Un chercheur en sécurité a découvert des défauts du client Linux de PureVPN qui pourraient exposer les véritables adresses IP des utilisateurs et affaiblir les protections de pare-feu.

Selon PureVPN, les défauts sont limités à son Linux GUI V2.10.0 et Linux CLI V.2.0.1. D'autres plates-formes, dont Windows, MacOS, Android et iOS, ne sont pas affectées.

PureVPN, qui a été inclus dans certains des meilleurs guides VPN, a promis que des patchs résolvent le problème d'ici la mi-octobre.

Comment la fuite a-t-elle été découverte?

Le chercheur Anagogistis a rapporté le 17 septembre via leur blog que l'application Linux de PureVPN avait divulgué le trafic IPv6 dans certaines conditions et réinitialise les règles de pare-feu sans les restaurer par la suite – le problème a été découvert fin août pour la première fois.

Selon Anagogistis, les tests sur Ubuntu 24.04.3 avec le noyau 6.8 ont montré que le client n'avait pas bloqué les connexions IPv6, ce qui signifie que l'IP réelle d'un utilisateur pourrait passer même lorsqu'il est connecté au VPN.

De plus, l'application a écrasé les règles de pare-feu existantes lors du lancement, mais ne les a pas remis une fois déconnectées. Cela laissait les systèmes affectés moins protégés qu'avant la connexion au VPN.

Anagogistis a publié deux vidéos sur YouTube démontrant les vulnérabilités en action.

Purevpn CLI ipv6 fuite – YouTube
Purevpn CLI ipv6 fuite - YouTube

Surveiller

Pourquoi les fuites IPv6 sont un problème

L'objectif principal d'un VPN est de masquer votre adresse IP et de conserver le trafic. Si le trafic IPv6 contourne le tunnel, les sites Web et les services en ligne peuvent toujours voir votre véritable emplacement. Pour les utilisateurs soucieux de la confidentialité, cela bat le point d'utiliser un VPN en premier lieu.

IPv6 est le nouveau système d'adressage Internet conçu pour remplacer IPv4, et de nombreux réseaux prennent désormais en charge les deux. Bien que les configurations IPv4 soient courantes, les fuites IPv6 sont plus difficiles à remarquer pour les utilisateurs quotidiens, car les connexions se replient souvent en silence. Cela rend ce type de défaut particulièrement dangereux, car quelqu'un peut croire qu'ils sont entièrement protégés lorsqu'ils ne le sont pas.

Le problème du pare-feu aggrave le risque. En affaiblissant les défenses du système, un VPN destiné à ajouter une protection pourrait involontairement laisser des dispositifs exposés après une utilisation. Pour les utilisateurs de Linux qui s'appuient sur des règles de pare-feu strictes pour gérer le trafic (que ce soit pour le torrent, le travail distant ou la sécurité du serveur), c'est un revers sérieux.

Comment PureVPN a-t-il répondu aux fuites IPv6?

PureVPN a publiquement reconnu les problèmes de conseil en matière de sécurité le 19 septembre. La société a remercié le chercheur pour la divulgation responsable et a exposé son calendrier pour les correctifs.

Un correctif est prévu pour la sortie d'ici la mi-octobre 2025, avec des clients Linux mis à jour qui:

  • Bloquer correctement le trafic IPv6 ou ajouter un commutateur IPv6 Kill.
  • Assurez-vous que les règles du pare-feu sont restaurées après la déconnexion.
  • Améliorer les tests pour éviter des problèmes similaires à l'avenir.


PureVPN sur un écran d'ordinateur portable

En attendant, PureVPN recommande des solutions de contournement telles que la désactivation de l'IPv6 manuellement, réappliquez les règles de pare-feu après la déconnexion ou forcer les connexions IPv4 uniquement.

Les fuites VPN ne sont pas nouvelles. Au fil des ans, les chercheurs ont découvert des fuites DNS, des fuites IPv6 et d'autres défauts de plusieurs fournisseurs. Les tests indépendants vérifient souvent ces problèmes, c'est pourquoi les services qui annoncent des fonctionnalités comme la «protection des fuites» et un commutateur de mise à mort fiable sont considérés comme plus fiables.

Les utilisateurs de Linux sont confrontés à des défis uniques car les applications VPN sont souvent conçues avec Windows et MacOS à l'esprit. L'intégration du pare-feu en particulier peut varier considérablement, et tous les fournisseurs ne testent pas soigneusement les distributions Linux. Cette affaire souligne l'importance à la fois de la transparence des VPN et de l'examen continu de la communauté de la sécurité.

Que faire si vous êtes touché par les fuites

Si vous utilisez PureVPN sur Linux, vérifiez votre version client. Si vous êtes sur les constructions affectées, considérez les étapes suivantes jusqu'à ce qu'un correctif soit libéré:

  • Désactivez IPv6 au niveau du système pour empêcher le trafic de contourner le tunnel.
  • Restaurez manuellement vos règles de pare-feu après la déconnexion du VPN.
  • Utilisez des connexions IPv4 uniquement dans la mesure du possible.
  • Testez votre configuration avec un outil de fuite IP en ligne pour confirmer que votre VPN fonctionne comme prévu.
  • Envisagez de passer temporairement à une autre application PureVPN ou un fournisseur différent si vous dépendez fortement de la sécurité Linux.
  • Surveillez la mise à jour du client de PureVPN en octobre et installez-la dès qu'elle sera disponible.

PureVPN affirme que ses correctifs aborderont à la fois le comportement de fuite IPv6 et de pare-feu, et la société s'est engagée à renforcer son processus de divulgation pour gérer plus efficacement les rapports futurs.


Clause de non-responsabilité

Nous testons et examinons les services VPN dans le contexte des utilisations récréatives légales. Par exemple: 1. Accès à un service à partir d'un autre pays (sous réserve des termes et conditions de ce service). 2. Protéger votre sécurité en ligne et renforcer votre confidentialité en ligne à l'étranger. Nous ne soutenons ni tolérant l'utilisation illégale ou malveillante des services VPN. La consommation de contenu piraté qui est payé n'est ni approuvé ni approuvé par la future publication.