// CLUBIC — CYBERSECURITY
VPN et partage de connexion Android : non, votre PC relié au hotspot mobile n’est pas protégé
Vous pensiez qu’un PC relié au partage de connexion d’un smartphone sous VPN profitait automatiquement du même tunnel chiffré ? Raté, et même plutôt deux fois qu’une. À quelques (très) rares exceptions près, Android ne fonctionne pas comme ça.
La combine paraît imparable. On active son VPN sur son smartphone, on lance le partage de connexion, puis on connecte son PC au hotspot mobile dans le train, à l’hôtel, dans une location ou partout où le Wi-Fi inspire moyennement confiance. Logiquement, le téléphone devrait servir de relais sécurisé, et l’appareil relié à son point d’accès profiter du même tunnel chiffré. Sauf qu’en réalité, Android ne fonctionne pas tout à fait ainsi. Le VPN prend bien en charge le trafic du smartphone, mais pas nécessairement celui de l’ordinateur, qui peut être relayé par le téléphone vers le réseau 4G ou 5G de l’opérateur, sans passer par le tunnel actif sur Android. Oups.
Mais comment diable est-ce possible ? Pour comprendre ce qui se joue derrière cette fausse évidence, il faut revenir aux bases. Quand vous activez un VPN sur votre smartphone, l’application établit un tunnel sécurisé entre le téléphone et l’un des serveurs du fournisseur. Les requêtes envoyées par les applications installées sur le mobile passent alors par ce tunnel, selon les réglages du service, du système et, le cas échéant, du split tunneling.
C’est ce qui permet de chiffrer le trafic entre le mobile et le serveur VPN, de masquer l’adresse IP publique du smartphone derrière celle du serveur sélectionné et, selon les services, de profiter de protections additionnelles, comme le blocage de domaines malveillants, de traqueurs ou de publicités.
Or, avec le partage de connexion, le smartphone ne traite plus uniquement les requêtes de ses propres applications. Il reçoit aussi celles d’un appareil extérieur, qu’il se charge de relayer sur Internet par le biais de son accès mobile. La distinction peut sembler triviale, mais elle modifie la manière dont le trafic est pris en charge.
Sur Android, les applications VPN s’appuient sur un service dédié, qui leur permet de créer une interface réseau virtuelle dans le système. C’est par cette interface que le trafic généré par le téléphone peut être redirigé vers le serveur VPN.
A contrario, le trafic de l’appareil relié au hotspot arrive, lui, par l’interface Wi-Fi du point d’accès et, faute de redirection explicite vers l’interface VPN, est aiguillé directement vers le réseau 4G ou 5G de l’opérateur.
De fait, l’icône VPN affichée sur le smartphone confirme seulement que le trafic du mobile peut utiliser le tunnel. Elle ne dit rien, à elle seule, du chemin emprunté par le trafic de l’appareil relié au point d’accès mobile.
À noter que selon les versions d’Android, les surcouches constructeur et quelques réglages très spécifiques, il peut exister de rares exceptions à la règle, notamment des options de type « autoriser les clients du hotspot à utiliser le VPN actif ». Mais elles ne constituent pas la norme, et dans l’immense majorité des cas, il ne faudra pas compter dessus.
Oui, mais pas sans mettre les mains dans le cambouis. À ce stade, on a compris le problème. Le hotspot mobile fonctionne très bien pour partager un accès à Internet, mais il ne transforme pas, par défaut, le smartphone en passerelle VPN pour les appareils qui s’y connectent. Pour forcer le passage par le VPN, il faudrait donc intervenir sur le trajet emprunté par le trafic partagé. Et là, on ne parle plus de petite case à cocher dans les paramètres réseau.