Ce qui arrive sur votre Mac ne reste pas toujours sur votre Mac, Réactions à la publication du 15/11/2020

[Rédaction]

... et c'est encore moins le cas avec l'arrivée de Big Sur.

Vous avez peut-être remarqué sur votre Mac un ralentissement du lancement des applications ces derniers jours. Un ralentissement dû à une fonctionnalité de sécurité de macOS.

Introduite il y a deux ans, cette fonctionnalité consiste à envoyer à un serveur d'Apple (ocsp.apple.com) la signature unique du fichier exécutable de chaque application que vous tentez d'exécuter sur votre Mac. En réponse, le serveur indique au Mac si l'application en question peut ou non être lancée.

Si le serveur est injoignable (Mac non connecté à Internet ou requête bloquée par un pare-feu), l'application se lance immédiatement. S'il est joignable, elle n'est lancée qu'une fois qu'une réponse positive a été reçue. Ainsi, en cas de surcharge des serveurs, comme c'est arrivé les 12 et 13 novembre, l'allongement du temps de réponse du serveur provoque le ralentissement du lancement des applications, constaté par de nombreux utilisateurs.

Un dysfonctionnement qui tombe particulièrement mal, alors même qu'Apple vient de sortir macOS Big Sur, qui rend plus compliqué la désactivation de ce système. En effet, s'il n'y a jamais eu d'option officielle permettant de la désactiver, cette fonctionnalité pouvait jusqu'à présent être bloquée avec un pare-feu installé sur le Mac, comme LittleSnitch. Ce n'est plus possible sous Big Sur, qui a mis en place une protection de certains processus système : leurs requêtes réseau ne peuvent plus être filtrées par un pare-feu local, ni passer par certains VPN (un VPN virtuel aurait aussi permis de les bloquer localement).

Il semblerait que pour l'instant le blocage soit encore possible via le fichier /etc/hosts, en y ajoutant une entrée pour faire pointer ocsp.apple.com vers 127.0.0.1. Mais pour combien de temps ?

Venant d'Apple, qui se présente régulièrement comme un défenseur de la vie privée, ces restrictions sont en tout cas particulièrement mal venues, d'autant plus que les données sont transmises en clair et que les requêtes transitent par des serveurs n'appartenant pas à Apple (Apple utilise les services d'Akamai pour mieux absorber la charge), ce qui donne une grande surface d'attaque pour intercepter les requêtes et déterminer les logiciels utilisés par les Mac situés derrière une IP publique donnée, mais aussi, de deviner de manière indirecte d'autres informations : profession, horaires de travail, période de congé, loisirs…

Pire, l'absence de chiffrement pourrait éventuellement ouvrir à un attaquant la possibilité de déterminer quelles applications il vous autorise à utiliser sur votre Mac, en renvoyant des réponses négatives aux requêtes qu'il aura réussi à intercepter (ce n'est toutefois pas trivial, la réponse étant normalement signée par le serveur)…

MàJ : la signature envoyée est en fait propre à chaque développeur/éditeur, et non à chaque application, ce qui limite un peu la portée des informations pouvant être récupérées (l'attaquant peut par exemple déterminer que vous utilisez des logiciels Adobe et Microsoft, mais pas lesquels précisément).


Lien vers le billet original

[ungars]

C'est encore pire que ce que j'ai cru comprendre au tout début de l'article.

Dans https://sneak.berlin/i18n/2020-11-12-your-c...-isnt-yours.fr/ on apprend en plus :

Voir aussi
21 Jan 2020: Apple dropped plan for encrypting backups after FBI complained
Probablement sans rapport
Par ailleurs, Apple a discrètement mis en veilleuse la cryptographie de bout en bout de iMessage. Actuellement, l’iOS moderne vous demandera votre identifiant Apple lors de l’installation et activera automatiquement iCloud et iCloud Backup. La sauvegarde iCloud n’est pas cryptée de bout en bout : elle crypte la sauvegarde de votre appareil sur des clés Apple. Chaque appareil dont la fonction de sauvegarde iCloud est activée (elle est activée par défaut) sauvegarde l’historique complet d’iMessage sur Apple, ainsi que les clés secrètes d’iMessage de l’appareil, chaque nuit lorsqu’il est branché. Apple peut décrypter et lire ces informations sans jamais toucher l’appareil. Même si vous avez désactivé iCloud et/ou iCloud Backup : il est probable que la personne avec laquelle vous échangez des iMessages ne le fasse pas et que votre conversation soit téléchargée vers Apple (et, via PRISM, librement accessible à la communauté du renseignement militaire américain, au FBI, et à al- sans mandat ni cause probable).

Pire, si c'est possible, au sujet du problème de contournement des VPN :

https://twitter.com/patrickwardle/status/1327034191523975168

On Big Sur, trustd is in Apple's "ContentFilterExclusionList"
....meaning firewalls can't block it!

Autre texte plus constructif que les disputes là :
https://medium.com/tripmode/apple-started-h...ps-9dc83c5a9c5b "Apple started hiding the traffic of its own Mac apps"

Question : les iPhones fonctionnement avec ce même principe, je suppose ?

https://linuxfr.org/users/gouttegd/liens/ma...une-application
https://news.ycombinator.com/item?id=25095438
https://osxdaily.com/2016/09/27/allow-apps-...cos-gatekeeper/


Ce message a été modifié par ungars - 17 Nov 2020, 14:00.