IPB

Bienvenue invité ( Connexion | Inscription )

> Ce qui arrive sur votre Mac ne reste pas toujours sur votre Mac, Réactions à la publication du 15/11/2020
Options
Rédaction
posté 15 Nov 2020, 18:36
Message #1


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 4 858
Inscrit : 15 Mar 2009
Membre no 132 890
... et c'est encore moins le cas avec l'arrivée de Big Sur.

Vous avez peut-être remarqué sur votre Mac un ralentissement du lancement des applications ces derniers jours. Un ralentissement dû à une fonctionnalité de sécurité de macOS.

Introduite il y a deux ans, cette fonctionnalité consiste à envoyer à un serveur d'Apple (ocsp.apple.com) la signature unique du fichier exécutable de chaque application que vous tentez d'exécuter sur votre Mac. En réponse, le serveur indique au Mac si l'application en question peut ou non être lancée.

Si le serveur est injoignable (Mac non connecté à Internet ou requête bloquée par un pare-feu), l'application se lance immédiatement. S'il est joignable, elle n'est lancée qu'une fois qu'une réponse positive a été reçue. Ainsi, en cas de surcharge des serveurs, comme c'est arrivé les 12 et 13 novembre, l'allongement du temps de réponse du serveur provoque le ralentissement du lancement des applications, constaté par de nombreux utilisateurs.

Un dysfonctionnement qui tombe particulièrement mal, alors même qu'Apple vient de sortir macOS Big Sur, qui rend plus compliqué la désactivation de ce système. En effet, s'il n'y a jamais eu d'option officielle permettant de la désactiver, cette fonctionnalité pouvait jusqu'à présent être bloquée avec un pare-feu installé sur le Mac, comme LittleSnitch. Ce n'est plus possible sous Big Sur, qui a mis en place une protection de certains processus système : leurs requêtes réseau ne peuvent plus être filtrées par un pare-feu local, ni passer par certains VPN (un VPN virtuel aurait aussi permis de les bloquer localement).

Il semblerait que pour l'instant le blocage soit encore possible via le fichier /etc/hosts, en y ajoutant une entrée pour faire pointer ocsp.apple.com vers 127.0.0.1. Mais pour combien de temps ?

Venant d'Apple, qui se présente régulièrement comme un défenseur de la vie privée, ces restrictions sont en tout cas particulièrement mal venues, d'autant plus que les données sont transmises en clair et que les requêtes transitent par des serveurs n'appartenant pas à Apple (Apple utilise les services d'Akamai pour mieux absorber la charge), ce qui donne une grande surface d'attaque pour intercepter les requêtes et déterminer les logiciels utilisés par les Mac situés derrière une IP publique donnée, mais aussi, de deviner de manière indirecte d'autres informations : profession, horaires de travail, période de congé, loisirs…

Pire, l'absence de chiffrement pourrait éventuellement ouvrir à un attaquant la possibilité de déterminer quelles applications il vous autorise à utiliser sur votre Mac, en renvoyant des réponses négatives aux requêtes qu'il aura réussi à intercepter (ce n'est toutefois pas trivial, la réponse étant normalement signée par le serveur)…

MàJ : la signature envoyée est en fait propre à chaque développeur/éditeur, et non à chaque application, ce qui limite un peu la portée des informations pouvant être récupérées (l'attaquant peut par exemple déterminer que vous utilisez des logiciels Adobe et Microsoft, mais pas lesquels précisément).


Lien vers le billet original
Go to the top of the page
 
+Quote Post
 
 Start new topic
Réponse(s)
tchek
posté 15 Nov 2020, 19:01
Message #2


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 158
Inscrit : 12 Feb 2004
Lieu : ?/Know Universe/Milky Way/Solar System/Earth/private(?)/
Membre no 14 695
Allez op c'est parti :
https://sneak.berlin/20201112/your-computer-isnt-yours/
ph34r.gif wink.gif


--------------------
macOS./* Clients & Serveurs Dépannages ACTC
kernel[0]: The Regents of the University of California. All rights reserved.
mac Framework successfully initialized. (Was...)
Go to the top of the page
 
+Quote Post
linus
posté 17 Nov 2020, 00:24
Message #3


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 789
Inscrit : 24 Jun 2004
Lieu : Grenoble
Membre no 20 409
Est ce que ce n'est pas là le fonctionnement normal de la Notarisation des applications ?
Jusque récemment, un appli n'avait le choix qu'entre aucun contrôle (lancement via le Open du Finder) et un contrôle tatillon (App Store).
App Store = signature + sandboxing (bac à sable) et certaines applis sont impossible à sandboxer (j'en sais quelque chose !)
Apple, très attaquée là-dessus, a fini par proposer une alternative plus simple.
Notarisation = signature + enregistrement sur les serveurs d'Apple d'un code unique pour chaque application. A chaque lancement le code de l'application est comparé avec le code conservé par Apple.
La notarisation, c'est BEAUCOUP plus facile et souple que le sandboxing.

Si c'est bien ça, je ne m'associerais pas à ceux qui crient ici contre ce mécanisme de sécurité. D'ailleurs j'en suis bénéficiaire pour plusieurs applis scientifiques impossible à publier sur l'App Store.
Ah oui, c'est vrai, je n'ai encore essayé Big Sur.

Publier sur l'App Store est un vrai travail
1- créer tous les certificats nécessaires
2- installer les clés publiques/privées sur sa machine
3- créer un identifiant unique
4- remplir les multiples champs des pages décrivant l'application sur iTunes Connect ... un vrai travail !
5- imposer un OS minimum pour tous les binaires, framework, dylib
6- créer un fichier contenant une description des autorisations de l'appli ("entitlements") ce qui est parfois assez difficile
7- durcir tous les binaires
8- signer le bundle + sandboxing via les "entitlements"
9- créer un package .pkg
10- signer le .pkg
11- envoyer le .pkg signé à Apple
12- attendre pas mal une réponse de validation
13- si ça a marché, soumettre l'application à Apple
14- attendre plusieurs jour le verdict ... assez souvent négatif pour l'une ou l'autre bricole
15- refaire une bonne partie de ce processus jusqu'à ce que mort s'en suive.
Une vraie galère !

Oui, oui, Xcode automatise pas mal tout ça si on a la chance d'utiliser un language supporté par Xcode et de ne pas devoir utiliser un autre environnement de développement permettant du développement multiplateforme.
Avant, on compilait/linkait et vogue la galère, maintenant c'est prise de tête. Avant on n'avait pas non plus besoin de clés compliquées, de digicodes, etc... avant... mais on vit aujourd'hui et il y a des virus et autres malwares !

Notariser une application c'est presque pareil que ci-dessus mais quand même nettement plus facile et nettement plus rapide. La réponse automatique d'Apple ne se fait attendre que 10' pas des heures ou des jours.

Ce message a été modifié par linus - 17 Nov 2020, 00:33.
Go to the top of the page
 
+Quote Post

Les messages de ce sujet
- Rédaction   Ce qui arrive sur votre Mac ne reste pas toujours sur votre Mac   15 Nov 2020, 18:36
- - tchek   Allez op c'est parti : https://sneak.berlin/20...   15 Nov 2020, 19:01
|- - linus   Est ce que ce n'est pas là le fonctionnement ...   17 Nov 2020, 00:24
|- - SartMatt   Citation (linus @ 17 Nov 2020, 01:24) Si ...   17 Nov 2020, 00:39
- - Neutral_ch   Citation (Rédaction @ 15 Nov 2020, 18:36...   15 Nov 2020, 19:04
|- - SartMatt   Citation (Neutral_ch @ 15 Nov 2020, 20:04...   15 Nov 2020, 19:35
|- - tchek   Citation (Neutral_ch @ 15 Nov 2020, 19:04...   15 Nov 2020, 19:37
- - flan   Vu le nom de domaine, c'est un serveur OCSP, �...   15 Nov 2020, 19:38
|- - downanotch   Citation (flan @ 15 Nov 2020, 19:38) Vu l...   15 Nov 2020, 21:09
|- - tchek   Citation (downanotch @ 15 Nov 2020, 21:09...   15 Nov 2020, 21:17
|- - iAPX   Citation (downanotch @ 15 Nov 2020, 16:09...   16 Nov 2020, 04:08
- - julescrch   Je suis sous High Sierra et j'ai le même prob...   15 Nov 2020, 20:02
|- - baron   Citation (julescrch @ 15 Nov 2020, 20:02)...   15 Nov 2020, 20:22
- - Albook   Encore et toujours moins de liberté, avec le pré...   15 Nov 2020, 20:05
- - sekaijin   Bonjour Je ne vois pas comment apple peut m'e...   15 Nov 2020, 20:19
- - macdan   "Un ralentissement dû à une fonctionnalité...   15 Nov 2020, 20:36
|- - tchek   Citation (macdan @ 15 Nov 2020, 20:36) ...   15 Nov 2020, 20:43
- - downanotch   Citation (Rédaction @ 15 Nov 2020, 18:36...   15 Nov 2020, 21:21
|- - SartMatt   Citation (downanotch @ 15 Nov 2020, 22:21...   15 Nov 2020, 21:34
|- - zero   Citation (downanotch @ 16 Nov 2020, 05:21...   16 Nov 2020, 02:40
- - sansnom   Mon iMac est sous Mojave. J'ai eu CE 'UTAI...   15 Nov 2020, 21:35
|- - glyoscar   Citation (sansnom @ 15 Nov 2020, 22:35) N...   15 Nov 2020, 22:08
- - Fafnir   On passe de "droit" à "privilège...   15 Nov 2020, 23:42
- - downanotch   Apple a publié une note à ce sujet : https://sup...   16 Nov 2020, 08:20
|- - Lionel   Je ne peux m'empêcher de me le demander. Sou...   16 Nov 2020, 08:29
||- - shawnscott   Citation (Lionel @ 16 Nov 2020, 08:29) Je...   16 Nov 2020, 09:44
||- - Lionel   Citation (shawnscott @ 16 Nov 2020, 09:44...   16 Nov 2020, 10:19
||- - johnstone   Citation (shawnscott @ 16 Nov 2020, 09:44...   16 Nov 2020, 10:28
||- - chianti's yogurt   Citation (johnstone @ 16 Nov 2020, 11:28)...   16 Nov 2020, 10:35
||- - tchek   Citation (johnstone @ 16 Nov 2020, 10:28)...   16 Nov 2020, 10:42
|||- - VDAC   Citation (chianti's yogurt @ 16 Nov 2020,...   16 Nov 2020, 10:59
|||- - mR_Zlu   Citation (tchek @ 16 Nov 2020, 10:42) Cit...   16 Nov 2020, 10:59
|||- - Lionel   Citation (mR_Zlu @ 16 Nov 2020, 10:59) Do...   16 Nov 2020, 11:25
|||- - divoli   Citation (Lionel @ 16 Nov 2020, 11:25) Ci...   16 Nov 2020, 12:31
|||- - Lionel   Citation (divoli @ 16 Nov 2020, 12:31) Ci...   16 Nov 2020, 12:45
|||- - johnstone   Citation (Lionel @ 16 Nov 2020, 12:45) Ci...   16 Nov 2020, 13:05
||- - malloc   Citation (johnstone @ 16 Nov 2020, 10:28)...   16 Nov 2020, 13:38
||- - tchek   Citation (malloc @ 16 Nov 2020, 13:38) Ci...   16 Nov 2020, 13:44
||- - malloc   Citation (tchek @ 16 Nov 2020, 13:44) Cit...   16 Nov 2020, 15:02
|- - SartMatt   Citation (downanotch @ 15 Nov 2020, 22:21...   16 Nov 2020, 09:26
|- - downanotch   Citation (SartMatt @ 16 Nov 2020, 09:26) ...   16 Nov 2020, 09:35
|- - SartMatt   Citation (downanotch @ 16 Nov 2020, 10:35...   16 Nov 2020, 09:45
|- - downanotch   Citation (SartMatt @ 16 Nov 2020, 09:45) ...   16 Nov 2020, 10:13
- - IODA   Inconditionnel de cette marque depuis ma naissance...   16 Nov 2020, 08:45
- - godzila   Est-ce que quelqu'un a une reference sur le fa...   16 Nov 2020, 09:13
- - STRyk   Ca devient vraiment n'importe quoi Mac OS. S...   16 Nov 2020, 10:29
|- - SartMatt   Citation (STRyk @ 16 Nov 2020, 11:29) Ca ...   16 Nov 2020, 10:52
|- - brenda   Citation (SartMatt @ 16 Nov 2020, 11:52) ...   16 Nov 2020, 13:22
- - ekami   Apple s'est fendue d'un démenti et d...   16 Nov 2020, 11:43
- - dulrich   Ce qui est affligeant, c'est qu'il y a un ...   16 Nov 2020, 11:52
|- - ekami   Citation (dulrich @ 16 Nov 2020, 12:52) C...   16 Nov 2020, 12:05
|- - JayTouCon   Citation (dulrich @ 16 Nov 2020, 11:52) C...   16 Nov 2020, 14:10
- - Hebus   Futur retraité... la ligne s’éloigne un peu pl...   16 Nov 2020, 12:50
- - tchek   Je serai très curieux de connaitre la somme consa...   16 Nov 2020, 13:01
- - iAPX   Pouvoir révoquer des certificats développeur n...   16 Nov 2020, 13:14
- - Lionel   Voilà, 4 comptes de personnes anti-macbidouille q...   16 Nov 2020, 13:54
|- - johnstone   Citation (Lionel @ 16 Nov 2020, 13:54) Vo...   16 Nov 2020, 14:40
|- - kikeo   Citation (Lionel @ 16 Nov 2020, 13:54) Vo...   17 Nov 2020, 09:00
|- - JayTouCon   Citation (kikeo @ 17 Nov 2020, 09:00) Alo...   17 Nov 2020, 09:40
||- - kikeo   Citation (JayTouCon @ 17 Nov 2020, 09:40)...   17 Nov 2020, 10:07
||- - malloc   Citation (kikeo @ 17 Nov 2020, 10:07) Dan...   17 Nov 2020, 10:53
|||- - LAMBERT Bertrand   Avis d'un lecteur de MacBidouille. Citation (...   17 Nov 2020, 11:44
||- - JayTouCon   Citation (kikeo @ 17 Nov 2020, 10:07) Le ...   17 Nov 2020, 12:34
|- - linus   Citation (kikeo @ 17 Nov 2020, 10:00) Cit...   17 Nov 2020, 09:59
- - lizuel   J'ai une question de béotien : à quoi peut s...   16 Nov 2020, 14:36
|- - iAPX   Citation (lizuel @ 16 Nov 2020, 09:36) J...   16 Nov 2020, 14:44
||- - downanotch   Citation (iAPX @ 16 Nov 2020, 14:44) Cita...   16 Nov 2020, 15:38
|- - tchek   Citation (lizuel @ 16 Nov 2020, 14:36) J...   16 Nov 2020, 14:48
- - Macintox   De high sierra a Catalina, il y a ça assez bien d...   16 Nov 2020, 15:01
- - lizuel   Merci pour vos deux réponses. Vous parlez tous le...   16 Nov 2020, 15:04
|- - SartMatt   Citation (lizuel @ 16 Nov 2020, 16:04) Vo...   16 Nov 2020, 15:11
|- - iAPX   Citation (lizuel @ 16 Nov 2020, 10:04) Me...   16 Nov 2020, 15:13
- - godzila   Je réitère ma question de ce matin: quelqu'u...   16 Nov 2020, 17:22
|- - Lionel   Citation (godzila @ 16 Nov 2020, 17:22) J...   16 Nov 2020, 18:43
|- - godzila   Citation (Lionel @ 16 Nov 2020, 19:43) Ci...   17 Nov 2020, 10:39
|- - Lionel   Citation (godzila @ 17 Nov 2020, 10:39) J...   17 Nov 2020, 10:48
|- - SartMatt   Citation (godzila @ 17 Nov 2020, 11:39) D...   17 Nov 2020, 12:07
|- - pipolo   Citation (SartMatt @ 17 Nov 2020, 12:07) ...   17 Nov 2020, 12:59
- - Hebus   https://blog.jacopo.io/en/post/apple-ocsp/   16 Nov 2020, 17:39
|- - johnstone   Citation (Hebus @ 16 Nov 2020, 17:39) htt...   16 Nov 2020, 18:16
|- - vlady   Citation (johnstone @ 16 Nov 2020, 18:16)...   16 Nov 2020, 22:56
|- - iAPX   Citation (vlady @ 16 Nov 2020, 17:56) Cit...   16 Nov 2020, 23:58
- - Pat94   Bonsoir, À vous lire, je dirais que de la discus...   16 Nov 2020, 18:35
- - Touch78   Citation Donc un Mac non connecté au web fonction...   16 Nov 2020, 18:54
- - ades   avec Mojave (et p'tet même high sierra) on fa...   16 Nov 2020, 19:37
- - Munch   Plus que très probablement sous 10.13.x "Hig...   16 Nov 2020, 19:51
- - Zetiag   C'est drôle comme il y a 10 ans on disait que...   17 Nov 2020, 00:14
- - 20-100   Cette discussion aura eu ça de bon pour moi. J...   17 Nov 2020, 04:39
|- - 406   Citation (20-100 @ 17 Nov 2020, 04:3...   17 Nov 2020, 08:09
- - mirmidon   J'ai eu ce problème il y a une dizaine de jou...   17 Nov 2020, 09:01
- - kikeo   Pour en revenir au sujet principal de ce débat : ...   17 Nov 2020, 09:10
- - é1000   Insupportable! ça veut dire qu'Apple a la...   17 Nov 2020, 09:37
|- - Hebus   Citation (é1000 @ 17 Nov 2020, 09:37) In...   17 Nov 2020, 11:09
|- - iAPX   Citation (Hebus @ 17 Nov 2020, 06:09) ......   17 Nov 2020, 13:43
|- - Hebus   Citation (iAPX @ 17 Nov 2020, 13:43) Cita...   17 Nov 2020, 14:54
- - tchek   Ici les Hosts et les services Apple pour celles et...   17 Nov 2020, 12:03
- - ungars   C'est encore pire que ce que j'ai cru comp...   17 Nov 2020, 13:53
|- - Lionel   Citation (ungars @ 17 Nov 2020, 13:53) C...   17 Nov 2020, 15:32
- - downanotch   Notons que tout le monde n'est pas convaincu p...   17 Nov 2020, 16:34
- - Dahood   C'est proprement scandaleux. Tous ces verroux ...   17 Nov 2020, 17:12
2 Pages V   1 2 >

« Sujets plus anciens · Macbidouille Articles & News : Vos Réactions · Sujets plus récents »
 

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 

Modes d'affichage: Passer au mode : Standard · Passer au mode : Linéaire+ · Arborescent

Suivre ce sujet · Envoyer ce sujet · Imprimer ce sujet · S'abonner à ce forum

Nous sommes le : 18th July 2025 - 07:40
Powered By IP.Board 2.3.6 © 2025  IPS, Inc.