026, ProtonVPN, avait déjà documenté des failles similaires sur iOS. Ce que ces incidents révèlent est plus structurel : le cadre NetworkExtension empêche les développeurs tiers de contrôler le routage réseau sur iPhone alors que cette liberté est accessible sur Android (ou sur ordinateur). Apple veut rester maître de son infrastructure et les services de confidentialité se heurtent à ses limites même quand Apple lui-même ne les corrige pas.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
