ExpressVPN a supprimé la fonctionnalité de split tunneling de la dernière version de son logiciel après avoir constaté qu’un bogue exposait les domaines visités par les utilisateurs aux serveurs DNS configurés.
Le bogue a été introduit dans les versions Windows ExpressVPN 12.23.1 – 12.72.0, publiées entre le 19 mai 2022 et le mois de février. 7, 2024, et n’affectait que ceux utilisant la fonction de tunneling fractionné.
La fonctionnalité de tunneling fractionné permet aux utilisateurs d’acheminer sélectivement une partie du trafic Internet dans et hors du tunnel VPN, offrant une flexibilité à ceux qui ont besoin à la fois d’un accès local et d’un accès distant sécurisé simultanément.
Un bogue dans cette fonctionnalité a fait que les requêtes DNS des utilisateurs n’étaient pas dirigées vers l’infrastructure d’ExpressVPN, comme elles le devraient, mais vers le fournisseur d’accès Internet (FAI) de l’utilisateur.
Habituellement, toutes les requêtes DNS sont effectuées via le serveur DNS sans journal d’ExpressVPN pour empêcher les FAI et autres organisations de suivre les domaines visités par un utilisateur.
Cependant, ce bogue a entraîné l’envoi de certaines requêtes DNS au serveur DNS configuré sur l’ordinateur, généralement un serveur du FAI de l’utilisateur, permettant au serveur de suivre les habitudes de navigation d’un utilisateur.
Avoir une fuite de requête DNS comme celle divulguée par ExpressVPN signifie que les utilisateurs de Windows avec un split tunneling actif exposent potentiellement leur historique de navigation à des tiers, brisant une promesse fondamentale des produits VPN.
« Lorsqu’un utilisateur est connecté à ExpressVPN, ses requêtes DNS sont censées être envoyées à un serveur ExpressVPN », explique l’annonce du fournisseur.
« Mais le bogue a permis à certaines de ces demandes d’aller à la place vers un serveur tiers, qui dans la plupart des cas serait le fournisseur de services Internet ou le FAI de l’utilisateur. »
« Cela permet au FAI de voir quels domaines sont visités par cet utilisateur, tels que google.com, bien que le FAI ne puisse toujours pas voir de pages Web individuelles, de recherches ou d’autres comportements en ligne. »
« Tous les contenus du trafic en ligne de l’utilisateur restent cryptés et non visibles par le FAI ou tout autre tiers. »
Le problème a été découvert et signalé au fournisseur par Attila Tomaschek de CNET et ne se produit que lorsque le mode split tunneling est actif.
ExpressVPN dit que le problème n’a touché qu’environ 1% de ses utilisateurs Windows, et l’entreprise n’a pu reproduire le bogue qu’en mode de tunneling fractionné « Autoriser uniquement les applications sélectionnées à utiliser le VPN ».
Les utilisateurs des versions 12.23.1 à 12.72.0 d’ExpressVPN sous Windows doivent mettre à niveau leur client vers la dernière version, 12.73.0.
La dernière version supprime la fonctionnalité de tunneling fractionné. Cependant, ExpressVPN dit qu’ils le réintroduiront dans une prochaine version lorsque le bogue sera corrigé.
Si la mise à niveau est impossible, la désactivation du split tunneling devrait suffire à empêcher les fuites de requêtes DNS, car le bogue ne pouvait être répliqué dans aucun autre mode.
Si vous avez absolument besoin d’utiliser le split tunneling, ExpressVPN recommande de télécharger et d’utiliser la version 10, qui n’est pas affectée par le bogue.