Ce qui arrive sur votre Mac ne reste pas toujours sur votre Mac, Réactions à la publication du 15/11/2020

[Rédaction]

... et c'est encore moins le cas avec l'arrivée de Big Sur.

Vous avez peut-être remarqué sur votre Mac un ralentissement du lancement des applications ces derniers jours. Un ralentissement dû à une fonctionnalité de sécurité de macOS.

Introduite il y a deux ans, cette fonctionnalité consiste à envoyer à un serveur d'Apple (ocsp.apple.com) la signature unique du fichier exécutable de chaque application que vous tentez d'exécuter sur votre Mac. En réponse, le serveur indique au Mac si l'application en question peut ou non être lancée.

Si le serveur est injoignable (Mac non connecté à Internet ou requête bloquée par un pare-feu), l'application se lance immédiatement. S'il est joignable, elle n'est lancée qu'une fois qu'une réponse positive a été reçue. Ainsi, en cas de surcharge des serveurs, comme c'est arrivé les 12 et 13 novembre, l'allongement du temps de réponse du serveur provoque le ralentissement du lancement des applications, constaté par de nombreux utilisateurs.

Un dysfonctionnement qui tombe particulièrement mal, alors même qu'Apple vient de sortir macOS Big Sur, qui rend plus compliqué la désactivation de ce système. En effet, s'il n'y a jamais eu d'option officielle permettant de la désactiver, cette fonctionnalité pouvait jusqu'à présent être bloquée avec un pare-feu installé sur le Mac, comme LittleSnitch. Ce n'est plus possible sous Big Sur, qui a mis en place une protection de certains processus système : leurs requêtes réseau ne peuvent plus être filtrées par un pare-feu local, ni passer par certains VPN (un VPN virtuel aurait aussi permis de les bloquer localement).

Il semblerait que pour l'instant le blocage soit encore possible via le fichier /etc/hosts, en y ajoutant une entrée pour faire pointer ocsp.apple.com vers 127.0.0.1. Mais pour combien de temps ?

Venant d'Apple, qui se présente régulièrement comme un défenseur de la vie privée, ces restrictions sont en tout cas particulièrement mal venues, d'autant plus que les données sont transmises en clair et que les requêtes transitent par des serveurs n'appartenant pas à Apple (Apple utilise les services d'Akamai pour mieux absorber la charge), ce qui donne une grande surface d'attaque pour intercepter les requêtes et déterminer les logiciels utilisés par les Mac situés derrière une IP publique donnée, mais aussi, de deviner de manière indirecte d'autres informations : profession, horaires de travail, période de congé, loisirs…

Pire, l'absence de chiffrement pourrait éventuellement ouvrir à un attaquant la possibilité de déterminer quelles applications il vous autorise à utiliser sur votre Mac, en renvoyant des réponses négatives aux requêtes qu'il aura réussi à intercepter (ce n'est toutefois pas trivial, la réponse étant normalement signée par le serveur)…

MàJ : la signature envoyée est en fait propre à chaque développeur/éditeur, et non à chaque application, ce qui limite un peu la portée des informations pouvant être récupérées (l'attaquant peut par exemple déterminer que vous utilisez des logiciels Adobe et Microsoft, mais pas lesquels précisément).


Lien vers le billet original

[tchek]

Allez op c'est parti :
https://sneak.berlin/20201112/your-computer-isnt-yours/

[Guest_Neutral_ch_*]

Introduite il y a deux ans

Hello, cela veut dire qu'elle a été implémentée avec Mojave et les versions suivantes d'OSX ou que cela touche aussi les versions précédentes?

[SartMatt]

Introduite il y a deux ans

Hello, cela veut dire qu'elle a été implémentée avec Mojave et les versions suivantes d'OSX ou que cela touche aussi les versions précédentes?

Tel que je l'ai compris, c'est Mojave et supérieurs, ça n'a pas été porté sur les anciennes versions.

[tchek]

Introduite il y a deux ans

Hello, cela veut dire qu'elle a été implémentée avec Mojave et les versions suivantes d'OSX ou que cela touche aussi les versions précédentes?

Selon Jeffrey Paul oui ...

"A: This has been happening since at least macOS Catalina (10.15.x, released 7 October 2019). This did not just start with yesterday’s release of Big Sur, it has been happening silently for at least a year. According to Jeff Johnson of Lap Cat Software, this started with macOS Mojave, which was released on 24 September 2018."

[flan]

Vu le nom de domaine, c'est un serveur OCSP, à qui le numéro de série d'un certificat (en l'occurrence celui de l'éditeur du logiciel) est envoyé et qui répond si le certificat est encore valide ou s'il a été révoqué.

Et il y a exactement le même système pour beaucoup de certificats SSL (c'est par exemple le cas sur le certificat de MacBidouille : Digicert peut savoir que votre adresse IP fréquente MacBidouille).

[julescrch]

Je suis sous High Sierra et j'ai le même problème. Le téléchargement fonctionne sur l'App Store, mais impossible d'ouvrir les applis, à moins d'en remplacer la signature (sauf pour certaines comme Messenger où cela ne change rien...).

Ayant installé MacOS High Sierra Vendredi 13 NOV en fin de journée sur mon nouveau disque dur, je me demande si cela sera persistant ou pas... Comment se fait il que quelques jours après le bug ça n'ai toujours pas été réglé ??

[Albook]

Encore et toujours moins de liberté, avec le prétexte de davantage de sécurité : et l'on sait depuis très longtemps que ce n'est jamais vrai ...
Ici encore Apple n'a rien inventé, mais il sait toujours aussi bien présenter ces restrictions ( violation de la vie privée) comme un avantage !

[sekaijin]

Bonjour

Je ne vois pas comment apple peut m'empêcher de bloquer ocsp.apple.com sur mon routeur.
A+JYT

[baron]

Je suis sous High Sierra et j'ai le même problème. Le téléchargement fonctionne sur l'App Store, mais impossible d'ouvrir les applis, à moins d'en remplacer la signature (sauf pour certaines comme Messenger où cela ne change rien...).

Ayant installé MacOS High Sierra Vendredi 13 NOV en fin de journée sur mon nouveau disque dur, je me demande si cela sera persistant ou pas... Comment se fait il que quelques jours après le bug ça n'ai toujours pas été réglé ??

Je copie ici ce que j'en disais par ailleurs :

Le problème n'est pas que les erveurs ne fonctionnent pas (dans ce cas, une réponse appropriée est prévue), mais qu'ils mettent trop de temps à répondre (soft failure), ce qui est bien plus difficile à résoudre.

Un serveur en panne, ça se remplace vite fait mais ici, il s'agit de la surcharge de serveurs en grappe, sollicités par tous les utilisateurs Mac qui ont installé et utilisent Big Sur, Catalina ou Mojave (au minimum).

Depuis vendredi, Apple a apparemment déjà augmenté de cinq minutes à une demi journée la durée pendant laquelle ils gardaient en cache la réponse à une requête OCSP pour tenter de soulager ces serveurs, mais ça n'a pas encore l'air de suffire pleinement…
• https://lapcatsoftware.com/articles/ocsp.html

Dans ton cas, comme il y a eu réinstallation ce vendredi 13 (!), il se peut que la nouvelle version postée par Apple de High Sierra contienne de nouveaux certificats de sécurité, qui doivent être validés par ces serveurs un peu lents à la détente…

[macdan]

"Un ralentissement dû à une fonctionnalité de sécurité de macOS" dites-vous ? ... de "sécurité" ou bien "d'espionnage" en fait ?
Je n'ai plus aucune confiance en Apple qui est devenue (largement) l'équivalent de "Google" dans le rôle de "Big Brother" auprès de ses utilisateurs !
Franchement, ça m'attriste de voir ce qu'Apple est devenue après l'ère "S. Jobs" : un désert d'humanité pour un max de frivolités !

[tchek]

"Un ralentissement dû à une fonctionnalité de sécurité de macOS" dites-vous ? ... de "sécurité" ou bien "d'espionnage" en fait ? Je n'ai plus aucune confiance en Apple qui est devenue (largement) l'équivalent de "Google" dans le rôle de "Big Brother" auprès de ses utilisateurs ! Franchement, ça m'attriste de voir ce qu'Apple est devenue après l'ère "S. Jobs" : un désert d'humanité pour un max de frivolités !

On se calme...
Comme on l'a vu lors de la dernière Keynote totalement aseptisée, ce ne sont plus que des clones d'eux mêmes, lisses et sans âme. Beaucoup apprécient cette séduisante mascarade en salle blanche.

Ce message a été modifié par tchek - 15 Nov 2020, 20:46.

[downanotch]

Vu le nom de domaine, c'est un serveur OCSP, à qui le numéro de série d'un certificat (en l'occurrence celui de l'éditeur du logiciel) est envoyé et qui répond si le certificat est encore valide ou s'il a été révoqué.

Et il y a exactement le même système pour beaucoup de certificats SSL (c'est par exemple le cas sur le certificat de MacBidouille : Digicert peut savoir que votre adresse IP fréquente MacBidouille).

C'est exactement ça, Jeffrey Paul n'a pas tout compris : https://blog.jacopo.io/en/post/apple-ocsp/

Ci dessous le TL;DR du lien ci-dessus :

• Non, macOS n'envoie pas à Apple un hash de vos applications chaque fois qu'elle sont lancées
• Vous devez être au courant que macOS peut transmettre des informations opaques à propose du certificat développeur des applications que vous utilisez. Ces informations sont envoyées en clair sur votre réseau
• Vous ne devriez probablement pas bloquer ocsp.apple.com avec Little Snitch ou dans votre fichier host.

Ce message a été modifié par downanotch - 15 Nov 2020, 21:10.

[tchek]

Vu le nom de domaine, c'est un serveur OCSP, à qui le numéro de série d'un certificat (en l'occurrence celui de l'éditeur du logiciel) est envoyé et qui répond si le certificat est encore valide ou s'il a été révoqué. Et il y a exactement le même système pour beaucoup de certificats SSL (c'est par exemple le cas sur le certificat de MacBidouille : Digicert peut savoir que votre adresse IP fréquente MacBidouille).

C'est exactement ça, Jeffrey Paul n'a pas tout compris : https://blog.jacopo.io/en/post/apple-ocsp/ Ci dessous le TL;DR du lien ci-dessus :

• Non, macOS n'envoie pas à Apple un hash de vos applications chaque fois qu'elle sont lancées
• Vous devez être au courant que macOS peut transmettre des informations opaques à propose du certificat développeur des applications que vous utilisez. Ces informations sont envoyées en clair sur votre réseau
• Vous ne devriez probablement pas bloquer ocsp.apple.com avec Little Snitch ou dans votre fichier host.

Quel degré de véracité peut-on accorder à ce blog ?
C'est chaud bouillant ici :
https://linuxfr.org/users/gouttegd/liens/ma...une-application

Ce message a été modifié par tchek - 15 Nov 2020, 21:21.

[downanotch]

Venant d'Apple, qui se présente régulièrement comme un défenseur de la vie privée, ces restrictions sont en tout cas particulièrement mal venues, d'autant plus que les données sont transmises en clair et que les requêtes transitent par des serveurs n'appartenant pas à Apple (Apple utilise les services d'Akamai pour mieux absorber la charge)

C'est en clair pour une bonne raison comme il s'agit de vérifier la validité d'un certificat. Sinon, il faut logiquement commencer par valider le certificat utilisé pour chiffrer la connection, ce qui nécessiterait de valider le certificat utilisé pour cette validation, et ainsi de suite, on serait dans une boucle sans fin.

Quel degré de véracité peut-on accorder à ce blog ?

Il y a le détail de toute son analyse, n'importe qui peut la vérifier.

[SartMatt]

Venant d'Apple, qui se présente régulièrement comme un défenseur de la vie privée, ces restrictions sont en tout cas particulièrement mal venues, d'autant plus que les données sont transmises en clair et que les requêtes transitent par des serveurs n'appartenant pas à Apple (Apple utilise les services d'Akamai pour mieux absorber la charge)

C'est en clair pour une bonne raison comme il s'agit de vérifier la validité d'un certificat. Sinon, il faut logiquement commencer par valider le certificat utilisé pour chiffrer la connection, ce qui nécessiterait de valider le certificat utilisé pour cette validation, et ainsi de suite, on serait dans une boucle sans fin.

Il pourrait y avoir validation en clair d'un premier certificat Apple, puis validation en HTTPS du certificat développeur.

Ce qui fait qu'aucune information sur l'utilisation de la machine ne transiterait en clair.

Et surtout, ce genre de chose qui expose des informations sur l'utilisation devrait pouvoir être désactivé (par exemple, c'est désactivable dans Firefox et les sites web HTTPS peuvent aussi désactiver le contrôle pour leur certificat en intégrant dans leur réponse au client une réponse de validation récente).

Ce message a été modifié par SartMatt - 15 Nov 2020, 21:35.

[sansnom]

Mon iMac est sous Mojave. J'ai eu CE 'UTAIN de problème de lenteur l'autre soir.

L'âge (et peut-être la sagesse) aidant, devant ce “bug” insupportable de lenteur à l'ouverture d'une session où les extensions mettaient un temps interminable à se lancer... je n'ai fait qu'un redémarrage en zappant la PRAM... ce qui n'a rien fait pour résoudre le problème. À une autre époque, j'aurai lâché les chiens en remettant tout en cause, mon DD, mon Mac, mon réseau, la météo, ma concierge... et entrepris de manips à tous les étages.

Je trouve que les choses sont de plus en plus difficiles à gérer avec Apple, et malheureusement, je n'ai pas toutes les compétences, l'énergie et le temps pour intégrer ces nouvelles notions/options, bien trop techniques pour moi. Oui, l'usure aidant, j'attends maintenant que ça passe et ici, c'était la bonne attitude : mon mac à retrouver ses jambes le lendemain !... MAIS J'AI QUAND MÊME BIEN FLIPPÉ !...

Ma conclusion : nos machines sont définitivement dans la main d'une entreprise américaine qui par sa seule volonté/incompétence/impotence peut les rendre inopérantes bien trop facilement et sans effort !... Pas glop !... Pas glop !...

NB : sur ma machine, Little Snitch gère un process qui se nomme “ocspd”, identity : “ocspd” must be signed by Apple with identifier “com.apple.ocspd”.
Question : doit-on (peut-on) deny ce process et dépendre ainsi un peu moins des errances de la firme pommée ?...

[glyoscar]

NB : sur ma machine, Little Snitch gère un process qui se nomme “ocspd”, identity : “ocspd” must be signed by Apple with identifier “com.apple.ocspd”.
Question : doit-on (peut-on) deny ce process et dépendre ainsi un peu moins des errances de la firme pommée ?...

On peut toujours , mais apres il faut verifier l'impacte sur l'ensemble des services apple.
Si on en utilise peu, ce ne sera pas un probleme
Si l'environnement des applis Apple est en constante, cela par un biais ou par un autre sera sans doute un probleme
Au pire L.S permet de stopper le filtrage

[Fafnir]

On passe de "droit" à "privilège". Hagar Dunor au secours.

[zero]

Quel degré de véracité peut-on accorder à ce blog ?

Il y a le détail de toute son analyse, n'importe qui peut la vérifier.

Et même les "Genius" des Apple stores peuvent savoir ce que tu as executé et sauvegardé sur le icloud.

https://sneak.berlin/20201112/your-computer-isnt-yours/

C'est quand même scandaleux ce qui arrive sur les Mac et personne ne bronche. Apple peut tout faire, elle est sacralisée. Et avec ses puces maison, elle pourra tout faire passer en douce.

Ce message a été modifié par zero - 16 Nov 2020, 02:43.

[iAPX]

Vu le nom de domaine, c'est un serveur OCSP, à qui le numéro de série d'un certificat (en l'occurrence celui de l'éditeur du logiciel) est envoyé et qui répond si le certificat est encore valide ou s'il a été révoqué.

Et il y a exactement le même système pour beaucoup de certificats SSL (c'est par exemple le cas sur le certificat de MacBidouille : Digicert peut savoir que votre adresse IP fréquente MacBidouille).

C'est exactement ça, Jeffrey Paul n'a pas tout compris : https://blog.jacopo.io/en/post/apple-ocsp/

Ci dessous le TL;DR du lien ci-dessus :

• Non, macOS n'envoie pas à Apple un hash de vos applications chaque fois qu'elle sont lancées
• Vous devez être au courant que macOS peut transmettre des informations opaques à propose du certificat développeur des applications que vous utilisez. Ces informations sont envoyées en clair sur votre réseau
• Vous ne devriez probablement pas bloquer ocsp.apple.com avec Little Snitch ou dans votre fichier host.

C'est très intéressant, incluant le problème d'authentification TLS qui est récursif.

Après examen ça n'est d'ailleurs pas ocsp.apple.com qui est toujours employé, par exemple dans mon cas ocsp-lb.apple.com.akadns.net et ocsp.g.applimg.com, sans pouvoir vérifier aisément le contenu des échanges à l'instant (donc peut-être certains créés par Chrome, mais peu probable vu les domaines), ces appels ont été effectués aux lancements de logiciels de différents éditeurs sur mon Mac sous macOS 11 Big Sur.

OCSP est amusant, je n'y avais pas réfléchi plus en profondeur et surtout pas dans le contexte des signatures de nos Apps.
Le problème de fond est que c'est une sécurité pour pouvoir désactiver des applications suite à la révocation d'un certificat développeur, mais que d'un autre coté ça transmet des informations, incluant des PII au sens du GDPR/RGPD, et des informations -certes partielles- sur nos usages qui peuvent avoir de la valeur sur le long-terme.

Attendons de voir ce que Apple en dit, et aussi les analyses techniques qui devraient suivre, mais essentiellement si on veut bénéficier de la possibilité de profiter de la -rare- révocation de certificats (et pas nécessairement à bon escient!!!) il me paraît très compliqué de ne pas envoyer d'informations révélatrices, au moins pour Apple.

Apple pourrait au moins chiffrer les informations de manière asymétrique (avec une partie de la payload pseudo-aléatoire), mais là arriverait le problème de maintenance nécessaire de la clé de chiffrement publique en cas de fuite de la clé privée, mais ça pourrait être un bon compromis à mon sens.

PS: @SartMatt propose plus haut que ça puisse être désactivable, ce qui enlève une sécurité très rarement utilisée, mais offre un bien meilleur respect de la vie privé, et je pense que ça serait une bonne chose.
Pour ma part je vais filtrer cela car ça rentre dans ma catégorie Traceurs et malware divers.

Ce message a été modifié par iAPX - 16 Nov 2020, 04:13.

[downanotch]

Apple a publié une note à ce sujet : https://support.apple.com/en-us/HT202491

Elle annonce notamment qu'au cours de l'année à venir, les modifications suivantes vont être apportées

• Un nouveau protocole chiffré pour vérifier les certificats développeur révoqués
• Forte protection contre les pannes de serveurs
• Une nouvelle option permettant à l'utilisateur de désactiver ces mesures de sécurité

Ce message a été modifié par downanotch - 16 Nov 2020, 08:25.

[Lionel]

Je ne peux m'empêcher de me le demander.
Sous quelle forme es-tu lié à Apple ?
Comment es-tu rémunéré pour ton travail acharné à les défendre ?

[IODA]

Inconditionnel de cette marque depuis ma naissance, (février 1955 ! !) depuis que Steve à jugé préférable de soigner son cancer de pancréas avec des tisanes ! ! ! ! les raisons de quitter cette marque ne font que se multiplier ! ! ! Les OS se succéder et les bugs, soit disant "repris en main" se multiplient ! ! Heureusement que l'ouverture de monMacPro pour son "dépoussiérage" trimestriel ma ramène a de bonnes "sensations" ! ! ! Ouvrir un Mac est et reste toujours mon plus grand plaisir ! ! !( MacPro toutes versions jusqu'a la 5.1, MacBook Pro, MacBook Air et tous iMac, du moins ceux qui ne sont pas collés et iPhone également non collés)
Par contre, je suis de plus en plus inquiet pour son remplacement ( le 5.1) ! La version 2013 "poubelle métal" pas question et la V2019 est inaccessible financièrement ! ! ! Reste le Mac mini dans un Rack 19 pouces! ! ! ! A voir .Mais tout ça ne régle pas les délires sur l'OS ! ! ! !

[godzila]

Est-ce que quelqu'un a une reference sur le fait que ce traffic est serait exclu d'un VPN sous BigSur ? Si c'est le cas c'est tout la notion de VPN qui me semble remise en cause ?

[SartMatt]

C'est en clair pour une bonne raison

Un nouveau protocole chiffré pour vérifier les certificats développeur révoqués

Comme quoi, ce n'était donc pas en clair pour une bonne raison, mais juste parce que Apple n'avait pas fait l'effort de le chiffrer.

Ce message a été modifié par SartMatt - 16 Nov 2020, 09:26.

[downanotch]

Comme quoi, ce n'était donc pas en clair pour une bonne raison, mais juste parce que Apple n'avait pas fait l'effort de le chiffrer.

C'est en clair parce que c'est ainsi que OCSP fonctionne normalement, ce qui me semble être une "bonne" raison (j'en connais qui grince des dents dès qu'on s'éloigne un tant soit peu des standards). Tant mieux si ça passe en chiffré vu que ça peut poser des problèmes de protection de la sphère privée…

[shawnscott]

Je ne peux m'empêcher de me le demander.
Sous quelle forme es-tu lié à Apple ?
Comment es-tu rémunéré pour ton travail acharné à les défendre ?

Poser la question, c'est y répondre.

[SartMatt]

C'est en clair parce que c'est ainsi que OCSP fonctionne normalement, ce qui me semble être une "bonne" raison (j'en connais qui grince des dents dès qu'on s'éloigne un tant soit peu des standards).

Le standard OCSP n'impose pas le protocole a utiliser pour les messages, il ne définit que leur contenu. Donc il n'impose pas de chiffrement, mais ne l'interdit pas non plus.

Il suggère même explicitement de l'utiliser pour la protection de la vie privée : "Where privacy is a requirement, OCSP transactions exchanged using HTTP MAY be protected using either Transport Layer Security/Secure Socket Layer (TLS/SSL) or some other lower-layer protocol." (RFC 6960, annexe A, paragraphe 1)

Donc non, chiffrer une requête OCSP, ce n'est pas s'éloigner du standard.

Et le stapling offre même une réponse à la problématique de la validation du certificat utilisé pour le chiffrement de cette communication. Mais de toute façon, d'un point de vue respect de la vie privée, ce n'est pas un problème de valider ce second certificat via une requête en clair, et je dirai même que de ce point de vue fondamentalement on s'en fout de le valider : une connexion chiffrée sans validation du certificat serveur, c'est déjà un progrès par rapport à une connexion en clair (c'est d'ailleurs un peu l'idée derrière Let's Encrypt, qui fournit des certificat SSL ayant une valeur relativement faible d'un point de vue sécurité, mais qui permettent par contre de généraliser le chiffrement pour des questions de vie privée), même si ça permet toujours des fuites si quelqu'un arrive à rediriger le trafic vers son propre serveur.

[downanotch]

Donc non, chiffrer une requête OCSP, ce n'est pas s'éloigner du standard.

Oui, ça n'est pas ce que je voulais dire. Par "normalement" et "standard" je faisais référence à la manière dont OCSP est traditionnellement (i.e. le plus souvent) utilisé.

[Lionel]

Je ne peux m'empêcher de me le demander.
Sous quelle forme es-tu lié à Apple ?
Comment es-tu rémunéré pour ton travail acharné à les défendre ?

Poser la question, c'est y répondre.

Pas de réponse est une réponse plutôt.

[johnstone]

Je ne peux m'empêcher de me le demander.
Sous quelle forme es-tu lié à Apple ?
Comment es-tu rémunéré pour ton travail acharné à les défendre ?

Poser la question, c'est y répondre.

Moi, je ne peux m'empêcher de me demander ce qui peut bien passer dans la tête de Lionel pour poser ce genre de questions...

Est-ce que les informations données par downanotch sont vraies ou erronées ? Est-ce que son "travail acharné" pose problème par rapport à d'autres contributeurs ici ? Est-ce que c'est un délit de "sale gueule" numérique ?

[STRyk]

Ca devient vraiment n'importe quoi Mac OS.

Si tu n'a pas internet, un smerdephone et autre tu peux même plus continuer de vivre... tssssss

[chianti's yogurt]

Moi, je ne peux m'empêcher de me demander ce qui peut bien passer dans la tête de Lionel pour poser ce genre de questions...

Et bien aux dernières nouvelles, Lionel est encore chez lui ici...

[tchek]

Je ne peux m'empêcher de me le demander.
Sous quelle forme es-tu lié à Apple ?
Comment es-tu rémunéré pour ton travail acharné à les défendre ?

Poser la question, c'est y répondre.

Moi, je ne peux m'empêcher de me demander ce qui peut bien passer dans la tête de Lionel pour poser ce genre de questions...

Est-ce que les informations données par downanotch sont vraies ou erronées ? Est-ce que son "travail acharné" pose problème par rapport à d'autres contributeurs ici ? Est-ce que c'est un délit de "sale gueule" numérique ?

Je trouve que la question est parfaitement légitime.
En quoi cela ne le serait pas ?
Peux-tu détailler s’il te plaît à l’aide d’arguments solides en quoi Lionel n’aurait pas le droit légitime de poser ce genre de question ?

[SartMatt]

Ca devient vraiment n'importe quoi Mac OS.

Si tu n'a pas internet, un smerdephone et autre tu peux même plus continuer de vivre... tssssss

Pour le coup, ça marche plutôt mieux si tu n'as pas Internet : les Mac non connectés n'ont pas été affectés par ces ralentissements, qui ne se produisent que si les serveurs de validation sont joignables et sont lents.

[VDAC]

Moi, je ne peux m'empêcher de me demander ce qui peut bien passer dans la tête de Lionel pour poser ce genre de questions...

Et bien aux dernières nouvelles, Lionel est encore chez lui ici...

Je ne peux m'empêcher de me le demander.
Sous quelle forme es-tu lié à Apple ?
Comment es-tu rémunéré pour ton travail acharné à les défendre ?

Poser la question, c'est y répondre.

Moi, je ne peux m'empêcher de me demander ce qui peut bien passer dans la tête de Lionel pour poser ce genre de questions...

Est-ce que les informations données par downanotch sont vraies ou erronées ? Est-ce que son "travail acharné" pose problème par rapport à d'autres contributeurs ici ? Est-ce que c'est un délit de "sale gueule" numérique ?

Je trouve que la question est parfaitement légitime.
En quoi cela ne le serait pas ?
Peux-tu détailler s’il te plaît à l’aide d’arguments solides en quoi Lionel n’aurait pas le droit légitime de poser ce genre de question ?

Vous faites un procès d'intention à johnstone.
Il ne conteste pas à Lionel le droit de dire ce qu'il veut, il se demande juste sa motivation à le faire.
Chacun à le droit de faire une infinité de choses, et chacun choisit d'en faire certaines et pas d'autres.
La question est donc simplement pourquoi ce choix.

Lionel a le droit de penser que downanotch est (secrètement ?) lié à Apple, et de le dire.
En revanche, quand on accuse quelqu'un d'un tort supposé, ce serait bien d'étayer cette accusation.
C'est sans doute ce que demande johnstone.

[mR_Zlu]

Je ne peux m'empêcher de me le demander.
Sous quelle forme es-tu lié à Apple ?
Comment es-tu rémunéré pour ton travail acharné à les défendre ?

Poser la question, c'est y répondre.

Moi, je ne peux m'empêcher de me demander ce qui peut bien passer dans la tête de Lionel pour poser ce genre de questions...

Est-ce que les informations données par downanotch sont vraies ou erronées ? Est-ce que son "travail acharné" pose problème par rapport à d'autres contributeurs ici ? Est-ce que c'est un délit de "sale gueule" numérique ?

Je trouve que la question est parfaitement légitime.
En quoi cela ne le serait pas ?
Peux-tu détailler s’il te plaît à l’aide d’arguments solides en quoi Lionel n’aurait pas le droit légitime de poser ce genre de question ?

Donc une personne "louche" sur un forum Apple serait la personne qui défend (et encore) la marque ? Ça se marche sur la tête dans le coin.
Au delà de la parano je ne peux que sourire à l'idée qu'une multinationale comme Apple est une ligne de budget pour "désinformer un forum français fréquenté essentiellement par de jeunes retraités"

[Lionel]

Donc une personne "louche" sur un forum Apple serait la personne qui défend (et encore) la marque ? Ça se marche sur la tête dans le coin.
Au delà de la parano je ne peux que sourire à l'idée qu'une multinationale comme Apple est une ligne de budget pour "désinformer un forum français fréquenté essentiellement par de jeunes retraités"

Tu as autant le droit d'exprimer ton avis que moi mes craintes.
Cela va faire 20 an que je gère ces forums, que je modère, que je discute avec des gens.
J'ai toujours cherché à comprendre les motivations derrière les propos, toujours.
Pour lui je ne comprends pas. Il ne prends pas le parti d'Apple ce que je comprendrais, mais il défend la société avec acharnement mais aussi y passe un temps considérable avec des arguments parfois pertinents. Trop de temps passé ici, trop d'énergie dépensée. Je cherche à comprendre à qui j'ai affaire c'est tout. Pour le moment, ayant lu pratiquement tous ses messages, je suis convaincu qu'il y a anguille sous roche. C'est mon droit, tout autant en tant qu'administrateur de me renseigner.

[ekami]

Apple s'est fendue d'un démenti et d'une page indiquant comment ouvrir une app non signée et notariée.
Safely open apps on your Mac
Donc pour le moment on peut encore (avec ctrl clic et préférences système > Sécurité > Ouvrir quand même) mais si Apple ne permet plus ça dans les prochaines versions de macOS et impose le passage par le MAS, elle aura réussi là ou M$ à échoué (mais ça sera sans moi, mais je n'ai aucune intention de passer à Silicon avant 10 ans, et après l'informatique sera le cadet de mes soucis).
Idem pour macOS: je vois bien Apple installer macOS/iOS directement dans le processeur sur un petit SSD dédié et contrôlé par la puce de sécurité (et adieu les clonages et autres installations de macOS avec une clé USB)
--
Il faudra surveiller de très près cette histoire de connexions sortantes au lancement des applications, mais si vient le jour où il faut adjoindre un firewall matériel entre son mac et sa box (sauf si elles le permettent un jour) pour filtrer le traffic sortant "en cachette" de macOS, ça va devenir lourdingue...
En attendant, on peut toujours empêcher le process ocsp en l'ajoutant au fichier hosts et voir comment se comportent les applications (et surtout les services d'Apple comme iCloud).
Voici la commande à taper dans le terminal: echo 127.0.0.1 ocsp.apple.com | sudo tee -a /etc/hosts
--
D'autres blogs se montrent plus alarmistes
Apple a posé le verrou final
--
Avec Apple j'ai véritablement l'impression d'être la grenouille dans la casserole dont on chauffe l'eau très lentement…

Ce message a été modifié par ekami - 16 Nov 2020, 12:30.

[dulrich]

Ce qui est affligeant, c'est qu'il y a un ou deux mois mon Mac était d'une extrême lenteur. A tel point que j'ai démonté la carte wifi et cherché du côté disque aussi le souci. Au final c'était mon ISP qui avait un souci au niveau peering avec Apple.
Après avoir vu chez le propriétaire de cuk.ch les mêmes problèmes, j'ai interdit à ocspd tout trafic externe. Depuis mon Mac est une bombe. Comment rendre un produit moins performant... belle leçon d'apple.

[ekami]

Ce qui est affligeant, c'est qu'il y a un ou deux mois mon Mac était d'une extrême lenteur. A tel point que j'ai démonté la carte wifi et cherché du côté disque aussi le souci. Au final c'était mon ISP qui avait un souci au niveau peering avec Apple.
Après avoir vu chez le propriétaire de cuk.ch les mêmes problèmes, j'ai interdit à ocspd tout trafic externe. Depuis mon Mac est une bombe. Comment rendre un produit moins performant... belle leçon d'apple.

Apple a donc acté le fait que tous ses matériels sont la plupart du temps connectés à internet.
Elle vient de se faire prendre la main dans le sac, mais quand elle aura redimensionné son infrastructure matérielle, l'envoi du hash du "certificat de notarisation" de l'appli (et son approbation ou pas par Apple) se fera en quelques millièmes de seconde, les utilisateurs n'y verront que du feu. Mais il faudra que le peering soit parfait.
Même si elle ne garde en cache l'ensemble de ces connections que très peu de temps, ça reste une pratique d'espionnage totalement inacceptable, car rien ne nous assure qu'elle effacera totalement ce cache.
Si à l'avenir on doit passer du temps à contourner l'espionnage d'Apple, ça va devenir pénible…

Ce message a été modifié par ekami - 16 Nov 2020, 12:46.

[divoli]

Donc une personne "louche" sur un forum Apple serait la personne qui défend (et encore) la marque ? Ça se marche sur la tête dans le coin.
Au delà de la parano je ne peux que sourire à l'idée qu'une multinationale comme Apple est une ligne de budget pour "désinformer un forum français fréquenté essentiellement par de jeunes retraités"

Tu as autant le droit d'exprimer ton avis que moi mes craintes.
Cela va faire 20 an que je gère ces forums, que je modère, que je discute avec des gens.
J'ai toujours cherché à comprendre les motivations derrière les propos, toujours.
Pour lui je ne comprends pas. Il ne prends pas le parti d'Apple ce que je comprendrais, mais il défend la société avec acharnement mais aussi y passe un temps considérable avec des arguments parfois pertinents. Trop de temps passé ici, trop d'énergie dépensée. Je cherche à comprendre à qui j'ai affaire c'est tout. Pour le moment, ayant lu pratiquement tous ses messages, je suis convaincu qu'il y a anguille sous roche. C'est mon droit, tout autant en tant qu'administrateur de me renseigner.

Sur ces forums, j'en vois beaucoup plus qui passent leur temps à dézinguer Apple, tout en faisant l'éloge de la concurrence (même quand cette concurrence ne fait pas mieux, sinon pire, qu'Apple), parfois avec une grosse couche de mauvaise foi. Là, par contre, ça n'a pas l'air de te gêner, ni t'amener à te poser des questions, ni à savoir à qui tu as à faire.
Mais bon, à partir du moment où les arguments des uns sont suivis par les contre-arguments des autres, et ainsi de suite, c'est ce qui rend ces discussions intéressantes, non?

[Lionel]

Donc une personne "louche" sur un forum Apple serait la personne qui défend (et encore) la marque ? Ça se marche sur la tête dans le coin.
Au delà de la parano je ne peux que sourire à l'idée qu'une multinationale comme Apple est une ligne de budget pour "désinformer un forum français fréquenté essentiellement par de jeunes retraités"

Tu as autant le droit d'exprimer ton avis que moi mes craintes.
Cela va faire 20 an que je gère ces forums, que je modère, que je discute avec des gens.
J'ai toujours cherché à comprendre les motivations derrière les propos, toujours.
Pour lui je ne comprends pas. Il ne prends pas le parti d'Apple ce que je comprendrais, mais il défend la société avec acharnement mais aussi y passe un temps considérable avec des arguments parfois pertinents. Trop de temps passé ici, trop d'énergie dépensée. Je cherche à comprendre à qui j'ai affaire c'est tout. Pour le moment, ayant lu pratiquement tous ses messages, je suis convaincu qu'il y a anguille sous roche. C'est mon droit, tout autant en tant qu'administrateur de me renseigner.

Sur ces forums, j'en vois beaucoup plus qui passent leur temps à dézinguer Apple, tout en faisant l'éloge de la concurrence (même quand cette concurrence ne fait pas mieux, sinon pire, qu'Apple), parfois avec une grosse couche de mauvaise foi. Là, par contre, ça n'a pas l'air de te gêner, ni t'amener à te poser des questions, ni à savoir à qui tu as à faire.
Mais bon, à partir du moment où les arguments des uns sont suivis par les contre-arguments des autres, et ainsi de suite, c'est ce qui rend ces discussions intéressantes, non?

Non Divoli, j'apprécie la critique construite, dans tous les sens et si je détectais de la même manière quelqu'un qui était là pour une société concurrente à Apple je m'en alerterais aussi.
Le Problème dans ce cas précis est le niveau auquel il gravite. Tu défends Apple, pourtant je ne te pose pas de question sur tes motivations. Je ne tolèrerais en revanche aucun Community manager infiltré.

[Hebus]

Futur retraité... la ligne s’éloigne un peu plus tous les ans... ils viennent de voter en catimini en plein confinement...

[tchek]

Je serai très curieux de connaitre la somme consacrée par la pomme en Europe et plus particulièrement en France.

https://consomac.fr/news-11843-un-lobbying-...le-en-2019.html

[johnstone]

Donc une personne "louche" sur un forum Apple serait la personne qui défend (et encore) la marque ? Ça se marche sur la tête dans le coin.
Au delà de la parano je ne peux que sourire à l'idée qu'une multinationale comme Apple est une ligne de budget pour "désinformer un forum français fréquenté essentiellement par de jeunes retraités"

Tu as autant le droit d'exprimer ton avis que moi mes craintes.
Cela va faire 20 an que je gère ces forums, que je modère, que je discute avec des gens.
J'ai toujours cherché à comprendre les motivations derrière les propos, toujours.
Pour lui je ne comprends pas. Il ne prends pas le parti d'Apple ce que je comprendrais, mais il défend la société avec acharnement mais aussi y passe un temps considérable avec des arguments parfois pertinents. Trop de temps passé ici, trop d'énergie dépensée. Je cherche à comprendre à qui j'ai affaire c'est tout. Pour le moment, ayant lu pratiquement tous ses messages, je suis convaincu qu'il y a anguille sous roche. C'est mon droit, tout autant en tant qu'administrateur de me renseigner.

Sur ces forums, j'en vois beaucoup plus qui passent leur temps à dézinguer Apple, tout en faisant l'éloge de la concurrence (même quand cette concurrence ne fait pas mieux, sinon pire, qu'Apple), parfois avec une grosse couche de mauvaise foi. Là, par contre, ça n'a pas l'air de te gêner, ni t'amener à te poser des questions, ni à savoir à qui tu as à faire.
Mais bon, à partir du moment où les arguments des uns sont suivis par les contre-arguments des autres, et ainsi de suite, c'est ce qui rend ces discussions intéressantes, non?

Non Divoli, j'apprécie la critique construite, dans tous les sens et si je détectais de la même manière quelqu'un qui était là pour une société concurrente à Apple je m'en alerterais aussi.
Le Problème dans ce cas précis est le niveau auquel il gravite. Tu défends Apple, pourtant je ne te pose pas de question sur tes motivations. Je ne tolèrerais en revanche aucun Community manager infiltré.

Voire même des actionnaires, quelle horreur

Je pense comme Divoli : Tu devrais quand même te poser des questions sur ceux qui ne sont pas ou plus utilisateurs de la marque, qui le revendiquent haut et fort, et qui passent des heures à vomir leurs diatribes sur le moindre sujet. De plus, la façon dont tu le fais est cynique ("sous quelle forme es-tu lié à Apple ?") et partial.

[iAPX]

Pouvoir révoquer des certificats développeur n'est pas mauvais fondamentalement, même si je m'attend à des débordements possibles de la part d'Apple (EPIC au hasard!), si on a un moyen de continuer à lancer les logiciels touchés de la même façon qu'on peut lancer un logiciel sans signature.

Une autre façon de faire eu pu être d'avoir des listes de certificats développeur révoqués, des deltas hebdomadaires voir quotidiens, et de télécharger ces listes quand connectés, car même en révoquant un million de certificats par an, leur signatures ne coûterait à recevoir qu'autour de 100Ko/jour, 700Ko si c'est hebdomadaire.
Un cas typique où la protection de la vie privée devrait inciter à utiliser un autre mécanisme que OCSP, qui d'ailleurs protège mal dans le sens où si on lance un logiciel doté d'un certificat développeur révoqué alors qu'on est off-line (et n'ayant jamais lancé ce logiciel depuis la révocation) acceptera alors son exécution normale.

Il y a des fois où les "standards" sont contre-productifs quand n'étant pas utilisés dans le contexte approprié: contexte connecté évident pour un site web contre des fois off-line pour une App (perte de sécurité), contexte de multiples CA relativement neutre d'un coté (dont on est pas le client, en tout cas pas au titre de cette requête) et d'une société unique dont on est client directement ou indirectement (perte de protection de la vie privée).

[brenda]

Ca devient vraiment n'importe quoi Mac OS.

Si tu n'a pas internet, un smerdephone et autre tu peux même plus continuer de vivre... tssssss

Pour le coup, ça marche plutôt mieux si tu n'as pas Internet : les Mac non connectés n'ont pas été affectés par ces ralentissements, qui ne se produisent que si les serveurs de validation sont joignables et sont lents.

Donc un Mac non connecté au web fonctionne, mais sans la validation des appli utilisées.
C'était la question à laquelle je cherchais une réponse.

Merci

[malloc]

Je ne peux m'empêcher de me le demander.
Sous quelle forme es-tu lié à Apple ?
Comment es-tu rémunéré pour ton travail acharné à les défendre ?

Poser la question, c'est y répondre.

Moi, je ne peux m'empêcher de me demander ce qui peut bien passer dans la tête de Lionel pour poser ce genre de questions...

Est-ce que les informations données par downanotch sont vraies ou erronées ? Est-ce que son "travail acharné" pose problème par rapport à d'autres contributeurs ici ? Est-ce que c'est un délit de "sale gueule" numérique ?

+1

Ayant fait partie un temps des "CM suspects", je trouve que ça en dit plus sur les insinuateurs que sur les contributeurs en question. Je passe volontiers outre la diffamation, mais MB est quand même le seul site où les rédacteurs se permettent de traîner dans la boue ainsi les contributeurs. On va dire que c'est parce qu'on est une grande famille qu'on se permet ces écarts...

Ce message a été modifié par malloc - 16 Nov 2020, 13:40.

[tchek]

Je ne peux m'empêcher de me le demander. Sous quelle forme es-tu lié à Apple ? Comment es-tu rémunéré pour ton travail acharné à les défendre ?

Poser la question, c'est y répondre.

Moi, je ne peux m'empêcher de me demander ce qui peut bien passer dans la tête de Lionel pour poser ce genre de questions... Est-ce que les informations données par downanotch sont vraies ou erronées ? Est-ce que son "travail acharné" pose problème par rapport à d'autres contributeurs ici ? Est-ce que c'est un délit de "sale gueule" numérique ?

+1 Ayant fait partie un temps des "CM suspects", je trouve que ça en dit plus sur les insinuateurs que sur les contributeurs en question. Je passe volontiers outre la diffamation, mais MB est quand même le seul site où les rédacteurs se permettent de traîner dans la boue ainsi les contributeurs. On va dire que c'est parce qu'on est une grande famille qu'on se permet ces écarts...

Je n'ai aucune "actions" MacBidouille ni ne suis lié à Lionel d'aucune façon. Je suis un assidu lecteur et parfois léger contributeur depuis 2004.
Je trouve le "les rédacteurs se permettent de traîner dans la boue ainsi les contributeurs" quelque peu déplacé, pour rester poli

[Lionel]

Voilà, 4 comptes de personnes anti-macbidouille qui viennent défendre un de leurs comparses.
Amusant, très amusant mais ça en dit long sur ce que je pense, surtout quand le principal intéressé fait le mort.
Je laisse les autres membres se faire une idée de la saveur des choses, surtout que soit ces personnes lisent tout et se tiennent à l'affut, soit se sont contacté pour venir réagir. Dans les deux cas, ça en dit long.
Merci de la confirmation les gars en tout cas.

[JayTouCon]

Ce qui est affligeant, c'est qu'il y a un ou deux mois mon Mac était d'une extrême lenteur. A tel point que j'ai démonté la carte wifi et cherché du côté disque aussi le souci. Au final c'était mon ISP qui avait un souci au niveau peering avec Apple.
Après avoir vu chez le propriétaire de cuk.ch les mêmes problèmes, j'ai interdit à ocspd tout trafic externe. Depuis mon Mac est une bombe. Comment rendre un produit moins performant... belle leçon d'apple.

Merci pour ce retour.

De façon empirique j’ai aussi remarqué que sans aucune connexion internet ça marche plus vite.

[lizuel]

J'ai une question de béotien : à quoi peut servir, du point de vue de l'utilisateur, de vérifier le certificat développeur à chaque lancement ?

[johnstone]

Voilà, 4 comptes de personnes anti-macbidouille qui viennent défendre un de leurs comparses.
Amusant, très amusant mais ça en dit long sur ce que je pense, surtout quand le principal intéressé fait le mort.
Je laisse les autres membres se faire une idée de la saveur des choses, surtout que soit ces personnes lisent tout et se tiennent à l'affut, soit se sont contacté pour venir réagir. Dans les deux cas, ça en dit long.
Merci de la confirmation les gars en tout cas.

Humm, cela fleure bon la théorie du complot
Hypothèse selon laquelle un événement [...] a été causé par l'action concertée et secrète d'un groupe de personnes qui avaient intérêt à ce qu'il se produise, plutôt que par le déterminisme historique ou le hasard.

[iAPX]

J'ai une question de béotien : à quoi peut servir, du point de vue de l'utilisateur, de vérifier le certificat développeur à chaque lancement ?

C'est pour s'assurer que celui-ci n'a pas été annulé (on utilise le terme "révoqué"), par exemple dans le cas où le développeur s'apercevrait que ses clés ont été hackées, ou qu'Apple trouverait un malware dans un logiciel dudit développeur (ou un système de paiement séparé ).

Ça permet de bloquer le lancement si le logiciel ne peut être considéré comme sûr, avec une option pour forcer le lancement si nécessaire.
Le but officiel étant de protéger les utilisateurs en cas de découverte malvenue.

Ce message a été modifié par iAPX - 16 Nov 2020, 14:45.

[tchek]

J'ai une question de béotien : à quoi peut servir, du point de vue de l'utilisateur, de vérifier le certificat développeur à chaque lancement ?

Bah c'est un peu le circuit "fermé" d'Apple, (l'éco sytem?) le chemin à prendre (obligatoire?) si tu veux que les apps que tu ouvres sur ta machine soif "safe", contrairement au libre ou c'est toi qui décide, là c'est Apple qui te dis, c'est bon tu peux ouvrir, on a vérifié, c'est sans danger pour ta machine. Now, tu fais confiance à Apple ou pas, sachant que leur accorder ta confiance n'est pas un gage de parfaite innocence de leur part (Ai confiannnnnnceuuu). Et en ce moment c'est chaud bouillant comme sujet, sachant que le gouv US (et pas qu'eux) à le contrôle sur a peu près tout ce qui sort de ta machine, si tu n'es pas sur une solution libre.
Il existe tonnes de moyen de s'affranchir de cela en restant chez la pomme, mais plus ça vas plus cela devient un sport très difficile.
J'ai bon là ?

Ce message a été modifié par tchek - 16 Nov 2020, 14:49.

[Macintox]

De high sierra a Catalina, il y a ça assez bien documenté

https://osxdaily.com/2016/09/27/allow-apps-...cos-gatekeeper/

Pour iMacOS Big-Sur ça risque d'être plus compliqué, quelqu'un trouvera t'il ?

Mais bon, Le Mac que nous avons connu est mort un beau jour de Novembre 2020 et c'est sûr qu'Apple resserre et renforce les barreaux de la cage .
Dans peu de temps il sera impossible sur les ArMac d'installer quoi que ce soit si ce n'est pas par l'apple store.
Ceux qui ne voudront pas le subir ou passer au tiroir caisse devront passer par la case Linux.

de toute façon la situation est grave
https://www.ina.fr/contenus-editoriaux/arti...e-la-situation/

Ce message a été modifié par Macintox - 16 Nov 2020, 15:03.

[malloc]

Je ne peux m'empêcher de me le demander. Sous quelle forme es-tu lié à Apple ? Comment es-tu rémunéré pour ton travail acharné à les défendre ?

Poser la question, c'est y répondre.

Moi, je ne peux m'empêcher de me demander ce qui peut bien passer dans la tête de Lionel pour poser ce genre de questions... Est-ce que les informations données par downanotch sont vraies ou erronées ? Est-ce que son "travail acharné" pose problème par rapport à d'autres contributeurs ici ? Est-ce que c'est un délit de "sale gueule" numérique ?

+1 Ayant fait partie un temps des "CM suspects", je trouve que ça en dit plus sur les insinuateurs que sur les contributeurs en question. Je passe volontiers outre la diffamation, mais MB est quand même le seul site où les rédacteurs se permettent de traîner dans la boue ainsi les contributeurs. On va dire que c'est parce qu'on est une grande famille qu'on se permet ces écarts...

Je n'ai aucune "actions" MacBidouille ni ne suis lié à Lionel d'aucune façon. Je suis un assidu lecteur et parfois léger contributeur depuis 2004.
Je trouve le "les rédacteurs se permettent de traîner dans la boue ainsi les contributeurs" quelque peu déplacé, pour rester poli

Tu dis ça parce que tu ne t’es jamais fait diffamer ici

Je disais la même chose que toi il y a quelques années, avant de passer subitement dans le viseur de certains qui se reconnaissent sans doute. Maintenant on me traite « d’anti MacBidouille »... alors que cela fait plus de 15 ans que je viens ici quotidiennement soit pour consulter, soit pour essayer de faire des contributions intéressantes. C’est assez savoureux tout de même (d’autant qu’il y a 15 ans, on me traitait à demi-mot d’hérétique et de hâter... comme quoi les valeurs ������)

Ce message a été modifié par malloc - 16 Nov 2020, 15:06.

[lizuel]

Merci pour vos deux réponses.
Vous parlez tous les deux au niveau des "applications" alors que dans le fil de discussion on parle de certificat développeur. Ça veut donc dire pour imager que si une branche est pourrie, on coupe l'arbre en entier ?

Et justement iAPX, dans le cas que tu mentionnes sur la découverte par le développeur que ses clés ont été hackées : la révocation serait donc faite à l'initiative du développeur ; comment retrouver une application opérationnelle avec un bon certificat dans ce cas ?

[SartMatt]

Vous parlez tous les deux au niveau des "applications" alors que dans le fil de discussion on parle de certificat développeur. Ça veut donc dire pour imager que si une branche est pourrie, on coupe l'arbre en entier ?

Oui.

Parce que si une application signée par le développeur est malveillante :
* soit c'est le développeur lui même qui l'a fait, et donc il peut y avoir de gros doutes sur ses autres applications,
* soit le développeur s'est fait pirater/infiltrer (quand le développeur n'est pas une personne physique) par quelqu'un de malveillant, et là encore, on peut avoir des doutes sur ses autres applications,
* soit le développeur s'est fait voler son certificat, et, même s'il n'y a alors aucun doute sur les applications faites par le développeur lui même, on n'a pas la garantie qu'une application signée par lui est bien réalisée par lui...

Et justement iAPX, dans le cas que tu mentionnes sur la découverte par le développeur que ses clés ont été hackées : la révocation serait donc faite à l'initiative du développeur ; comment retrouver une application opérationnelle avec un bon certificat dans ce cas ?

Dans ce cas, le développeur demande un nouveau certificat à Apple et republie de nouvelles versions de ses applications signées avec ce nouveau certificat.

[iAPX]

Merci pour vos deux réponses.
Vous parlez tous les deux au niveau des "applications" alors que dans le fil de discussion on parle de certificat développeur. Ça veut donc dire pour imager que si une branche est pourrie, on coupe l'arbre en entier ?

Et justement iAPX, dans le cas que tu mentionnes sur la découverte par le développeur que ses clés ont été hackées : la révocation serait donc faite à l'initiative du développeur ; comment retrouver une application opérationnelle avec un bon certificat dans ce cas ?

Dans ce cas il y a création de nouvelle paire de clé, re-signature de l'application, et MàJ de celle-ci.
Mais c'est extrêmement rare, il y eu des cas pouvant s'y apparenter, mais que je sache et documenté, pas plus d'un par an!!!

PS: Ninja'd par @SartMatt, et pour finir le dernier exemple que j'avais en tête d'une application qui aurait pu bénéficier de ce mécanisme est en mai 2017 avec HandBrake. Très rare!

Ce message a été modifié par iAPX - 16 Nov 2020, 15:26.

[downanotch]

J'ai une question de béotien : à quoi peut servir, du point de vue de l'utilisateur, de vérifier le certificat développeur à chaque lancement ?

C'est pour s'assurer que celui-ci n'a pas été annulé (on utilise le terme "révoqué"), par exemple dans le cas où le développeur s'apercevrait que ses clés ont été hackées, ou qu'Apple trouverait un malware dans un logiciel dudit développeur (ou un système de paiement séparé ).

Ça permet de bloquer le lancement si le logiciel ne peut être considéré comme sûr, avec une option pour forcer le lancement si nécessaire.
Le but officiel étant de protéger les utilisateurs en cas de découverte malvenue.

Si c'est une référence à Epic, il me semble pas qu'Apple ait empêché les utilisateurs qui avaient Fortnite installé sur leur appareil de l'utiliser.

[godzila]

Je réitère ma question de ce matin: quelqu'un peut il confirmer l'allégation de Lionel que ce mécanisme serait exclu d'un tunnel VPN sous BigSur. Si oui comment?!

[Hebus]

https://blog.jacopo.io/en/post/apple-ocsp/

[johnstone]

https://blog.jacopo.io/en/post/apple-ocsp/

Merci pour ce document. J'ai vérifié que l'auteur n'était pas affilié à Apple mais on ne sait pas si il a des actions Apple, alors faut-il le croire ? ;-)

Blague à part, j'ai bien aimé ceci : Before crying conspiracy, however, keep in mind that common users are generally not able to fully understand and evaluate the impact of disabling such a complex and delicate security feature on their computer.

[Pat94]

Bonsoir,

À vous lire, je dirais que de la discussion même un peu muscler jaillit la lumière, mais cette lumière et pour le moins une blafarde et éclaire des pratiques connues depuis bien longtemps mais qui restaient jusqu'alors cachées derrière les rideaux.
Mais comme la gourmandise des actionnaires devient de la boulimie ces pratiques pas très reluisantes commencent à vraiment apparaitre, finie la micro-informatique à papa, vive le marché.

Pour moi ces pratiques de contrôle de l'utilisation de nos applications sont indéfendables, même pour soi-disant notre bien.

[Lionel]

Je réitère ma question de ce matin: quelqu'un peut il confirmer l'allégation de Lionel que ce mécanisme serait exclu d'un tunnel VPN sous BigSur. Si oui comment?!

Lionel ?

[Touch78]

Donc un Mac non connecté au web fonctionne, mais sans la validation des appli utilisées.
C'était la question à laquelle je cherchais une réponse.

mouaichhh... pour Tor, ça va être compliqué !

[ades]

avec Mojave (et p'tet même high sierra) on fait comment pour se débarrasser de cette merde ?Litlle S… ? une série de commande de sterminal ?
Un tuto serait mieux venu que procès d'intentions, défenses vaseuses etc.
(j'va p'tet demander aux turriféraire d'Apple merde y veulent pas répondre

Ce message a été modifié par ades - 16 Nov 2020, 19:38.

[Munch]

Plus que très probablement sous 10.13.x "High Sierra"

Sur mon MacPro 3.1 patché DosDude en 10.13, voici ce que je vois

Du coup fichier Hosts édité via Gas Mask pour voir…

Fichier(s) joint(s)

 Sans_titre_3.jpeg ( 49.77 Ko ) Nombre de téléchargements : 46
 Sans_titre_3.jpeg ( 49.77 Ko ) Nombre de téléchargements : 47
 Sans_titre.jpeg ( 45.68 Ko ) Nombre de téléchargements : 54

 

[vlady]

https://blog.jacopo.io/en/post/apple-ocsp/

Merci pour ce document. J'ai vérifié que l'auteur n'était pas affilié à Apple mais on ne sait pas si il a des actions Apple, alors faut-il le croire ? ;-)

Blague à part, j'ai bien aimé ceci : Before crying conspiracy, however, keep in mind that common users are generally not able to fully understand and evaluate the impact of disabling such a complex and delicate security feature on their computer.

Je trouve extrêmement irritant le fait qu'Apple continue sa politique d’aliénation d'utilisateur de sa machine. Le matos, surtout le dernier, on oublie toute réparation et la maintenance. C'est le tours d'OS maintenant. Je ne vois pas pourquoi Little Snitch ne pourrait pas bloquer tout ce qu'utilisateur souhaite. Le "common user" n'installe jamais Little Snitch et si quelqu'un l'installe et il y a de grandes chances qu'il sait quoi bloquer et pourquoi. Une couche de "security by obscurity" de plus malheureusement...

Ce message a été modifié par vlady - 16 Nov 2020, 23:23.

[iAPX]

https://blog.jacopo.io/en/post/apple-ocsp/

Merci pour ce document. J'ai vérifié que l'auteur n'était pas affilié à Apple mais on ne sait pas si il a des actions Apple, alors faut-il le croire ? ;-)

Blague à part, j'ai bien aimé ceci : Before crying conspiracy, however, keep in mind that common users are generally not able to fully understand and evaluate the impact of disabling such a complex and delicate security feature on their computer.

Je trouve extrêmement irritant le fait qu'Apple continue sa politique d’aliénation d'utilisateur de sa machine. Le matos, surtout le dernier, on oublie toute réparation et la maintenance. C'est le tours d'OS maintenant. Je ne vois pas pourquoi Little Snitch ne pourrait pas bloquer tout ce qu'utilisateur souhaite. Le "common user" n'installe jamais Little Snitch et si quelqu'un l'installe et il y a de grandes chances qu'il sait quoi bloquer et pourquoi. Une couche de "security by obscurity" de plus malheureusement...

Pour ma part je préfère dire "Security by obsurantism" mais essentiellement c'est cela.

[Zetiag]

C'est drôle comme il y a 10 ans on disait que ça arriverait... Sur Windows.

[linus]

Est ce que ce n'est pas là le fonctionnement normal de la Notarisation des applications ?
Jusque récemment, un appli n'avait le choix qu'entre aucun contrôle (lancement via le Open du Finder) et un contrôle tatillon (App Store).
App Store = signature + sandboxing (bac à sable) et certaines applis sont impossible à sandboxer (j'en sais quelque chose !)
Apple, très attaquée là-dessus, a fini par proposer une alternative plus simple.
Notarisation = signature + enregistrement sur les serveurs d'Apple d'un code unique pour chaque application. A chaque lancement le code de l'application est comparé avec le code conservé par Apple.
La notarisation, c'est BEAUCOUP plus facile et souple que le sandboxing.

Si c'est bien ça, je ne m'associerais pas à ceux qui crient ici contre ce mécanisme de sécurité. D'ailleurs j'en suis bénéficiaire pour plusieurs applis scientifiques impossible à publier sur l'App Store.
Ah oui, c'est vrai, je n'ai encore essayé Big Sur.

Publier sur l'App Store est un vrai travail
1- créer tous les certificats nécessaires
2- installer les clés publiques/privées sur sa machine
3- créer un identifiant unique
4- remplir les multiples champs des pages décrivant l'application sur iTunes Connect ... un vrai travail !
5- imposer un OS minimum pour tous les binaires, framework, dylib
6- créer un fichier contenant une description des autorisations de l'appli ("entitlements") ce qui est parfois assez difficile
7- durcir tous les binaires
8- signer le bundle + sandboxing via les "entitlements"
9- créer un package .pkg
10- signer le .pkg
11- envoyer le .pkg signé à Apple
12- attendre pas mal une réponse de validation
13- si ça a marché, soumettre l'application à Apple
14- attendre plusieurs jour le verdict ... assez souvent négatif pour l'une ou l'autre bricole
15- refaire une bonne partie de ce processus jusqu'à ce que mort s'en suive.
Une vraie galère !

Oui, oui, Xcode automatise pas mal tout ça si on a la chance d'utiliser un language supporté par Xcode et de ne pas devoir utiliser un autre environnement de développement permettant du développement multiplateforme.
Avant, on compilait/linkait et vogue la galère, maintenant c'est prise de tête. Avant on n'avait pas non plus besoin de clés compliquées, de digicodes, etc... avant... mais on vit aujourd'hui et il y a des virus et autres malwares !

Notariser une application c'est presque pareil que ci-dessus mais quand même nettement plus facile et nettement plus rapide. La réponse automatique d'Apple ne se fait attendre que 10' pas des heures ou des jours.

Ce message a été modifié par linus - 17 Nov 2020, 00:33.

[SartMatt]

Si c'est bien ça, je ne m'associerais pas à ceux qui crient ici contre ce mécanisme de sécurité. D'ailleurs j'en suis bénéficiaire pour plusieurs applis scientifiques impossible à publier sur l'App Store.

Le problème n'est pas l'existence de ce système, qui est effectivement un plus pour la sécurité tout en maintenant une liberté qui n'existe pas avec l'App Store.

Le problème c'est la façon dont c'est implémenté (transmission en clair) et l'absence de méthode simple et officielle pour le désactiver, même temporairement, par exemple en cas de dysfonctionnement (comme beaucoup l'ont remarqué ces derniers jours) ou d'attaque (quelqu'un qui intercepterait les requêtes pour répondre à la place du serveur Apple peut envoyer des réponses qui seront invalides, puisque pas signées par Apple, mais du coup ça lui permettra selon la façon dont ces réponses invalides sont traitées par l'OS soit de bloquer l'exécution d'application valides si macOS considère qu'une réponse invalide équivaut à une réponse négative, soit d'autoriser l'exécution d'applications invalides si macOS considère qu'une réponse invalide équivaut à une réponse positive... dans le premier cas, il serait bon pour l'utilisateur de pouvoir désactiver le contrôle pour retrouver l'usage de sa machine).

[20-100]

Cette discussion aura eu ça de bon pour moi. J'ai décidé d'acheter Little Snitch et j'ai bloqué tout ce qui envoie des données sans que je le demande et tout ce qui veut entrer sans avoir été invité (je n'utilise acune notification PUSH et mes comptes mail sont configurés en POP).

Plus de Number et Pages qui veulent me fourguer leur nouvelle version, plus d'incitation à passer à Catalina/Big Sur, etc.

Un des blocages les plus satifaisant est com.apple.geod.xpc

Google, qui me voyait dans une ville près de chez moi, me voit maintenant simplement au Canada.

[406]

Cette discussion aura eu ça de bon pour moi. J'ai décidé d'acheter Little Snitch et j'ai bloqué tout ce qui envoie des données sans que je le demande et tout ce qui veut entrer sans avoir été invité (je n'utilise acune notification PUSH et mes comptes mail sont configurés en POP).

Plus de Number et Pages qui veulent me fourguer leur nouvelle version, plus d'incitation à passer à Catalina/Big Sur, etc.

Un des blocages les plus satifaisant est com.apple.geod.xpc

Google, qui me voyait dans une ville près de chez moi, me voit maintenant simplement au Canada.

Icloud services et mac OS services sont cochés par défaut dans Little snitch donc pense à les désactiver si tu veux tout contrôler.

Ce message a été modifié par 406 - 17 Nov 2020, 08:09.

[kikeo]

Voilà, 4 comptes de personnes anti-macbidouille qui viennent défendre un de leurs comparses.
Amusant, très amusant mais ça en dit long sur ce que je pense, surtout quand le principal intéressé fait le mort.
Je laisse les autres membres se faire une idée de la saveur des choses, surtout que soit ces personnes lisent tout et se tiennent à l'affut, soit se sont contacté pour venir réagir. Dans les deux cas, ça en dit long.
Merci de la confirmation les gars en tout cas.

"Anti-macbidouille" ?? Là tu vas un peu loin. Même si ces utilisateurs étaient des CM d'Apple "infiltrés", et donc là pour propager "la bonne parole" d'Apple, cela ne fait pas d'eux des "anti-macbidouille". Ou alors c'est avouer que soutenir Macbidouille c'est être contre Apple, ce qui n'est pas franchement plus joli que le comportement dont tu les accuses.

Ce que je vois, et c'est mon opinion personelle, c'est que depuis les 15-20 ans que je suis (du verbe "suivre", pas "être" ) ce forum, il y a toujours eu des fervents défenseurs d'Apple qui voient dans la marque quasiment une Église, et en Jobs un quasi-Dieu (appelons les "lovers"), mais aussi de fervents critiques, pour qui tout ce que fait Apple est bon à jeter (appelons les "haters").

Alors certes, depuis qu'Apple est mainstream et a fait des choix discutables pour les bidouilleurs qui représentent la communauté "de base" de ce forum, le lectorat a changé et les bidouilleurs "historiques" sont parfois devenus des haters. Ce qui rend certains échanges avec les "lovers" tendus, et ce de manière récurrente.

Pour autant, je pense profondément que cette polarisation des échanges (si tu n'es pas avec moi = tu es contre moi) reflète malheureusement une polarisation plus générale des débats en sociétés, et rien de plus.

Ce que je vois en tant que contributeur très occasionel mais lecteur assidu, et ayant moi-même remplacé mes machines bidouillables (ah, mon vieil iMac DV overclocké au fer à souder, quelle nostalgie ) par des machines Apple collées et verrouillées, c'est que la discussion quand elle est respectueuse et argumentée est TOUJOURS passionnante et intéressante.

Alors pour conclure, je souhaiterais vraiment profondément qu'on arrête de se traiter de CM infiltré et de hater, et qu'on continue à avoir de passionnantes discussions, comme celle-ci l'est par ailleurs, sans aggressivité.

[mirmidon]

J'ai eu ce problème il y a une dizaine de jours. Pensant à un problème du syatème je l'ai réinstaller.
Deux jours après ça recommençait…

Ras le bol !!

Merci pour le truc de l'host, j'espère que ça marche.


Ce message a été modifié par mirmidon - 17 Nov 2020, 09:02.

[kikeo]

Pour en revenir au sujet principal de ce débat : étant grâce à (à cause de ?) mon travail très impliqué dans les discussions concernant l'application du RGPD et la conformité des entreprises, je me demande plusieurs choses :
- même si l'utilisateur consent aux conditions générales de l'OS qu'il installe, est-ce que ce consentement est suffisant ?
- est-ce qu'Apple (ou tout autre entreprise qui collecte ces données - je ne peux pas croire qu'Apple est la seule entreprise à avoir une telle procédure) a un intérêt légitime à le faire ? Qu'elle vérifie la signature d'un installateur lors de l'installation, passe encore. Mais à chaque lancement ?
- est-ce qu'Apple a mis en place suffisamment de mesures techniques et organisationnelles pour protéger ces données lorsqu'elles transitent et lors de leur stockage ? De toute évidence, vu l'absence de chiffrage des échanges, on peut penser que non.
- est-ce qu'Apple qui sous-traite une partie de ce process à d'autres serveurs (on a parlé d'Akamai un peu plus haut) a mis en place des accords avec ces sous-traitants pour garantir la protection des données ?

La question plus générale serait : les utilisateurs doivent-ils être informés et consentir activement à la communication de ces informations, en sachant que l'absence de consentement signifie que l'opération de vérification ne sera pas vérifiée et donc potentiellement que la sécurité de leurs applications ne sera pas garantie ?
Personellement, je pars du principe que les utilisateurs ne sont pas idiots, et que si on les informe clairement ils sont capables de prendre les décisions qui leur conviennent de manière raisonnable. Mais peut-être me trompè-je.

[é1000]

Insupportable! ça veut dire qu'Apple a la main pour décider que telle ou telle application n'a plus le droit de tourner sur ma machine!!? No way!

[JayTouCon]

Alors certes, depuis qu'Apple est mainstream et a fait des choix discutables pour les bidouilleurs qui représentent la communauté "de base" de ce forum, le lectorat a changé et les bidouilleurs "historiques" sont parfois devenus des haters. Ce qui rend certains échanges avec les "lovers" tendus, et ce de manière récurrente.

Pour autant, je pense profondément que cette polarisation des échanges (si tu n'es pas avec moi = tu es contre moi) reflète malheureusement une polarisation plus générale des débats en sociétés, et rien de plus.

Hum.
Si en gros je partage en partie ce que tu viens de dire, tu le prends à l’envers et tu omets un soucis essentiel. Cette polarisation est souhaitée par ceux que tu appelles des lovers ou fanboy. Leur but est, et on le voit sur ce fil par ailleurs fort intéressant, de justement polariser pour que toute critique soit mise face à face, sur un strict plan d’égalité avec un soutien indéfectible de la pomme( ce qui est faux et perverti le raisonnement) .

Le but est d’ainsi d’arriver à ceci : critique = hater. C’est très manichéen c’est gros comme une maison mais ça passe.
Ainsi quelqu’un qui viendrait dire que tout ce que fait la pomme est pourrie est mise dans le même sac que celui qui va s’etonner, s’offusquer de telle ou telle pratique de la pomme

En général ça se fait en plusieurs étapes.
- répondre vaguement sur le problème
- répondre sur la forme pour dévier et oublier le fond
- appui en masse ( ce que Lionel indique ) avec arrivée de plusieurs personnes qui ne vont que parler de la forme pour noyer le débat

L’arrivee de la puce T2 n’a fait que renforcer ce que beaucoup redoutaient et appréciaient auparavant chez la pomme.


Pour répondre à tes questions @kikeo : non. Quand bien même elle signe un accord elle se retranchera derrière en cas de problème. Fort heureusement pour le grand public si scandale il y a ce ne sera pas Akamai que l’on retiendra mais le nom de la pomme

Le RGPD ne s’applique pas aux USA. Tu as la réponse à ta question bien plus globale. Surtout si tu cherches ou sont les serveurs.

[linus]

Voilà, 4 comptes de personnes anti-macbidouille qui viennent défendre un de leurs comparses.
Amusant, très amusant mais ça en dit long sur ce que je pense, surtout quand le principal intéressé fait le mort.
Je laisse les autres membres se faire une idée de la saveur des choses, surtout que soit ces personnes lisent tout et se tiennent à l'affut, soit se sont contacté pour venir réagir. Dans les deux cas, ça en dit long.
Merci de la confirmation les gars en tout cas.

"Anti-macbidouille" ?? Là tu vas un peu loin. Même si ces utilisateurs étaient des CM d'Apple "infiltrés", et donc là pour propager "la bonne parole" d'Apple, cela ne fait pas d'eux des "anti-macbidouille". Ou alors c'est avouer que soutenir Macbidouille c'est être contre Apple, ce qui n'est pas franchement plus joli que le comportement dont tu les accuses.

Ce que je vois, et c'est mon opinion personelle, c'est que depuis les 15-20 ans que je suis (du verbe "suivre", pas "être" ) ce forum, il y a toujours eu des fervents défenseurs d'Apple qui voient dans la marque quasiment une Église, et en Jobs un quasi-Dieu (appelons les "lovers"), mais aussi de fervents critiques, pour qui tout ce que fait Apple est bon à jeter (appelons les "haters").

Alors certes, depuis qu'Apple est mainstream et a fait des choix discutables pour les bidouilleurs qui représentent la communauté "de base" de ce forum, le lectorat a changé et les bidouilleurs "historiques" sont parfois devenus des haters. Ce qui rend certains échanges avec les "lovers" tendus, et ce de manière récurrente.

Pour autant, je pense profondément que cette polarisation des échanges (si tu n'es pas avec moi = tu es contre moi) reflète malheureusement une polarisation plus générale des débats en sociétés, et rien de plus.

Ce que je vois en tant que contributeur très occasionel mais lecteur assidu, et ayant moi-même remplacé mes machines bidouillables (ah, mon vieil iMac DV overclocké au fer à souder, quelle nostalgie ) par des machines Apple collées et verrouillées, c'est que la discussion quand elle est respectueuse et argumentée est TOUJOURS passionnante et intéressante.

Alors pour conclure, je souhaiterais vraiment profondément qu'on arrête de se traiter de CM infiltré et de hater, et qu'on continue à avoir de passionnantes discussions, comme celle-ci l'est par ailleurs, sans aggressivité.

Lu et approuvé !
C'est bien de trouver ce type de message, ça fait plaisir.

[kikeo]

Alors certes, depuis qu'Apple est mainstream et a fait des choix discutables pour les bidouilleurs qui représentent la communauté "de base" de ce forum, le lectorat a changé et les bidouilleurs "historiques" sont parfois devenus des haters. Ce qui rend certains échanges avec les "lovers" tendus, et ce de manière récurrente.

Pour autant, je pense profondément que cette polarisation des échanges (si tu n'es pas avec moi = tu es contre moi) reflète malheureusement une polarisation plus générale des débats en sociétés, et rien de plus.

Hum.
Si en gros je partage en partie ce que tu viens de dire, tu le prends à l’envers et tu omets un soucis essentiel. Cette polarisation est souhaitée par ceux que tu appelles des lovers ou fanboy. Leur but est, et on le voit sur ce fil par ailleurs fort intéressant, de justement polariser pour que toute critique soit mise face à face, sur un strict plan d’égalité avec un soutien indéfectible de la pomme( ce qui est faux et perverti le raisonnement) .

Le but est d’ainsi d’arriver à ceci : critique = hater. C’est très manichéen c’est gros comme une maison mais ça passe.
Ainsi quelqu’un qui viendrait dire que tout ce que fait la pomme est pourrie est mise dans le même sac que celui qui va s’etonner, s’offusquer de telle ou telle pratique de la pomme

En général ça se fait en plusieurs étapes.
- répondre vaguement sur le problème
- répondre sur la forme pour dévier et oublier le fond
- appui en masse ( ce que Lionel indique ) avec arrivée de plusieurs personnes qui ne vont que parler de la forme pour noyer le débat

Moi je vois que dès que quelqu'un ose être d'accord avec une décision d'Apple qui ne plait pas aux bidouilleurs historiques, il se prend une volée de bois vert en étant accusé d'être un fan boy.
Et du coup c'est un dialogue de sourd. Dés qu'on met les gens dans des cases, on a perdu le débat. Et je trouve que c'est dommage.
Dans cet exemple précis, pourquoi ne pourrait-on pas accepter que quelqu'un pense que la vérification des certificats par Apple est quelque chose de fondamentalement bon ? On peut ne pas être d'accord, mais ne peut-on plus accepter des opinions différentes ?

Pour répondre à tes questions @kikeo : non. Quand bien même elle signe un accord elle se retranchera derrière en cas de problème. Fort heureusement pour le grand public si scandale il y a ce ne sera pas Akamai que l’on retiendra mais le nom de la pomme

Le RGPD ne s’applique pas aux USA. Tu as la réponse à ta question bien plus globale. Surtout si tu cherches ou sont les serveurs.

Le RGPD s'applique partout, tant que les données en question concernent un individu résidant en UE. Et c'est bien le challenge pour beaucoup d'entreprises multinationales. Par exemple dans mon cas, si un employé de l'UE envoie un email à notre support IT externe qui est situé en Inde, et bien cette entreprise doit garantir la protection des données de mon européen en conformité avec le rgpd.

[godzila]

Je réitère ma question de ce matin: quelqu'un peut il confirmer l'allégation de Lionel que ce mécanisme serait exclu d'un tunnel VPN sous BigSur. Si oui comment?!

Lionel ?

Je faisais référence à ceci dans le papier d'origine

Ce n'est plus possible sous Big Sur qui a mis en place une protection de certains processus système : leurs requêtes réseau ne peuvent plus être filtrées par un pare-feu local, ni passer par un VPN

Je pense (naïvement ?) qu'il y a relecture après le copier / coller ? Comme cet article porte la signature de Lionel et a du contenu éditorial je pense que l'on peut en effet te l'attribuer.

Donc à nouveau Big Sur a t-il un mécanisme qui permet de contourner un tunnel VPN ? J'ai cherché et rien trouvé en ce sens.

[Lionel]

Je pense (naïvement ?) qu'il y a relecture après le copier / coller ? Comme cet article porte la signature de Lionel et a du contenu éditorial je pense que l'on peut en effet te l'attribuer.

Donc à nouveau Big Sur a t-il un mécanisme qui permet de contourner un tunnel VPN ? J'ai cherché et rien trouvé en ce sens.

Je n'ai pas signé cet article, vérifie.

[malloc]

Dans cet exemple précis, pourquoi ne pourrait-on pas accepter que quelqu'un pense que la vérification des certificats par Apple est quelque chose de fondamentalement bon ? On peut ne pas être d'accord, mais ne peut-on plus accepter des opinions différentes ?

Tu mets le doigt sur le problème. Les opinions différentes sont tellement inenvisageables qu'elles sont soit le fait d'idiots (les fameux fanboys), soit le fait de community managers à la solde d'Apple (qui iraient jusqu'à se concerter pour intervenir ici ).

Du "nous contre eux" dans toute sa splendeur, sans compter que cela insulte une grande partie du lectorat qui se voit privé de la possibilité d'exprimer une opinion contraire sans se faire insulter ou subir une insinuation de subversion. C'est usant.

[Hebus]

Insupportable! ça veut dire qu'Apple a la main pour décider que telle ou telle application n'a plus le droit de tourner sur ma machine!!? No way!

Sous Big Sur tu peux toujours forcer l’ouverture d’une app non signée avec un click droit open ... pour l’autoriser la première fois.

Dans mon cas une app indispensable : OpenTX Companion par exemple

Alors certes, depuis qu'Apple est mainstream et a fait des choix discutables pour les bidouilleurs qui représentent la communauté "de base" de ce forum, le lectorat a changé et les bidouilleurs "historiques" sont parfois devenus des haters. Ce qui rend certains échanges avec les "lovers" tendus, et ce de manière récurrente.

Pour autant, je pense profondément que cette polarisation des échanges (si tu n'es pas avec moi = tu es contre moi) reflète malheureusement une polarisation plus générale des débats en sociétés, et rien de plus.

Hum.
Si en gros je partage en partie ce que tu viens de dire, tu le prends à l’envers et tu omets un soucis essentiel. Cette polarisation est souhaitée par ceux que tu appelles des lovers ou fanboy. Leur but est, et on le voit sur ce fil par ailleurs fort intéressant, de justement polariser pour que toute critique soit mise face à face, sur un strict plan d’égalité avec un soutien indéfectible de la pomme( ce qui est faux et perverti le raisonnement) .

Le but est d’ainsi d’arriver à ceci : critique = hater. C’est très manichéen c’est gros comme une maison mais ça passe.
Ainsi quelqu’un qui viendrait dire que tout ce que fait la pomme est pourrie est mise dans le même sac que celui qui va s’etonner, s’offusquer de telle ou telle pratique de la pomme

En général ça se fait en plusieurs étapes.
- répondre vaguement sur le problème
- répondre sur la forme pour dévier et oublier le fond
- appui en masse ( ce que Lionel indique ) avec arrivée de plusieurs personnes qui ne vont que parler de la forme pour noyer le débat

Moi je vois que dès que quelqu'un ose être d'accord avec une décision d'Apple qui ne plait pas aux bidouilleurs historiques, il se prend une volée de bois vert en étant accusé d'être un fan boy.
Et du coup c'est un dialogue de sourd. Dés qu'on met les gens dans des cases, on a perdu le débat. Et je trouve que c'est dommage.
Dans cet exemple précis, pourquoi ne pourrait-on pas accepter que quelqu'un pense que la vérification des certificats par Apple est quelque chose de fondamentalement bon ? On peut ne pas être d'accord, mais ne peut-on plus accepter des opinions différentes ?

Pour répondre à tes questions @kikeo : non. Quand bien même elle signe un accord elle se retranchera derrière en cas de problème. Fort heureusement pour le grand public si scandale il y a ce ne sera pas Akamai que l’on retiendra mais le nom de la pomme

Le RGPD ne s’applique pas aux USA. Tu as la réponse à ta question bien plus globale. Surtout si tu cherches ou sont les serveurs.

Le RGPD s'applique partout, tant que les données en question concernent un individu résidant en UE. Et c'est bien le challenge pour beaucoup d'entreprises multinationales. Par exemple dans mon cas, si un employé de l'UE envoie un email à notre support IT externe qui est situé en Inde, et bien cette entreprise doit garantir la protection des données de mon européen en conformité avec le rgpd.

Je viens juste de finir une nième formation GDPRD... si l’envoie du certificat du développeur n’est pas accompagné d’information permettant de t’identifier, je ne pense pas que cela peut être considéré comme une donnée personnelle.

Ce message a été modifié par Hebus - 17 Nov 2020, 11:10.

[LAMBERT Bertrand]

Avis d'un lecteur de MacBidouille.

Du "nous contre eux" dans toute sa splendeur, sans compter que cela insulte une grande partie du lectorat qui se voit privé de la possibilité d'exprimer une opinion contraire sans se faire insulter ou subir une insinuation de subversion. C'est usant.

Je suis entièrement d'accord avec vous malloc et kikeo.

Je suis utilisateur de matériel Apple depuis 1981 (Apple ][e) et je ne me considère ni comme Fanboy, ni comme un idiot, ni comme "Sorti de la cuisine de Jupiter" comme dirait Nab....

J'ai le droit d'aimer, de détester, de critiquer et de poser des questions idiotes pour connaître la réalité des choses. Que ce soit Apple ou Microsoft ou Adobe ou Duchnock.
D'ailleurs, j'adore les questions idiotes, c'est pour celles-ci que l'on obtient soit une réponse du genre, "Je t'expliquerai rien car t'es franchement c.." ou un exposé détaillé en 15 pages.

Bon je retourne à mes bricolages de retraité, à 67 ans je ne suis plus dans le coup. (Dixit certains)

Bonne journée à toutes et à tous.

[tchek]

Ici les Hosts et les services Apple pour celles et ceux que cela intéresse ( et pas seulement les retraités )

https://support.apple.com/en-us/HT210060

Ce message a été modifié par tchek - 17 Nov 2020, 12:04.

[SartMatt]

Donc à nouveau Big Sur a t-il un mécanisme qui permet de contourner un tunnel VPN ? J'ai cherché et rien trouvé en ce sens.

Apparemment ça dépend du type de VPN, j'ai mis à jour l'article en précisant "certains" VPN.

Avec un VPN global qui route tout le trafic de la machine via le VPN, à priori c'est bon.
Avec un VPN sélectif qui route le trafic via le VPN ou non en fonction de l'application, c'est impossible de router ces requêtes via le VPN.

Ce message a été modifié par SartMatt - 17 Nov 2020, 12:07.

[JayTouCon]

Le RGPD s'applique partout, tant que les données en question concernent un individu résidant en UE. Et c'est bien le challenge pour beaucoup d'entreprises multinationales. Par exemple dans mon cas, si un employé de l'UE envoie un email à notre support IT externe qui est situé en Inde, et bien cette entreprise doit garantir la protection des données de mon européen en conformité avec le rgpd.

impressionant.

et le 'cloud act' ..

[pipolo]

Donc à nouveau Big Sur a t-il un mécanisme qui permet de contourner un tunnel VPN ? J'ai cherché et rien trouvé en ce sens.

Apparemment ça dépend du type de VPN, j'ai mis à jour l'article en précisant "certains" VPN.

Avec un VPN global qui route tout le trafic de la machine via le VPN, à priori c'est bon.

Il me semble avoir compris le contraire justement, apparemment les process système de Big Sur peuvent contourner un VPN global.

[iAPX]

...
Je viens juste de finir une nième formation GDPRD... si l’envoie du certificat du développeur n’est pas accompagné d’information permettant de t’identifier, je ne pense pas que cela peut être considéré comme une donnée personnelle.

Eh bien l'adresse IP est considérée comme un PII (Information Personnelle permettant d'identifier quelqu'un) au titre du GDPR/RGPD, une très grosse avancée car reconnaissant ce qui est déjà utilisé par les acteurs de Tracking et de la publicité, mais aussi Hadopi.

Et par essence quand il y a requête http, il y a adresse IP.
J'ai d'ailleurs un petit code open-source pour Linux pour anonymiser les adresses IP dans les logs (bien que les logs soient une exception explicitement considérée par le RGPD/GDPR), permettant de suivre les actions consécutives depuis une adresse IP sans permettre d'identifier celle-ci (largement inutile).

D'un autre coté le GDPR/RGPD couvre non seulement les résidents Européens, mais aussi les personnes sur le sol Européen (les voyageurs ou touristes sont couverts pendant leur présence) et potentiellement, suivant les articles, les lectures et les traductions dans les lois locales aussi les citoyens des états Européens: là ça tape large.

Le mieux étant de considérer que toute personne est couverte, à-priori, par le RGPD/GDPR et d'agir en conséquence.

PS: il vaut mieux -aussi- couvrir le CCPA Californien au passage.

Ce message a été modifié par iAPX - 17 Nov 2020, 14:03.

[ungars]

C'est encore pire que ce que j'ai cru comprendre au tout début de l'article.

Dans https://sneak.berlin/i18n/2020-11-12-your-c...-isnt-yours.fr/ on apprend en plus :

Voir aussi
21 Jan 2020: Apple dropped plan for encrypting backups after FBI complained
Probablement sans rapport
Par ailleurs, Apple a discrètement mis en veilleuse la cryptographie de bout en bout de iMessage. Actuellement, l’iOS moderne vous demandera votre identifiant Apple lors de l’installation et activera automatiquement iCloud et iCloud Backup. La sauvegarde iCloud n’est pas cryptée de bout en bout : elle crypte la sauvegarde de votre appareil sur des clés Apple. Chaque appareil dont la fonction de sauvegarde iCloud est activée (elle est activée par défaut) sauvegarde l’historique complet d’iMessage sur Apple, ainsi que les clés secrètes d’iMessage de l’appareil, chaque nuit lorsqu’il est branché. Apple peut décrypter et lire ces informations sans jamais toucher l’appareil. Même si vous avez désactivé iCloud et/ou iCloud Backup : il est probable que la personne avec laquelle vous échangez des iMessages ne le fasse pas et que votre conversation soit téléchargée vers Apple (et, via PRISM, librement accessible à la communauté du renseignement militaire américain, au FBI, et à al- sans mandat ni cause probable).

Pire, si c'est possible, au sujet du problème de contournement des VPN :

https://twitter.com/patrickwardle/status/1327034191523975168

On Big Sur, trustd is in Apple's "ContentFilterExclusionList"
....meaning firewalls can't block it!

Autre texte plus constructif que les disputes là :
https://medium.com/tripmode/apple-started-h...ps-9dc83c5a9c5b "Apple started hiding the traffic of its own Mac apps"

Question : les iPhones fonctionnement avec ce même principe, je suppose ?

https://linuxfr.org/users/gouttegd/liens/ma...une-application
https://news.ycombinator.com/item?id=25095438
https://osxdaily.com/2016/09/27/allow-apps-...cos-gatekeeper/


Ce message a été modifié par ungars - 17 Nov 2020, 14:00.

[Hebus]

...
Je viens juste de finir une nième formation GDPRD... si l’envoie du certificat du développeur n’est pas accompagné d’information permettant de t’identifier, je ne pense pas que cela peut être considéré comme une donnée personnelle.

Eh bien l'adresse IP est considérée comme un PII (Information Personnelle permettant d'identifier quelqu'un) au titre du GDPR/RGPD, une très grosse avancée car reconnaissant ce qui est déjà utilisé par les acteurs de Tracking et de la publicité, mais aussi Hadopi.

Et par essence quand il y a requête http, il y a adresse IP.
J'ai d'ailleurs un petit code open-source pour Linux pour anonymiser les adresses IP dans les logs (bien que les logs soient une exception explicitement considérée par le RGPD/GDPR), permettant de suivre les actions consécutives depuis une adresse IP sans permettre d'identifier celle-ci (largement inutile).

D'un autre coté le GDPR/RGPD couvre non seulement les résidents Européens, mais aussi les personnes sur le sol Européen (les voyageurs ou touristes sont couverts pendant leur présence) et potentiellement, suivant les articles, les lectures et les traductions dans les lois locales aussi les citoyens des états Européens: là ça tape large.

Le mieux étant de considérer que toute personne est couverte, à-priori, par le RGPD/GDPR et d'agir en conséquence.

PS: il vaut mieux -aussi- couvrir le CCPA Californien au passage.

Le GRPD s’applique au data que tu stockes... tous serveur sur la toile va recevoir ton IP et ta requête, la question qui reste est qu’en font ils?... si ils ne stockent rien je ne vois pas où le GRPD s’appliquerait.

On sait déjà que Apple collecte un tas d’informations sur l’usage que nous faisons de nos application relativement aux API utilisées... d’où les optimisations sur leurs puces par exemple.

Donc ils peuvent collecter des statistiques mais conservent ils les informations personnelles relatives à cela et pouvant remonter à la personne concernée par une de ces données ? That is the question pour le GRPD.

Ce message a été modifié par Hebus - 17 Nov 2020, 15:32.

[Lionel]

C'est encore pire que ce que j'ai cru comprendre au tout début de l'article.

Dans https://sneak.berlin/i18n/2020-11-12-your-c...-isnt-yours.fr/ on apprend en plus :

Voir aussi
21 Jan 2020: Apple dropped plan for encrypting backups after FBI complained
Probablement sans rapport
Par ailleurs, Apple a discrètement mis en veilleuse la cryptographie de bout en bout de iMessage. Actuellement, l’iOS moderne vous demandera votre identifiant Apple lors de l’installation et activera automatiquement iCloud et iCloud Backup. La sauvegarde iCloud n’est pas cryptée de bout en bout : elle crypte la sauvegarde de votre appareil sur des clés Apple. Chaque appareil dont la fonction de sauvegarde iCloud est activée (elle est activée par défaut) sauvegarde l’historique complet d’iMessage sur Apple, ainsi que les clés secrètes d’iMessage de l’appareil, chaque nuit lorsqu’il est branché. Apple peut décrypter et lire ces informations sans jamais toucher l’appareil. Même si vous avez désactivé iCloud et/ou iCloud Backup : il est probable que la personne avec laquelle vous échangez des iMessages ne le fasse pas et que votre conversation soit téléchargée vers Apple (et, via PRISM, librement accessible à la communauté du renseignement militaire américain, au FBI, et à al- sans mandat ni cause probable).

Pire, si c'est possible, au sujet du problème de contournement des VPN :

https://twitter.com/patrickwardle/status/1327034191523975168

On Big Sur, trustd is in Apple's "ContentFilterExclusionList"
....meaning firewalls can't block it!

Autre texte plus constructif que les disputes là :
https://medium.com/tripmode/apple-started-h...ps-9dc83c5a9c5b "Apple started hiding the traffic of its own Mac apps"

Question : les iPhones fonctionnement avec ce même principe, je suppose ?

https://linuxfr.org/users/gouttegd/liens/ma...une-application
https://news.ycombinator.com/item?id=25095438
https://osxdaily.com/2016/09/27/allow-apps-...cos-gatekeeper/

C'était prévisible qu'Apple cède aux autorités américaines, c'était prévisible qu'elle le fasse aussi discrètement que possible. Après tout, en Chine Apple avait déjà baissé son froc.
Maintenant il faut que l'Europe réagisse pour soit avoir les mêmes droits, soit faire condamner Apple pour ces pratiques. Elle aura les mêmes droits...

[downanotch]

Notons que tout le monde n'est pas convaincu par cette histoire, notamment en raison d'une déclaration de Tim Cook postérieure au prétendu abandon du chiffrement des sauvegardes :

Our users have a key there, and we have one. We do this because some users lose or forget their key and then expect help from us to get their data back. It is difficult to estimate when we will change this practice. But I think that in the future it will be [handled] like the devices. We will therefore no longer have a key for this in the future.

Notons qu'encore que les sauvegardes iCloud sont optionnelles, et que si la sauvegarde iCloud est désactivée, iMessage est bel et bien chiffré end-to-end.

[Dahood]

C'est proprement scandaleux. Tous ces verroux imbriqués si profond dans MacOS me donnent la nausée.
Même si je ne met plus à jour mes macs depuis belle lurette, je souhaite que des contournements soient trouvés, juste pour faire la nique a Apple.
Je comprend mieux maintenant pourquoi l'iPad pro que j'ai acheté, et que malheureusement son propriétaire a mis à jour, ne permette même plus la désactivation totale du wifi et du bluetooth. Apple veut coûte que coûte avoir ses machines connectées.
Quelq'un peut me dire si cet désactivation est aussi impossible sur Big pas sûr ?

Ce message a été modifié par Dahood - 17 Nov 2020, 17:13.