ExpressVPN désactive le split tunneling pendant qu'il corrige une fuite DNS

Le tunneling fractionné est désactivé dans la dernière version d'ExpressVPN pour Windows (12.73.0). Il s’agit d’un changement temporaire, et il sera annulé une fois qu’ExpressVPN aura corrigé un bug DNS récemment découvert. Les autres versions de l'application ExpressVPN prennent toujours en charge le tunneling fractionné.

La vulnérabilité DNS a été découverte par Attila Tomaschek, rédacteur chez CNET. Tomaschek a observé que les requêtes DNS n'étaient pas envoyées aux serveurs d'ExpressVPN lorsque le tunneling fractionné était activé. ExpressVPN a réussi à reproduire la vulnérabilité, mais uniquement en mode de tunneling fractionné « Autoriser uniquement les applications sélectionnées à utiliser le VPN ». Et même dans ce cas, les fuites DNS constituaient un problème occasionnel et incohérent.

Il semble que la vulnérabilité ait été introduite avec la version 12.23.1 d'ExpressVPN pour Windows, publiée en mai 2022. Elle n'a pas été détectée pendant près de deux ans, probablement parce qu'elle est très spécialisée et aléatoire. Curieusement, le split tunneling fonctionne toujours correctement dans la version 10 de l’application Windows ExpressVPN.

ExpressVPN estime que 1 % des utilisateurs de Windows répondent aux critères de cette vulnérabilité. Si vous faites partie de ce 1 %, vos requêtes DNS peuvent avoir été exposées à votre fournisseur DNS, qui est généralement votre FAI. Mais votre trafic Web réel est resté crypté. En d’autres termes, votre FAI ou votre fournisseur DNS tiers a peut-être vu des noms de domaine (comme google.com), mais il n’a pas vu les pages Web individuelles ni le contenu avec lequel vous avez interagi. L'usurpation d'emplacement peut également échouer en cas de fuite DNS.

Le bug DNS affecte un sous-ensemble incroyablement petit d’utilisateurs. Néanmoins, ExpressVPN adopte une approche proactive. La fonctionnalité de tunnel partagé est complètement désactivée dans la version 12.73.0 d'ExpressVPN pour Windows, et elle ne sera pas réactivée tant qu'un correctif de bogue n'aura pas été trouvé. Nous apprécions la réponse d'ExpressVPN au bug DNS, bien que la société annonce au titre dramatique semble avoir surpris certaines personnes.

Une future mise à jour résoudra le bug DNS d'ExpressVPN et activera la fonctionnalité de tunneling fractionné. Des informations complémentaires sont disponibles sur le FAQ ExpressVPN. Les clients sont invités à mettre à jour leur ExpressVPN pour Windows l'installation, mais cela peut être inutile, car l'application doit se mettre à jour automatiquement. Ceux qui utilisent ExpressVPN version 10 pour Windows n’ont rien à faire. Le bug n'affecte que la version 12 d'ExpressVPN.

Source: ExpressVPN