Ce qui arrive sur votre Mac ne reste pas toujours sur votre Mac, Réactions à la publication du 15/11/2020

[Rédaction]

... et c'est encore moins le cas avec l'arrivée de Big Sur.

Vous avez peut-être remarqué sur votre Mac un ralentissement du lancement des applications ces derniers jours. Un ralentissement dû à une fonctionnalité de sécurité de macOS.

Introduite il y a deux ans, cette fonctionnalité consiste à envoyer à un serveur d'Apple (ocsp.apple.com) la signature unique du fichier exécutable de chaque application que vous tentez d'exécuter sur votre Mac. En réponse, le serveur indique au Mac si l'application en question peut ou non être lancée.

Si le serveur est injoignable (Mac non connecté à Internet ou requête bloquée par un pare-feu), l'application se lance immédiatement. S'il est joignable, elle n'est lancée qu'une fois qu'une réponse positive a été reçue. Ainsi, en cas de surcharge des serveurs, comme c'est arrivé les 12 et 13 novembre, l'allongement du temps de réponse du serveur provoque le ralentissement du lancement des applications, constaté par de nombreux utilisateurs.

Un dysfonctionnement qui tombe particulièrement mal, alors même qu'Apple vient de sortir macOS Big Sur, qui rend plus compliqué la désactivation de ce système. En effet, s'il n'y a jamais eu d'option officielle permettant de la désactiver, cette fonctionnalité pouvait jusqu'à présent être bloquée avec un pare-feu installé sur le Mac, comme LittleSnitch. Ce n'est plus possible sous Big Sur, qui a mis en place une protection de certains processus système : leurs requêtes réseau ne peuvent plus être filtrées par un pare-feu local, ni passer par certains VPN (un VPN virtuel aurait aussi permis de les bloquer localement).

Il semblerait que pour l'instant le blocage soit encore possible via le fichier /etc/hosts, en y ajoutant une entrée pour faire pointer ocsp.apple.com vers 127.0.0.1. Mais pour combien de temps ?

Venant d'Apple, qui se présente régulièrement comme un défenseur de la vie privée, ces restrictions sont en tout cas particulièrement mal venues, d'autant plus que les données sont transmises en clair et que les requêtes transitent par des serveurs n'appartenant pas à Apple (Apple utilise les services d'Akamai pour mieux absorber la charge), ce qui donne une grande surface d'attaque pour intercepter les requêtes et déterminer les logiciels utilisés par les Mac situés derrière une IP publique donnée, mais aussi, de deviner de manière indirecte d'autres informations : profession, horaires de travail, période de congé, loisirs…

Pire, l'absence de chiffrement pourrait éventuellement ouvrir à un attaquant la possibilité de déterminer quelles applications il vous autorise à utiliser sur votre Mac, en renvoyant des réponses négatives aux requêtes qu'il aura réussi à intercepter (ce n'est toutefois pas trivial, la réponse étant normalement signée par le serveur)…

MàJ : la signature envoyée est en fait propre à chaque développeur/éditeur, et non à chaque application, ce qui limite un peu la portée des informations pouvant être récupérées (l'attaquant peut par exemple déterminer que vous utilisez des logiciels Adobe et Microsoft, mais pas lesquels précisément).


Lien vers le billet original

[é1000]

Insupportable! ça veut dire qu'Apple a la main pour décider que telle ou telle application n'a plus le droit de tourner sur ma machine!!? No way!

[Hebus]

Insupportable! ça veut dire qu'Apple a la main pour décider que telle ou telle application n'a plus le droit de tourner sur ma machine!!? No way!

Sous Big Sur tu peux toujours forcer l’ouverture d’une app non signée avec un click droit open ... pour l’autoriser la première fois.

Dans mon cas une app indispensable : OpenTX Companion par exemple

Alors certes, depuis qu'Apple est mainstream et a fait des choix discutables pour les bidouilleurs qui représentent la communauté "de base" de ce forum, le lectorat a changé et les bidouilleurs "historiques" sont parfois devenus des haters. Ce qui rend certains échanges avec les "lovers" tendus, et ce de manière récurrente.

Pour autant, je pense profondément que cette polarisation des échanges (si tu n'es pas avec moi = tu es contre moi) reflète malheureusement une polarisation plus générale des débats en sociétés, et rien de plus.

Hum.
Si en gros je partage en partie ce que tu viens de dire, tu le prends à l’envers et tu omets un soucis essentiel. Cette polarisation est souhaitée par ceux que tu appelles des lovers ou fanboy. Leur but est, et on le voit sur ce fil par ailleurs fort intéressant, de justement polariser pour que toute critique soit mise face à face, sur un strict plan d’égalité avec un soutien indéfectible de la pomme( ce qui est faux et perverti le raisonnement) .

Le but est d’ainsi d’arriver à ceci : critique = hater. C’est très manichéen c’est gros comme une maison mais ça passe.
Ainsi quelqu’un qui viendrait dire que tout ce que fait la pomme est pourrie est mise dans le même sac que celui qui va s’etonner, s’offusquer de telle ou telle pratique de la pomme

En général ça se fait en plusieurs étapes.
- répondre vaguement sur le problème
- répondre sur la forme pour dévier et oublier le fond
- appui en masse ( ce que Lionel indique ) avec arrivée de plusieurs personnes qui ne vont que parler de la forme pour noyer le débat

Moi je vois que dès que quelqu'un ose être d'accord avec une décision d'Apple qui ne plait pas aux bidouilleurs historiques, il se prend une volée de bois vert en étant accusé d'être un fan boy.
Et du coup c'est un dialogue de sourd. Dés qu'on met les gens dans des cases, on a perdu le débat. Et je trouve que c'est dommage.
Dans cet exemple précis, pourquoi ne pourrait-on pas accepter que quelqu'un pense que la vérification des certificats par Apple est quelque chose de fondamentalement bon ? On peut ne pas être d'accord, mais ne peut-on plus accepter des opinions différentes ?

Pour répondre à tes questions @kikeo : non. Quand bien même elle signe un accord elle se retranchera derrière en cas de problème. Fort heureusement pour le grand public si scandale il y a ce ne sera pas Akamai que l’on retiendra mais le nom de la pomme

Le RGPD ne s’applique pas aux USA. Tu as la réponse à ta question bien plus globale. Surtout si tu cherches ou sont les serveurs.

Le RGPD s'applique partout, tant que les données en question concernent un individu résidant en UE. Et c'est bien le challenge pour beaucoup d'entreprises multinationales. Par exemple dans mon cas, si un employé de l'UE envoie un email à notre support IT externe qui est situé en Inde, et bien cette entreprise doit garantir la protection des données de mon européen en conformité avec le rgpd.

Je viens juste de finir une nième formation GDPRD... si l’envoie du certificat du développeur n’est pas accompagné d’information permettant de t’identifier, je ne pense pas que cela peut être considéré comme une donnée personnelle.

Ce message a été modifié par Hebus - 17 Nov 2020, 11:10.

[iAPX]

...
Je viens juste de finir une nième formation GDPRD... si l’envoie du certificat du développeur n’est pas accompagné d’information permettant de t’identifier, je ne pense pas que cela peut être considéré comme une donnée personnelle.

Eh bien l'adresse IP est considérée comme un PII (Information Personnelle permettant d'identifier quelqu'un) au titre du GDPR/RGPD, une très grosse avancée car reconnaissant ce qui est déjà utilisé par les acteurs de Tracking et de la publicité, mais aussi Hadopi.

Et par essence quand il y a requête http, il y a adresse IP.
J'ai d'ailleurs un petit code open-source pour Linux pour anonymiser les adresses IP dans les logs (bien que les logs soient une exception explicitement considérée par le RGPD/GDPR), permettant de suivre les actions consécutives depuis une adresse IP sans permettre d'identifier celle-ci (largement inutile).

D'un autre coté le GDPR/RGPD couvre non seulement les résidents Européens, mais aussi les personnes sur le sol Européen (les voyageurs ou touristes sont couverts pendant leur présence) et potentiellement, suivant les articles, les lectures et les traductions dans les lois locales aussi les citoyens des états Européens: là ça tape large.

Le mieux étant de considérer que toute personne est couverte, à-priori, par le RGPD/GDPR et d'agir en conséquence.

PS: il vaut mieux -aussi- couvrir le CCPA Californien au passage.

Ce message a été modifié par iAPX - 17 Nov 2020, 14:03.

[Hebus]

...
Je viens juste de finir une nième formation GDPRD... si l’envoie du certificat du développeur n’est pas accompagné d’information permettant de t’identifier, je ne pense pas que cela peut être considéré comme une donnée personnelle.

Eh bien l'adresse IP est considérée comme un PII (Information Personnelle permettant d'identifier quelqu'un) au titre du GDPR/RGPD, une très grosse avancée car reconnaissant ce qui est déjà utilisé par les acteurs de Tracking et de la publicité, mais aussi Hadopi.

Et par essence quand il y a requête http, il y a adresse IP.
J'ai d'ailleurs un petit code open-source pour Linux pour anonymiser les adresses IP dans les logs (bien que les logs soient une exception explicitement considérée par le RGPD/GDPR), permettant de suivre les actions consécutives depuis une adresse IP sans permettre d'identifier celle-ci (largement inutile).

D'un autre coté le GDPR/RGPD couvre non seulement les résidents Européens, mais aussi les personnes sur le sol Européen (les voyageurs ou touristes sont couverts pendant leur présence) et potentiellement, suivant les articles, les lectures et les traductions dans les lois locales aussi les citoyens des états Européens: là ça tape large.

Le mieux étant de considérer que toute personne est couverte, à-priori, par le RGPD/GDPR et d'agir en conséquence.

PS: il vaut mieux -aussi- couvrir le CCPA Californien au passage.

Le GRPD s’applique au data que tu stockes... tous serveur sur la toile va recevoir ton IP et ta requête, la question qui reste est qu’en font ils?... si ils ne stockent rien je ne vois pas où le GRPD s’appliquerait.

On sait déjà que Apple collecte un tas d’informations sur l’usage que nous faisons de nos application relativement aux API utilisées... d’où les optimisations sur leurs puces par exemple.

Donc ils peuvent collecter des statistiques mais conservent ils les informations personnelles relatives à cela et pouvant remonter à la personne concernée par une de ces données ? That is the question pour le GRPD.

Ce message a été modifié par Hebus - 17 Nov 2020, 15:32.