Mullvad va bientôt proposer une option plus stricte pour contraindre le trafic des applications à passer par le tunnel VPN. Une décision nécessaire pour renforcer la confidentialité sur iPhone, mais qui oblige l’éditeur suédois à composer avec un bug iOS qu’Apple ne semble pas décidée à corriger.
Mullvad a fini par trancher. Sur iPhone, le fournisseur va bientôt durcir le comportement de son VPN pour mieux contenir le trafic des applications dans le tunnel. Une évolution logique pour un service qui n’a jamais traité les questions de confidentialité à la légère, mais qui se heurte depuis plus d’un an à un bug côté iOS, toujours non corrigé malgré des signalements répétés. L’éditeur dit aujourd’hui ne plus vouloir attendre et préfère prendre les devants, quitte à imposer quelques manipulations au moment des mises à jour, plutôt que de continuer à composer avec un fonctionnement qu’il juge insuffisant sur le plan de la sécurité.
Sur iOS, l’option censée mieux protéger le trafic finit par bloquer le réseau
Le problème en question relève d’un comportement intrinsèque à iOS, quand une appli VPN cherche à forcer le trafic des applications à passer dans le tunnel sécurisé. Dans les faits, Apple propose bien une option faite pour, nommée includeAllNetworks et intégrée au framework NetworkExtension, mais son activation fait aussi dérailler le système de mise à jour du client VPN distribué sur l’App Store.
Résultat, au moment d’actualiser l’application via la boutique d’Apple, iOS bloque la pile réseau de l’appareil, force l’utilisateur ou l’utilisatrice à redémarrer son smartphone, relance la mise à jour du client Mullvad, bloque à nouveau la pile réseau, et cela, sans fin.
Un mal pour un bien
Plus d’un an après ses premiers signalements, Mullvad n’a toujours rien vu bouger côté Apple et a finalement choisi de sacrifier le confort au profit de la sécurité. La prochaine version de son application iOS embarquera ainsi une nouvelle fonction, baptisée « Force all apps », qui activera includeAllNetworks pour contenir tout risque de fuites de trafic en dehors du tunnel, quitte à dégrader l’expérience utilisateur au moment des mises à jour.
Au moment d’installer une mise à jour, il faudra donc choisir son inconvénient. Soit déconnecter le VPN pendant l’opération, en sachant que l’application ne se reconnectera pas automatiquement une fois l’update terminée, soit temporairement désactiver « Force all apps » avant de télécharger la mise à jour, ce qui permettra au client de redémarrer seul à l’issue du processus, mais imposera de réactiver l’option à la main.
Dans les deux cas, Mullvad prévient qu’une partie du trafic fuira pendant la mise à jour et ne voit toujours pas de moyen propre d’écarter ce risque. En l’absence de solution technique de son côté, le fournisseur compte aussi sur la pression exercée auprès d’Apple, y compris par les utilisateurs et utilisatrices directement touchés.
- storage600 serveurs
- language50 pays couverts
- lan5 connexions simultanées
- moodEssai gratuit 14 jours
- thumb_upAvantage : le plus rapide
Mullvad demeure l’un des VPN les plus sérieux du marché dès qu’il est question de confidentialité. Le service mise sur une approche rare, avec compte anonyme, tarif unique, code open source, audits réguliers et un vrai travail sur ses briques techniques, de DAITA à GotaTun. L’ensemble inspire confiance et conserve de bonnes performances globales, avec un excellent niveau de cohérence sur la sécurité. En contrepartie, Mullvad reste plus austère que la plupart des grands VPN grand public, avec une interface peu souple, un réseau plus limité et un confort d’usage moins travaillé sur certains usages.
- Excellente approche de la confidentialité
- Pas de compte utilisateur classique
- Transparence et audits réguliers
- DAITA, GotaTun et protection post-quantique
- Interface peu flexible au quotidien
- Réseau plus limité que celui des grands concurrents
- Garantie de remboursement plus courte que la moyenne
« includeAllNetworks » est un réglage du framework NetworkExtension qui demande à iOS d’acheminer le trafic réseau via le tunnel VPN de façon plus exhaustive. L’idée est de réduire les « sorties » réseau qui pourraient échapper au VPN dans certains scénarios (services système, routes particulières, changements d’interface). Ce n’est pas un simple interrupteur d’interface : il modifie la manière dont iOS applique les règles de routage et d’isolation du trafic au niveau du système. En pratique, c’est l’un des mécanismes les plus stricts disponibles sur iPhone pour limiter les fuites de trafic hors VPN.
Qu’appelle-t-on une « fuite de trafic » (traffic leak) avec un VPN sur smartphone ?Une fuite de trafic survient quand une partie des connexions sort sur Internet en dehors du tunnel chiffré du VPN, même si l’utilisateur pense être protégé. Cela peut exposer l’adresse IP réelle, les requêtes DNS, ou simplement révéler qu’un service a été contacté sans passer par le VPN. Les causes typiques incluent des règles de routage incomplètes, des transitions réseau (Wi‑Fi/4G), ou des exceptions imposées par le système. Sur mobile, ces fuites sont particulièrement sensibles car beaucoup d’apps maintiennent des connexions en arrière-plan et réagissent aux changements d’état du réseau.
Pourquoi un bug iOS peut-il bloquer la « pile réseau » lors d’une mise à jour d’une app VPN ?La pile réseau désigne l’ensemble des composants système qui gèrent interfaces, sockets, routage et résolution de noms. Si iOS applique un mode VPN très contraignant au moment où l’app est mise à jour (installation/relance, remplacement de binaire, redémarrage d’extensions), il peut se retrouver dans un état incohérent où le réseau ne se réinitialise pas correctement. Résultat : plus de connectivité jusqu’à un redémarrage, car certains services réseau ne se relancent pas proprement. Ce type de dysfonctionnement est difficile à contourner côté éditeur, car il dépend du cycle de mise à jour contrôlé par l’App Store et des mécanismes système de NetworkExtension.
