IPB

Bienvenue invité ( Connexion | Inscription )

5 Pages V   1 2 3 > »   
Reply to this topicStart new topic
> Ce qui arrive sur votre Mac ne reste pas toujours sur votre Mac, Réactions à la publication du 15/11/2020
Options
Rédaction
posté 15 Nov 2020, 18:36
Message #1


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 4 858
Inscrit : 15 Mar 2009
Membre no 132 890



... et c'est encore moins le cas avec l'arrivée de Big Sur.

Vous avez peut-être remarqué sur votre Mac un ralentissement du lancement des applications ces derniers jours. Un ralentissement dû à une fonctionnalité de sécurité de macOS.

Introduite il y a deux ans, cette fonctionnalité consiste à envoyer à un serveur d'Apple (ocsp.apple.com) la signature unique du fichier exécutable de chaque application que vous tentez d'exécuter sur votre Mac. En réponse, le serveur indique au Mac si l'application en question peut ou non être lancée.

Si le serveur est injoignable (Mac non connecté à Internet ou requête bloquée par un pare-feu), l'application se lance immédiatement. S'il est joignable, elle n'est lancée qu'une fois qu'une réponse positive a été reçue. Ainsi, en cas de surcharge des serveurs, comme c'est arrivé les 12 et 13 novembre, l'allongement du temps de réponse du serveur provoque le ralentissement du lancement des applications, constaté par de nombreux utilisateurs.

Un dysfonctionnement qui tombe particulièrement mal, alors même qu'Apple vient de sortir macOS Big Sur, qui rend plus compliqué la désactivation de ce système. En effet, s'il n'y a jamais eu d'option officielle permettant de la désactiver, cette fonctionnalité pouvait jusqu'à présent être bloquée avec un pare-feu installé sur le Mac, comme LittleSnitch. Ce n'est plus possible sous Big Sur, qui a mis en place une protection de certains processus système : leurs requêtes réseau ne peuvent plus être filtrées par un pare-feu local, ni passer par certains VPN (un VPN virtuel aurait aussi permis de les bloquer localement).

Il semblerait que pour l'instant le blocage soit encore possible via le fichier /etc/hosts, en y ajoutant une entrée pour faire pointer ocsp.apple.com vers 127.0.0.1. Mais pour combien de temps ?

Venant d'Apple, qui se présente régulièrement comme un défenseur de la vie privée, ces restrictions sont en tout cas particulièrement mal venues, d'autant plus que les données sont transmises en clair et que les requêtes transitent par des serveurs n'appartenant pas à Apple (Apple utilise les services d'Akamai pour mieux absorber la charge), ce qui donne une grande surface d'attaque pour intercepter les requêtes et déterminer les logiciels utilisés par les Mac situés derrière une IP publique donnée, mais aussi, de deviner de manière indirecte d'autres informations : profession, horaires de travail, période de congé, loisirs…

Pire, l'absence de chiffrement pourrait éventuellement ouvrir à un attaquant la possibilité de déterminer quelles applications il vous autorise à utiliser sur votre Mac, en renvoyant des réponses négatives aux requêtes qu'il aura réussi à intercepter (ce n'est toutefois pas trivial, la réponse étant normalement signée par le serveur)…

MàJ : la signature envoyée est en fait propre à chaque développeur/éditeur, et non à chaque application, ce qui limite un peu la portée des informations pouvant être récupérées (l'attaquant peut par exemple déterminer que vous utilisez des logiciels Adobe et Microsoft, mais pas lesquels précisément).


Lien vers le billet original

Go to the top of the page
 
+Quote Post
tchek
posté 15 Nov 2020, 19:01
Message #2


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 150
Inscrit : 12 Feb 2004
Lieu : ?/Know Universe/Milky Way/Solar System/Earth/private(?)/
Membre no 14 695



Allez op c'est parti :
https://sneak.berlin/20201112/your-computer-isnt-yours/
ph34r.gif wink.gif


--------------------
macOS./* Clients & Serveurs Dépannages ACTC
kernel[0]: The Regents of the University of California. All rights reserved.
mac Framework successfully initialized. (Was...)
Go to the top of the page
 
+Quote Post
Guest_Neutral_ch_*
posté 15 Nov 2020, 19:04
Message #3





Guests






Citation (Rédaction @ 15 Nov 2020, 18:36) *
Introduite il y a deux ans

Hello, cela veut dire qu'elle a été implémentée avec Mojave et les versions suivantes d'OSX ou que cela touche aussi les versions précédentes?
Go to the top of the page
 
+Quote Post
SartMatt
posté 15 Nov 2020, 19:35
Message #4


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 32 183
Inscrit : 15 Nov 2005
Membre no 49 996



Citation (Neutral_ch @ 15 Nov 2020, 20:04) *
Citation (Rédaction @ 15 Nov 2020, 18:36) *
Introduite il y a deux ans

Hello, cela veut dire qu'elle a été implémentée avec Mojave et les versions suivantes d'OSX ou que cela touche aussi les versions précédentes?
Tel que je l'ai compris, c'est Mojave et supérieurs, ça n'a pas été porté sur les anciennes versions.


--------------------

Go to the top of the page
 
+Quote Post
tchek
posté 15 Nov 2020, 19:37
Message #5


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 150
Inscrit : 12 Feb 2004
Lieu : ?/Know Universe/Milky Way/Solar System/Earth/private(?)/
Membre no 14 695



Citation (Neutral_ch @ 15 Nov 2020, 19:04) *
Citation (Rédaction @ 15 Nov 2020, 18:36) *
Introduite il y a deux ans
Hello, cela veut dire qu'elle a été implémentée avec Mojave et les versions suivantes d'OSX ou que cela touche aussi les versions précédentes?

Selon Jeffrey Paul oui ...
Citation
"A: This has been happening since at least macOS Catalina (10.15.x, released 7 October 2019). This did not just start with yesterday’s release of Big Sur, it has been happening silently for at least a year. According to Jeff Johnson of Lap Cat Software, this started with macOS Mojave, which was released on 24 September 2018."


--------------------
macOS./* Clients & Serveurs Dépannages ACTC
kernel[0]: The Regents of the University of California. All rights reserved.
mac Framework successfully initialized. (Was...)
Go to the top of the page
 
+Quote Post
flan
posté 15 Nov 2020, 19:38
Message #6


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 608
Inscrit : 1 Jul 2006
Membre no 63 808



Vu le nom de domaine, c'est un serveur OCSP, à qui le numéro de série d'un certificat (en l'occurrence celui de l'éditeur du logiciel) est envoyé et qui répond si le certificat est encore valide ou s'il a été révoqué.

Et il y a exactement le même système pour beaucoup de certificats SSL (c'est par exemple le cas sur le certificat de MacBidouille : Digicert peut savoir que votre adresse IP fréquente MacBidouille).
Go to the top of the page
 
+Quote Post
julescrch
posté 15 Nov 2020, 20:02
Message #7


Nouveau Membre


Groupe : Membres
Messages : 12
Inscrit : 15 Nov 2020
Membre no 212 848



Je suis sous High Sierra et j'ai le même problème. Le téléchargement fonctionne sur l'App Store, mais impossible d'ouvrir les applis, à moins d'en remplacer la signature (sauf pour certaines comme Messenger où cela ne change rien...).

Ayant installé MacOS High Sierra Vendredi 13 NOV en fin de journée sur mon nouveau disque dur, je me demande si cela sera persistant ou pas... Comment se fait il que quelques jours après le bug ça n'ai toujours pas été réglé ??
Go to the top of the page
 
+Quote Post
Albook
posté 15 Nov 2020, 20:05
Message #8


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 415
Inscrit : 31 Aug 2006
Membre no 67 018



Encore et toujours moins de liberté, avec le prétexte de davantage de sécurité : et l'on sait depuis très longtemps que ce n'est jamais vrai ...
Ici encore Apple n'a rien inventé, mais il sait toujours aussi bien présenter ces restrictions ( violation de la vie privée) comme un avantage !
Go to the top of the page
 
+Quote Post
sekaijin
posté 15 Nov 2020, 20:19
Message #9


Adepte de Macbidouille
*

Groupe : Membres
Messages : 173
Inscrit : 23 Oct 2004
Membre no 25 688



Bonjour

Je ne vois pas comment apple peut m'empêcher de bloquer ocsp.apple.com sur mon routeur.
A+JYT
Go to the top of the page
 
+Quote Post
baron
posté 15 Nov 2020, 20:22
Message #10


Macbidouilleur d'Or !
*****

Groupe : Modérateurs
Messages : 19 315
Inscrit : 22 Jul 2004
Lieu : Louvain-la-Neuve (Gaule Gelbique)
Membre no 21 291



Citation (julescrch @ 15 Nov 2020, 20:02) *
Je suis sous High Sierra et j'ai le même problème. Le téléchargement fonctionne sur l'App Store, mais impossible d'ouvrir les applis, à moins d'en remplacer la signature (sauf pour certaines comme Messenger où cela ne change rien...).

Ayant installé MacOS High Sierra Vendredi 13 NOV en fin de journée sur mon nouveau disque dur, je me demande si cela sera persistant ou pas... Comment se fait il que quelques jours après le bug ça n'ai toujours pas été réglé ??

Je copie ici ce que j'en disais par ailleurs :
Citation (baron @ 15 Nov 2020, 20:16) *
Le problème n'est pas que les erveurs ne fonctionnent pas (dans ce cas, une réponse appropriée est prévue), mais qu'ils mettent trop de temps à répondre (soft failure), ce qui est bien plus difficile à résoudre.

Un serveur en panne, ça se remplace vite fait mais ici, il s'agit de la surcharge de serveurs en grappe, sollicités par tous les utilisateurs Mac qui ont installé et utilisent Big Sur, Catalina ou Mojave (au minimum).

Depuis vendredi, Apple a apparemment déjà augmenté de cinq minutes à une demi journée la durée pendant laquelle ils gardaient en cache la réponse à une requête OCSP pour tenter de soulager ces serveurs, mais ça n'a pas encore l'air de suffire pleinement…
https://lapcatsoftware.com/articles/ocsp.html

Dans ton cas, comme il y a eu réinstallation ce vendredi 13 (!), il se peut que la nouvelle version postée par Apple de High Sierra contienne de nouveaux certificats de sécurité, qui doivent être validés par ces serveurs un peu lents à la détente…


--------------------
MacBook Pro 14’’ 2021, M1 Pro, 16 Go/1 To – macOS  12.6 “Monterey”  MacBook Pro 15’’ mi-2010 Core i5 2,53 GHz, 8 Go/SSD Samsung 860EVO 1 To – Mac OSX 10.6.8  Power Macintosh G3 beige de bureau, rev.1 @ 233MHz, 288 Mo/4Go – MacOS 9.1 — + carte PCI IDE/ATA Tempo 66 Acard 6260 avec HD interne Maxtor 80 Go + graveur interne CDRW/DVD LG GCC-4520B + tablette A4 Wacom UD-0608-A + LaCie ElectronBlueIV 19" + HP ScanJet 6100C   B-Box 3 + HP LaserJet 4000 N  
La recherche dans MacBidouille vous paraît obscure ? J'ai rédigé une proposition de FAQ. Le moteur logiciel a un peu changé depuis mais ça peut aider quand même.
Les corsaires mettent en berne…
Go to the top of the page
 
+Quote Post
macdan
posté 15 Nov 2020, 20:36
Message #11


Macbidouilleur d'argent !
***

Groupe : Membres
Messages : 793
Inscrit : 5 Nov 2001
Membre no 1 217



"Un ralentissement dû à une fonctionnalité de sécurité de macOS" dites-vous ? ... de "sécurité" ou bien "d'espionnage" en fait ?
Je n'ai plus aucune confiance en Apple qui est devenue (largement) l'équivalent de "Google" dans le rôle de "Big Brother" auprès de ses utilisateurs !
Franchement, ça m'attriste de voir ce qu'Apple est devenue après l'ère "S. Jobs" : un désert d'humanité pour un max de frivolités !


--------------------
Dan
(Mac Pro 5.1 Quad Core 2,8 GHz - 4 To stock - 16 Go Ram - 2 écrans 27" et 24" OS = SL + High Sierra - iPod 5G/30 Go - iPhone 15 Pro/128 Go - iPad Pro 12,9"/256 Go)
Go to the top of the page
 
+Quote Post
tchek
posté 15 Nov 2020, 20:43
Message #12


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 150
Inscrit : 12 Feb 2004
Lieu : ?/Know Universe/Milky Way/Solar System/Earth/private(?)/
Membre no 14 695



Citation (macdan @ 15 Nov 2020, 20:36) *
"Un ralentissement dû à une fonctionnalité de sécurité de macOS" dites-vous ? ... de "sécurité" ou bien "d'espionnage" en fait ? Je n'ai plus aucune confiance en Apple qui est devenue (largement) l'équivalent de "Google" dans le rôle de "Big Brother" auprès de ses utilisateurs ! Franchement, ça m'attriste de voir ce qu'Apple est devenue après l'ère "S. Jobs" : un désert d'humanité pour un max de frivolités !

On se calme... biggrin.gif
Comme on l'a vu lors de la dernière Keynote totalement aseptisée, ce ne sont plus que des clones d'eux mêmes, lisses et sans âme. Beaucoup apprécient cette séduisante mascarade en salle blanche. wink.gif

Ce message a été modifié par tchek - 15 Nov 2020, 20:46.


--------------------
macOS./* Clients & Serveurs Dépannages ACTC
kernel[0]: The Regents of the University of California. All rights reserved.
mac Framework successfully initialized. (Was...)
Go to the top of the page
 
+Quote Post
downanotch
posté 15 Nov 2020, 21:09
Message #13


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 827
Inscrit : 11 Apr 2012
Membre no 175 864



Citation (flan @ 15 Nov 2020, 19:38) *
Vu le nom de domaine, c'est un serveur OCSP, à qui le numéro de série d'un certificat (en l'occurrence celui de l'éditeur du logiciel) est envoyé et qui répond si le certificat est encore valide ou s'il a été révoqué.

Et il y a exactement le même système pour beaucoup de certificats SSL (c'est par exemple le cas sur le certificat de MacBidouille : Digicert peut savoir que votre adresse IP fréquente MacBidouille).

C'est exactement ça, Jeffrey Paul n'a pas tout compris : https://blog.jacopo.io/en/post/apple-ocsp/

Ci dessous le TL;DR du lien ci-dessus :
  • Non, macOS n'envoie pas à Apple un hash de vos applications chaque fois qu'elle sont lancées
  • Vous devez être au courant que macOS peut transmettre des informations opaques à propose du certificat développeur des applications que vous utilisez. Ces informations sont envoyées en clair sur votre réseau
  • Vous ne devriez probablement pas bloquer ocsp.apple.com avec Little Snitch ou dans votre fichier host.


Ce message a été modifié par downanotch - 15 Nov 2020, 21:10.
Go to the top of the page
 
+Quote Post
tchek
posté 15 Nov 2020, 21:17
Message #14


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 150
Inscrit : 12 Feb 2004
Lieu : ?/Know Universe/Milky Way/Solar System/Earth/private(?)/
Membre no 14 695



Citation (downanotch @ 15 Nov 2020, 21:09) *
Citation (flan @ 15 Nov 2020, 19:38) *
Vu le nom de domaine, c'est un serveur OCSP, à qui le numéro de série d'un certificat (en l'occurrence celui de l'éditeur du logiciel) est envoyé et qui répond si le certificat est encore valide ou s'il a été révoqué. Et il y a exactement le même système pour beaucoup de certificats SSL (c'est par exemple le cas sur le certificat de MacBidouille : Digicert peut savoir que votre adresse IP fréquente MacBidouille).
C'est exactement ça, Jeffrey Paul n'a pas tout compris : https://blog.jacopo.io/en/post/apple-ocsp/ Ci dessous le TL;DR du lien ci-dessus :
  • Non, macOS n'envoie pas à Apple un hash de vos applications chaque fois qu'elle sont lancées
  • Vous devez être au courant que macOS peut transmettre des informations opaques à propose du certificat développeur des applications que vous utilisez. Ces informations sont envoyées en clair sur votre réseau
  • Vous ne devriez probablement pas bloquer ocsp.apple.com avec Little Snitch ou dans votre fichier host.

Quel degré de véracité peut-on accorder à ce blog ? rolleyes.gif
C'est chaud bouillant ici :
https://linuxfr.org/users/gouttegd/liens/ma...une-application

Ce message a été modifié par tchek - 15 Nov 2020, 21:21.


--------------------
macOS./* Clients & Serveurs Dépannages ACTC
kernel[0]: The Regents of the University of California. All rights reserved.
mac Framework successfully initialized. (Was...)
Go to the top of the page
 
+Quote Post
downanotch
posté 15 Nov 2020, 21:21
Message #15


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 827
Inscrit : 11 Apr 2012
Membre no 175 864



Citation (Rédaction @ 15 Nov 2020, 18:36) *
Venant d'Apple, qui se présente régulièrement comme un défenseur de la vie privée, ces restrictions sont en tout cas particulièrement mal venues, d'autant plus que les données sont transmises en clair et que les requêtes transitent par des serveurs n'appartenant pas à Apple (Apple utilise les services d'Akamai pour mieux absorber la charge)

C'est en clair pour une bonne raison comme il s'agit de vérifier la validité d'un certificat. Sinon, il faut logiquement commencer par valider le certificat utilisé pour chiffrer la connection, ce qui nécessiterait de valider le certificat utilisé pour cette validation, et ainsi de suite, on serait dans une boucle sans fin.

Citation (tchek @ 15 Nov 2020, 21:17) *
Quel degré de véracité peut-on accorder à ce blog ?

Il y a le détail de toute son analyse, n'importe qui peut la vérifier.
Go to the top of the page
 
+Quote Post
SartMatt
posté 15 Nov 2020, 21:34
Message #16


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 32 183
Inscrit : 15 Nov 2005
Membre no 49 996



Citation (downanotch @ 15 Nov 2020, 22:21) *
Citation (Rédaction @ 15 Nov 2020, 18:36) *
Venant d'Apple, qui se présente régulièrement comme un défenseur de la vie privée, ces restrictions sont en tout cas particulièrement mal venues, d'autant plus que les données sont transmises en clair et que les requêtes transitent par des serveurs n'appartenant pas à Apple (Apple utilise les services d'Akamai pour mieux absorber la charge)

C'est en clair pour une bonne raison comme il s'agit de vérifier la validité d'un certificat. Sinon, il faut logiquement commencer par valider le certificat utilisé pour chiffrer la connection, ce qui nécessiterait de valider le certificat utilisé pour cette validation, et ainsi de suite, on serait dans une boucle sans fin.
Il pourrait y avoir validation en clair d'un premier certificat Apple, puis validation en HTTPS du certificat développeur.

Ce qui fait qu'aucune information sur l'utilisation de la machine ne transiterait en clair.

Et surtout, ce genre de chose qui expose des informations sur l'utilisation devrait pouvoir être désactivé (par exemple, c'est désactivable dans Firefox et les sites web HTTPS peuvent aussi désactiver le contrôle pour leur certificat en intégrant dans leur réponse au client une réponse de validation récente).

Ce message a été modifié par SartMatt - 15 Nov 2020, 21:35.


--------------------

Go to the top of the page
 
+Quote Post
sansnom
posté 15 Nov 2020, 21:35
Message #17


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 146
Inscrit : 30 Jun 2005
Lieu : Loiret
Membre no 41 715



Mon iMac est sous Mojave. J'ai eu CE 'UTAIN de problème de lenteur l'autre soir.

L'âge (et peut-être la sagesse) aidant, devant ce “bug” insupportable de lenteur à l'ouverture d'une session où les extensions mettaient un temps interminable à se lancer... je n'ai fait qu'un redémarrage en zappant la PRAM... ce qui n'a rien fait pour résoudre le problème. À une autre époque, j'aurai lâché les chiens en remettant tout en cause, mon DD, mon Mac, mon réseau, la météo, ma concierge... et entrepris de manips à tous les étages.

Je trouve que les choses sont de plus en plus difficiles à gérer avec Apple, et malheureusement, je n'ai pas toutes les compétences, l'énergie et le temps pour intégrer ces nouvelles notions/options, bien trop techniques pour moi. Oui, l'usure aidant, j'attends maintenant que ça passe et ici, c'était la bonne attitude : mon mac à retrouver ses jambes le lendemain !... MAIS J'AI QUAND MÊME BIEN FLIPPÉ !...

Ma conclusion : nos machines sont définitivement dans la main d'une entreprise américaine qui par sa seule volonté/incompétence/impotence peut les rendre inopérantes bien trop facilement et sans effort !... Pas glop !... Pas glop !...

NB : sur ma machine, Little Snitch gère un process qui se nomme “ocspd”, identity : “ocspd” must be signed by Apple with identifier “com.apple.ocspd”.
Question : doit-on (peut-on) deny ce process et dépendre ainsi un peu moins des errances de la firme pommée ?...


--------------------
MacMini M1 (13.4.1c) 16Go • iPhone 11 Pro Max 64Go • iPadMini Wi-Fi 6ème Gén. 64Go • aTV 4K 32Go
Go to the top of the page
 
+Quote Post
glyoscar
posté 15 Nov 2020, 22:08
Message #18


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 521
Inscrit : 23 Feb 2011
Lieu : Essonne
Membre no 164 889



Citation (sansnom @ 15 Nov 2020, 22:35) *
NB : sur ma machine, Little Snitch gère un process qui se nomme “ocspd”, identity : “ocspd” must be signed by Apple with identifier “com.apple.ocspd”.
Question : doit-on (peut-on) deny ce process et dépendre ainsi un peu moins des errances de la firme pommée ?...


On peut toujours , mais apres il faut verifier l'impacte sur l'ensemble des services apple.
Si on en utilise peu, ce ne sera pas un probleme
Si l'environnement des applis Apple est en constante, cela par un biais ou par un autre sera sans doute un probleme
Au pire L.S permet de stopper le filtrage





--------------------
un I-Book : 500 pages format 20x30, papier velin 160g
Go to the top of the page
 
+Quote Post
Fafnir
posté 15 Nov 2020, 23:42
Message #19


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 838
Inscrit : 21 Jan 2010
Lieu : Vancouver BC
Membre no 149 008



On passe de "droit" à "privilège". Hagar Dunor au secours. rolleyes.gif
Go to the top of the page
 
+Quote Post
zero
posté 16 Nov 2020, 02:40
Message #20


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 12 571
Inscrit : 25 Nov 2001
Membre no 1 397



Citation (downanotch @ 16 Nov 2020, 05:21) *
Citation (tchek @ 15 Nov 2020, 21:17) *
Quel degré de véracité peut-on accorder à ce blog ?

Il y a le détail de toute son analyse, n'importe qui peut la vérifier.

Et même les "Genius" des Apple stores peuvent savoir ce que tu as executé et sauvegardé sur le icloud.

https://sneak.berlin/20201112/your-computer-isnt-yours/

C'est quand même scandaleux ce qui arrive sur les Mac et personne ne bronche. Apple peut tout faire, elle est sacralisée. Et avec ses puces maison, elle pourra tout faire passer en douce.

Ce message a été modifié par zero - 16 Nov 2020, 02:43.
Go to the top of the page
 
+Quote Post
iAPX
posté 16 Nov 2020, 04:08
Message #21


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 15 371
Inscrit : 4 Jan 2006
Lieu : dtq
Membre no 52 877



Citation (downanotch @ 15 Nov 2020, 16:09) *
Citation (flan @ 15 Nov 2020, 19:38) *
Vu le nom de domaine, c'est un serveur OCSP, à qui le numéro de série d'un certificat (en l'occurrence celui de l'éditeur du logiciel) est envoyé et qui répond si le certificat est encore valide ou s'il a été révoqué.

Et il y a exactement le même système pour beaucoup de certificats SSL (c'est par exemple le cas sur le certificat de MacBidouille : Digicert peut savoir que votre adresse IP fréquente MacBidouille).

C'est exactement ça, Jeffrey Paul n'a pas tout compris : https://blog.jacopo.io/en/post/apple-ocsp/

Ci dessous le TL;DR du lien ci-dessus :
  • Non, macOS n'envoie pas à Apple un hash de vos applications chaque fois qu'elle sont lancées
  • Vous devez être au courant que macOS peut transmettre des informations opaques à propose du certificat développeur des applications que vous utilisez. Ces informations sont envoyées en clair sur votre réseau
  • Vous ne devriez probablement pas bloquer ocsp.apple.com avec Little Snitch ou dans votre fichier host.


C'est très intéressant, incluant le problème d'authentification TLS qui est récursif.

Après examen ça n'est d'ailleurs pas ocsp.apple.com qui est toujours employé, par exemple dans mon cas ocsp-lb.apple.com.akadns.net et ocsp.g.applimg.com, sans pouvoir vérifier aisément le contenu des échanges à l'instant (donc peut-être certains créés par Chrome, mais peu probable vu les domaines), ces appels ont été effectués aux lancements de logiciels de différents éditeurs sur mon Mac sous macOS 11 Big Sur.

OCSP est amusant, je n'y avais pas réfléchi plus en profondeur et surtout pas dans le contexte des signatures de nos Apps.
Le problème de fond est que c'est une sécurité pour pouvoir désactiver des applications suite à la révocation d'un certificat développeur, mais que d'un autre coté ça transmet des informations, incluant des PII au sens du GDPR/RGPD, et des informations -certes partielles- sur nos usages qui peuvent avoir de la valeur sur le long-terme.

Attendons de voir ce que Apple en dit, et aussi les analyses techniques qui devraient suivre, mais essentiellement si on veut bénéficier de la possibilité de profiter de la -rare- révocation de certificats (et pas nécessairement à bon escient!!!) il me paraît très compliqué de ne pas envoyer d'informations révélatrices, au moins pour Apple.

Apple pourrait au moins chiffrer les informations de manière asymétrique (avec une partie de la payload pseudo-aléatoire), mais là arriverait le problème de maintenance nécessaire de la clé de chiffrement publique en cas de fuite de la clé privée, mais ça pourrait être un bon compromis à mon sens.

PS: @SartMatt propose plus haut que ça puisse être désactivable, ce qui enlève une sécurité très rarement utilisée, mais offre un bien meilleur respect de la vie privé, et je pense que ça serait une bonne chose.
Pour ma part je vais filtrer cela car ça rentre dans ma catégorie Traceurs et malware divers.

Ce message a été modifié par iAPX - 16 Nov 2020, 04:13.


--------------------
Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
Go to the top of the page
 
+Quote Post
downanotch
posté 16 Nov 2020, 08:20
Message #22


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 827
Inscrit : 11 Apr 2012
Membre no 175 864



Apple a publié une note à ce sujet : https://support.apple.com/en-us/HT202491

Elle annonce notamment qu'au cours de l'année à venir, les modifications suivantes vont être apportées
  • Un nouveau protocole chiffré pour vérifier les certificats développeur révoqués
  • Forte protection contre les pannes de serveurs
  • Une nouvelle option permettant à l'utilisateur de désactiver ces mesures de sécurité


Ce message a été modifié par downanotch - 16 Nov 2020, 08:25.
Go to the top of the page
 
+Quote Post
Lionel
posté 16 Nov 2020, 08:29
Message #23


BIDOUILLE Guru
*****

Groupe : Admin
Messages : 55 328
Inscrit : 14 Jan 2001
Lieu : Paris
Membre no 3



Je ne peux m'empêcher de me le demander.
Sous quelle forme es-tu lié à Apple ?
Comment es-tu rémunéré pour ton travail acharné à les défendre ?


--------------------
C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
Go to the top of the page
 
+Quote Post
IODA
posté 16 Nov 2020, 08:45
Message #24


Adepte de Macbidouille
*

Groupe : Membres
Messages : 218
Inscrit : 8 Jun 2001
Lieu : OISE
Membre no 356



Inconditionnel de cette marque depuis ma naissance, (février 1955 ! !) depuis que Steve à jugé préférable de soigner son cancer de pancréas avec des tisanes ! ! ! ! les raisons de quitter cette marque ne font que se multiplier ! ! ! Les OS se succéder et les bugs, soit disant "repris en main" se multiplient ! ! Heureusement que l'ouverture de monMacPro pour son "dépoussiérage" trimestriel ma ramène a de bonnes "sensations" ! ! ! Ouvrir un Mac est et reste toujours mon plus grand plaisir ! ! !( MacPro toutes versions jusqu'a la 5.1, MacBook Pro, MacBook Air et tous iMac, du moins ceux qui ne sont pas collés et iPhone également non collés)
Par contre, je suis de plus en plus inquiet pour son remplacement ( le 5.1) ! La version 2013 "poubelle métal" pas question et la V2019 est inaccessible financièrement ! ! ! Reste le Mac mini dans un Rack 19 pouces! ! ! ! A voir .Mais tout ça ne régle pas les délires sur l'OS ! ! ! !


--------------------
GOD SAVE THE MacPro !!!

MacPro 2,4 up 3,3 Ghz 2010 / Saphire HD 7950/ NVIDIA GTX 980[/s] TI flashee /SSD 860 Pro + 1 WD 4To + 1 WD 3TO +1 WD 1T / Ram 32 Giga / DAC MagicPlus Cambridge Audio + Imac 27 2011 12Go + B&W / OS 10.14.6 / Catalina patché + Windows10 bootcamp / écran LaCie 324i EIZO CG2730 / APC Back UPS Pro 1500 / TS9150 Canon /,iPhone4 iPhone5 Iphone6/iPhoneX /iPad Pro / QNAP TS269Pro + MacBook Pro 13 Pouces Mid2012
Go to the top of the page
 
+Quote Post
godzila
posté 16 Nov 2020, 09:13
Message #25


Adepte de Macbidouille
*

Groupe : Membres
Messages : 218
Inscrit : 22 Mar 2006
Membre no 58 005



Est-ce que quelqu'un a une reference sur le fait que ce traffic est serait exclu d'un VPN sous BigSur ? Si c'est le cas c'est tout la notion de VPN qui me semble remise en cause ?
Go to the top of the page
 
+Quote Post
SartMatt
posté 16 Nov 2020, 09:26
Message #26


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 32 183
Inscrit : 15 Nov 2005
Membre no 49 996



Citation (downanotch @ 15 Nov 2020, 22:21) *
C'est en clair pour une bonne raison


Citation (downanotch @ 16 Nov 2020, 09:20) *
Un nouveau protocole chiffré pour vérifier les certificats développeur révoqués


Comme quoi, ce n'était donc pas en clair pour une bonne raison, mais juste parce que Apple n'avait pas fait l'effort de le chiffrer.

Ce message a été modifié par SartMatt - 16 Nov 2020, 09:26.


--------------------

Go to the top of the page
 
+Quote Post
downanotch
posté 16 Nov 2020, 09:35
Message #27


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 827
Inscrit : 11 Apr 2012
Membre no 175 864



Citation (SartMatt @ 16 Nov 2020, 09:26) *
Comme quoi, ce n'était donc pas en clair pour une bonne raison, mais juste parce que Apple n'avait pas fait l'effort de le chiffrer.

C'est en clair parce que c'est ainsi que OCSP fonctionne normalement, ce qui me semble être une "bonne" raison (j'en connais qui grince des dents dès qu'on s'éloigne un tant soit peu des standards). Tant mieux si ça passe en chiffré vu que ça peut poser des problèmes de protection de la sphère privée…
Go to the top of the page
 
+Quote Post
shawnscott
posté 16 Nov 2020, 09:44
Message #28


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 078
Inscrit : 7 Mar 2005
Lieu : Brabant wallon, Belgique
Membre no 34 620



Citation (Lionel @ 16 Nov 2020, 08:29) *
Je ne peux m'empêcher de me le demander.
Sous quelle forme es-tu lié à Apple ?
Comment es-tu rémunéré pour ton travail acharné à les défendre ?

Poser la question, c'est y répondre. ph34r.gif


--------------------
MacBook Pro 16 M1Pro | Mac Mini M1 | utilisateur Apple (IIgs puis Macintosh) depuis 1988.
Been There, Done That / Think Different / Our margin: 30%...
Go to the top of the page
 
+Quote Post
SartMatt
posté 16 Nov 2020, 09:45
Message #29


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 32 183
Inscrit : 15 Nov 2005
Membre no 49 996



Citation (downanotch @ 16 Nov 2020, 10:35) *
C'est en clair parce que c'est ainsi que OCSP fonctionne normalement, ce qui me semble être une "bonne" raison (j'en connais qui grince des dents dès qu'on s'éloigne un tant soit peu des standards).
Le standard OCSP n'impose pas le protocole a utiliser pour les messages, il ne définit que leur contenu. Donc il n'impose pas de chiffrement, mais ne l'interdit pas non plus.

Il suggère même explicitement de l'utiliser pour la protection de la vie privée : "Where privacy is a requirement, OCSP transactions exchanged using HTTP MAY be protected using either Transport Layer Security/Secure Socket Layer (TLS/SSL) or some other lower-layer protocol." (RFC 6960, annexe A, paragraphe 1)

Donc non, chiffrer une requête OCSP, ce n'est pas s'éloigner du standard.

Et le stapling offre même une réponse à la problématique de la validation du certificat utilisé pour le chiffrement de cette communication. Mais de toute façon, d'un point de vue respect de la vie privée, ce n'est pas un problème de valider ce second certificat via une requête en clair, et je dirai même que de ce point de vue fondamentalement on s'en fout de le valider : une connexion chiffrée sans validation du certificat serveur, c'est déjà un progrès par rapport à une connexion en clair (c'est d'ailleurs un peu l'idée derrière Let's Encrypt, qui fournit des certificat SSL ayant une valeur relativement faible d'un point de vue sécurité, mais qui permettent par contre de généraliser le chiffrement pour des questions de vie privée), même si ça permet toujours des fuites si quelqu'un arrive à rediriger le trafic vers son propre serveur.


--------------------

Go to the top of the page
 
+Quote Post
downanotch
posté 16 Nov 2020, 10:13
Message #30


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 827
Inscrit : 11 Apr 2012
Membre no 175 864



Citation (SartMatt @ 16 Nov 2020, 09:45) *
Donc non, chiffrer une requête OCSP, ce n'est pas s'éloigner du standard.

Oui, ça n'est pas ce que je voulais dire. Par "normalement" et "standard" je faisais référence à la manière dont OCSP est traditionnellement (i.e. le plus souvent) utilisé.
Go to the top of the page
 
+Quote Post

5 Pages V   1 2 3 > » 
Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



Nous sommes le : 29th March 2024 - 08:53