Deux vulnérabilités découvertes dans les applications Linux de PureVPN compromettent la confidentialité et la sécurité des utilisateurs et utilisatrices. Le service reconnaît les problèmes et promet un correctif dans les prochaines semaines.
Si PureVPN promet de protéger la vie privée de ses abonnés quel que soit leur système, les utilisateurs et utilisatrices de Linux viennent en pratique de découvrir qu’ils n’étaient pas logés à la même enseigne. Le chercheur indépendant Anagogistis a mis le doigt sur deux failles sérieuses dans les clients VPN pour Ubuntu, touchant à la fois la gestion du trafic IPv6 et à celle du pare-feu. Le fournisseur a confirmé l’existence du problème et assure qu’un patch arrivera d’ici quelques semaines. Pour un service qui se revendique axé sur la confidentialité, l’affaire fait désordre.
Kill switch largué, fuites d’IP et pare-feu déréglé
Les deux vulnérabilités ont été observées sous Ubuntu 24.04.3 LTS avec les clients PureVPN pour Linux (GUI v2.10.0 et CLI v2.0.1). Dans le détail, la première (CVE-2025-59691) touche à la gestion du trafic IPv6 et se manifeste lors d’une transition réseau, par exemple quand on passe du Wi-Fi à une connexion filaire ou qu’on sort l’ordinateur de veille.
Normalement, dans ce type de situation, le kill switch doit couper la connexion Internet du PC, le temps que le tunnel VPN soit rétabli. Or, dans ce cas précis, il n’agit que sur le protocole IPv4 et échoue à prendre en charge IPv6. Par conséquent, si l’appareil se voit attribuer une adresse IPv6, le système établit une nouvelle route par défaut via la box de l’abonné, dont l’IP réelle redevient accessible aux sites web compatibles IPv6.
La seconde faille (CVE-2025-59692) concerne cette fois le pare-feu. Lors de la connexion au réseau privé virtuel, PureVPN modifie les règles iptables existantes, change la politique de gestion du trafic par défaut et purge toutes les règles personnalisées, qu’elles aient été définies manuellement ou à l’aide d’outils comme UFW ou Docker. À la déconnexion, ces réglages ne sont pas rétablis, et la machine conserve un état différent de celui configuré initialement, parfois moins bien protégée.
Un correctif annoncé pour le mois prochain
Dans un avis de sécurité publié le 19 septembre, PureVPN a reconnu les deux problèmes et confirmé qu’ils étaient strictement limités aux clients Linux. Un correctif est en cours de développement et devrait être déployé mi-octobre pour renforcer le kill switch, en bloquant l’IPv6 lors des transitions réseau, et réviser la gestion du pare-feu grâce à des snapshots et une restauration des règles d’origine plutôt qu’un écrasement brut. En parallèle, l’entreprise a annoncé la mise en place d’un processus plus carré de divulgation des vulnérabilités, avec accusé de réception garanti en 24 heures et adresse de contact dédiée.
En attendant, le fournisseur conseille à ses abonnés de désactiver IPv6 au niveau du système pour forcer les connexions IPv4 et de restaurer manuellement les règles du pare-feu après chaque déconnexion. Des solutions de dépannage utiles dans l’immédiat, mais loin de l’expérience clé en main promise. Demander aux utilisateurs et utilisatrices de bricoler eux-mêmes leur réseau pour compenser la gestion défaillante d’IPv6 ou du pare-feu, c’est non seulement pénible, mais c’est aussi le genre de compromis qui risque d’esquinter la confiance dans un service censé gérer ces aspects de A à Z.
D’autant que ce n’est pas la première fois que PureVPN se retrouve épinglé concernant des questions de confidentialité. En 2017 déjà, le service avait été vivement critiqué pour avoir transmis des données au FBI dans le cadre d’une enquête criminelle, alors même qu’il affirmait pratiquer une politique à 100 % no log. Dans les faits, ses serveurs enregistraient tout de même les horaires de connexion, ce qui avait permis aux autorités de remonter jusqu’à l’identité réelle d’un internaute.
Sources : Anagogistis, PureVPN
