Ce qui arrive sur votre Mac ne reste pas toujours sur votre Mac, Réactions à la publication du 15/11/2020

[tchek]

Ici les Hosts et les services Apple pour celles et ceux que cela intéresse ( et pas seulement les retraités )

https://support.apple.com/en-us/HT210060

Ce message a été modifié par tchek - 17 Nov 2020, 12:04.

[SartMatt]

Donc à nouveau Big Sur a t-il un mécanisme qui permet de contourner un tunnel VPN ? J'ai cherché et rien trouvé en ce sens.

Apparemment ça dépend du type de VPN, j'ai mis à jour l'article en précisant "certains" VPN.

Avec un VPN global qui route tout le trafic de la machine via le VPN, à priori c'est bon.
Avec un VPN sélectif qui route le trafic via le VPN ou non en fonction de l'application, c'est impossible de router ces requêtes via le VPN.

Ce message a été modifié par SartMatt - 17 Nov 2020, 12:07.

[JayTouCon]

Le RGPD s'applique partout, tant que les données en question concernent un individu résidant en UE. Et c'est bien le challenge pour beaucoup d'entreprises multinationales. Par exemple dans mon cas, si un employé de l'UE envoie un email à notre support IT externe qui est situé en Inde, et bien cette entreprise doit garantir la protection des données de mon européen en conformité avec le rgpd.

impressionant.

et le 'cloud act' ..

[pipolo]

Donc à nouveau Big Sur a t-il un mécanisme qui permet de contourner un tunnel VPN ? J'ai cherché et rien trouvé en ce sens.

Apparemment ça dépend du type de VPN, j'ai mis à jour l'article en précisant "certains" VPN.

Avec un VPN global qui route tout le trafic de la machine via le VPN, à priori c'est bon.

Il me semble avoir compris le contraire justement, apparemment les process système de Big Sur peuvent contourner un VPN global.

[iAPX]

...
Je viens juste de finir une nième formation GDPRD... si l’envoie du certificat du développeur n’est pas accompagné d’information permettant de t’identifier, je ne pense pas que cela peut être considéré comme une donnée personnelle.

Eh bien l'adresse IP est considérée comme un PII (Information Personnelle permettant d'identifier quelqu'un) au titre du GDPR/RGPD, une très grosse avancée car reconnaissant ce qui est déjà utilisé par les acteurs de Tracking et de la publicité, mais aussi Hadopi.

Et par essence quand il y a requête http, il y a adresse IP.
J'ai d'ailleurs un petit code open-source pour Linux pour anonymiser les adresses IP dans les logs (bien que les logs soient une exception explicitement considérée par le RGPD/GDPR), permettant de suivre les actions consécutives depuis une adresse IP sans permettre d'identifier celle-ci (largement inutile).

D'un autre coté le GDPR/RGPD couvre non seulement les résidents Européens, mais aussi les personnes sur le sol Européen (les voyageurs ou touristes sont couverts pendant leur présence) et potentiellement, suivant les articles, les lectures et les traductions dans les lois locales aussi les citoyens des états Européens: là ça tape large.

Le mieux étant de considérer que toute personne est couverte, à-priori, par le RGPD/GDPR et d'agir en conséquence.

PS: il vaut mieux -aussi- couvrir le CCPA Californien au passage.

Ce message a été modifié par iAPX - 17 Nov 2020, 14:03.

[ungars]

C'est encore pire que ce que j'ai cru comprendre au tout début de l'article.

Dans https://sneak.berlin/i18n/2020-11-12-your-c...-isnt-yours.fr/ on apprend en plus :

Voir aussi
21 Jan 2020: Apple dropped plan for encrypting backups after FBI complained
Probablement sans rapport
Par ailleurs, Apple a discrètement mis en veilleuse la cryptographie de bout en bout de iMessage. Actuellement, l’iOS moderne vous demandera votre identifiant Apple lors de l’installation et activera automatiquement iCloud et iCloud Backup. La sauvegarde iCloud n’est pas cryptée de bout en bout : elle crypte la sauvegarde de votre appareil sur des clés Apple. Chaque appareil dont la fonction de sauvegarde iCloud est activée (elle est activée par défaut) sauvegarde l’historique complet d’iMessage sur Apple, ainsi que les clés secrètes d’iMessage de l’appareil, chaque nuit lorsqu’il est branché. Apple peut décrypter et lire ces informations sans jamais toucher l’appareil. Même si vous avez désactivé iCloud et/ou iCloud Backup : il est probable que la personne avec laquelle vous échangez des iMessages ne le fasse pas et que votre conversation soit téléchargée vers Apple (et, via PRISM, librement accessible à la communauté du renseignement militaire américain, au FBI, et à al- sans mandat ni cause probable).

Pire, si c'est possible, au sujet du problème de contournement des VPN :

https://twitter.com/patrickwardle/status/1327034191523975168

On Big Sur, trustd is in Apple's "ContentFilterExclusionList"
....meaning firewalls can't block it!

Autre texte plus constructif que les disputes là :
https://medium.com/tripmode/apple-started-h...ps-9dc83c5a9c5b "Apple started hiding the traffic of its own Mac apps"

Question : les iPhones fonctionnement avec ce même principe, je suppose ?

https://linuxfr.org/users/gouttegd/liens/ma...une-application
https://news.ycombinator.com/item?id=25095438
https://osxdaily.com/2016/09/27/allow-apps-...cos-gatekeeper/


Ce message a été modifié par ungars - 17 Nov 2020, 14:00.

[Hebus]

...
Je viens juste de finir une nième formation GDPRD... si l’envoie du certificat du développeur n’est pas accompagné d’information permettant de t’identifier, je ne pense pas que cela peut être considéré comme une donnée personnelle.

Eh bien l'adresse IP est considérée comme un PII (Information Personnelle permettant d'identifier quelqu'un) au titre du GDPR/RGPD, une très grosse avancée car reconnaissant ce qui est déjà utilisé par les acteurs de Tracking et de la publicité, mais aussi Hadopi.

Et par essence quand il y a requête http, il y a adresse IP.
J'ai d'ailleurs un petit code open-source pour Linux pour anonymiser les adresses IP dans les logs (bien que les logs soient une exception explicitement considérée par le RGPD/GDPR), permettant de suivre les actions consécutives depuis une adresse IP sans permettre d'identifier celle-ci (largement inutile).

D'un autre coté le GDPR/RGPD couvre non seulement les résidents Européens, mais aussi les personnes sur le sol Européen (les voyageurs ou touristes sont couverts pendant leur présence) et potentiellement, suivant les articles, les lectures et les traductions dans les lois locales aussi les citoyens des états Européens: là ça tape large.

Le mieux étant de considérer que toute personne est couverte, à-priori, par le RGPD/GDPR et d'agir en conséquence.

PS: il vaut mieux -aussi- couvrir le CCPA Californien au passage.

Le GRPD s’applique au data que tu stockes... tous serveur sur la toile va recevoir ton IP et ta requête, la question qui reste est qu’en font ils?... si ils ne stockent rien je ne vois pas où le GRPD s’appliquerait.

On sait déjà que Apple collecte un tas d’informations sur l’usage que nous faisons de nos application relativement aux API utilisées... d’où les optimisations sur leurs puces par exemple.

Donc ils peuvent collecter des statistiques mais conservent ils les informations personnelles relatives à cela et pouvant remonter à la personne concernée par une de ces données ? That is the question pour le GRPD.

Ce message a été modifié par Hebus - 17 Nov 2020, 15:32.

[Lionel]

C'est encore pire que ce que j'ai cru comprendre au tout début de l'article.

Dans https://sneak.berlin/i18n/2020-11-12-your-c...-isnt-yours.fr/ on apprend en plus :

Voir aussi
21 Jan 2020: Apple dropped plan for encrypting backups after FBI complained
Probablement sans rapport
Par ailleurs, Apple a discrètement mis en veilleuse la cryptographie de bout en bout de iMessage. Actuellement, l’iOS moderne vous demandera votre identifiant Apple lors de l’installation et activera automatiquement iCloud et iCloud Backup. La sauvegarde iCloud n’est pas cryptée de bout en bout : elle crypte la sauvegarde de votre appareil sur des clés Apple. Chaque appareil dont la fonction de sauvegarde iCloud est activée (elle est activée par défaut) sauvegarde l’historique complet d’iMessage sur Apple, ainsi que les clés secrètes d’iMessage de l’appareil, chaque nuit lorsqu’il est branché. Apple peut décrypter et lire ces informations sans jamais toucher l’appareil. Même si vous avez désactivé iCloud et/ou iCloud Backup : il est probable que la personne avec laquelle vous échangez des iMessages ne le fasse pas et que votre conversation soit téléchargée vers Apple (et, via PRISM, librement accessible à la communauté du renseignement militaire américain, au FBI, et à al- sans mandat ni cause probable).

Pire, si c'est possible, au sujet du problème de contournement des VPN :

https://twitter.com/patrickwardle/status/1327034191523975168

On Big Sur, trustd is in Apple's "ContentFilterExclusionList"
....meaning firewalls can't block it!

Autre texte plus constructif que les disputes là :
https://medium.com/tripmode/apple-started-h...ps-9dc83c5a9c5b "Apple started hiding the traffic of its own Mac apps"

Question : les iPhones fonctionnement avec ce même principe, je suppose ?

https://linuxfr.org/users/gouttegd/liens/ma...une-application
https://news.ycombinator.com/item?id=25095438
https://osxdaily.com/2016/09/27/allow-apps-...cos-gatekeeper/

C'était prévisible qu'Apple cède aux autorités américaines, c'était prévisible qu'elle le fasse aussi discrètement que possible. Après tout, en Chine Apple avait déjà baissé son froc.
Maintenant il faut que l'Europe réagisse pour soit avoir les mêmes droits, soit faire condamner Apple pour ces pratiques. Elle aura les mêmes droits...

[downanotch]

Notons que tout le monde n'est pas convaincu par cette histoire, notamment en raison d'une déclaration de Tim Cook postérieure au prétendu abandon du chiffrement des sauvegardes :

Our users have a key there, and we have one. We do this because some users lose or forget their key and then expect help from us to get their data back. It is difficult to estimate when we will change this practice. But I think that in the future it will be [handled] like the devices. We will therefore no longer have a key for this in the future.

Notons qu'encore que les sauvegardes iCloud sont optionnelles, et que si la sauvegarde iCloud est désactivée, iMessage est bel et bien chiffré end-to-end.

[Dahood]

C'est proprement scandaleux. Tous ces verroux imbriqués si profond dans MacOS me donnent la nausée.
Même si je ne met plus à jour mes macs depuis belle lurette, je souhaite que des contournements soient trouvés, juste pour faire la nique a Apple.
Je comprend mieux maintenant pourquoi l'iPad pro que j'ai acheté, et que malheureusement son propriétaire a mis à jour, ne permette même plus la désactivation totale du wifi et du bluetooth. Apple veut coûte que coûte avoir ses machines connectées.
Quelq'un peut me dire si cet désactivation est aussi impossible sur Big pas sûr ?

Ce message a été modifié par Dahood - 17 Nov 2020, 17:13.

[SartMatt]

Notons que tout le monde n'est pas convaincu par cette histoire, notamment en raison d'une déclaration de Tim Cook postérieure au prétendu abandon du chiffrement des sauvegardes :

Our users have a key there, and we have one. We do this because some users lose or forget their key and then expect help from us to get their data back. It is difficult to estimate when we will change this practice. But I think that in the future it will be [handled] like the devices. We will therefore no longer have a key for this in the future.

Notons qu'encore que les sauvegardes iCloud sont optionnelles, et que si la sauvegarde iCloud est désactivée, iMessage est bel et bien chiffré end-to-end.

Je vois pas en quoi la déclaration de Cook sèmerait le doute sur la question. Elle est au contraire on ne peut plus claire : Apple a bien une clé pour déchiffrer les backups.

Quand aux sauvegardes, si elles sont bien optionnelles, elles sont désormais activées par défaut. Et une conversation iCloud se faisant à plusieurs, même en désactivant la sauvegarde de ton côté, tu ne peux pas être certain que ça va pas se retrouver chez Apple...

Ce message a été modifié par SartMatt - 17 Nov 2020, 17:31.

[downanotch]

Je vois pas en quoi la déclaration de Cook sèmerait le doute sur la question. Elle est au contraire on ne peut plus claire : Apple a bien une clé pour déchiffrer les backups.

L'info n'est pas qu'il dit qu'Apple possède la clé, ça on le sait depuis le début. Par contre, il n'y a aucun raison qu'il indique que ça changera dans le futur si depuis plus d'une année, la décision contraire a été prise.

[SartMatt]

Par contre, il n'y a aucun raison qu'il indique que ça changera dans le futur si depuis plus d'une année, la décision contraire a été prise.

Son ça changera dans le futur, il est quand même pas si affirmatif que ça hein... Il dit qu'il sait pas quand, qu'il ne peut même pas faire une estimation, mais qu'il pense que ça va changer... Aucun engagement.

Et en attendant, au présent, une solution qui, configurée par défaut, stocke les message avec un chiffrement dont Apple à la clé, continue à être présentée comme super sécurisée avec chiffrement de bout en bout...

[iAPX]

...
Et en attendant, au présent, une solution qui, configurée par défaut, stocke les message avec un chiffrement dont Apple à la clé, continue à être présentée comme super sécurisée avec chiffrement de bout en bout...

Il y a un autre problème avec le chiffrement end-to-end, c'est que Apple (ou un acteur gouvernemental) peut se générer une clé d'accès à chaque fois que l'utilisateur donne ses accès iCloud (nom + mdp).

C'est end-to-end, juste on ne sait pas ce qui est de NOTRE coté ni du coté des interlocuteurs.
End-to-end oui, mais à un bout peut -aussi- se trouver des acteurs gouvernementaux voir des acteurs privés très puissants coté hacking.

[flan]

(enfin, c'est quand même plutôt rassurant qu'Apple obéisse aux lois, je trouve)

[iAPX]

(enfin, c'est quand même plutôt rassurant qu'Apple obéisse aux lois, je trouve)

Non justement, ça n'est pas dans la loi, c'est dans la volonté politique de pouvoir surveiller en masse, y-compris les citoyens et résidents Américains (ce qui reste totalement illégal) !!!
Cette volonté politique est d'ailleurs commune aux Républicains et aux Démocrates, avec des beaux débuts du à Bushmills fils (désolé pas pu m'empêcher!) mais relancé par Obama.

Ce message a été modifié par iAPX - 17 Nov 2020, 21:56.

[zero]

(enfin, c'est quand même plutôt rassurant qu'Apple obéisse aux lois, je trouve)

Non justement, ça n'est pas dans la loi, c'est dans la volonté politique de pouvoir surveiller en masse, y-compris les citoyens et résidents Américains (ce qui reste totalement illégal) !!!
Cette volonté politique est d'ailleurs commune aux Républicains et aux Démocrates, avec des beaux débuts du à Bushmills fils (désolé pas pu m'empêcher!) mais relancé par Obama.

Les républicains ont tentés assez souvent de réduire les libertés sur le net, imposer la surveillance massive et ont souvent été en faveur des intérêts des entreprises, notament pour les flux de données. Actuellement, il y a de la censure à gogo. Trump en était assez fière jusqu'à ce que la censure lui tombe dessus.

En France, ce n'est pas tellement mieux.
https://www.lefigaro.fr/secteur/high-tech/2...ns-le-monde.php

Ce message a été modifié par zero - 18 Nov 2020, 03:58.

[Macafond]

bjr, et c'est quoi ce processus qui est coché d'office par littlesnitch, avec un nom très similaire "ocspd" ?

[downanotch]

bjr, et c'est quoi ce processus qui est coché d'office par littlesnitch, avec un nom très similaire "ocspd" ?

d c'est pour deamon (programme qui tourne en tâche de fond) donc ocspd c'est le daemon qui gère l'OCSP.

[ades]

je réitère
Comment faire pour empêcher ces connections ? le terminal ? un script ? un soft propriétaire et payant ? un soft open source ?
J'avais compris qu'il était possible d'interdire les connections à certaines adresses directement dans le système, mais comment ?Avoir le moyen de plus être obligatoirement connecté à ces merdes serait sans doute plus productif que de discuter de l'opportunité politique (ou autre) de la chose

[20-100]

je réitère
Comment faire pour empêcher ces connections ? le terminal ? un script ? un soft propriétaire et payant ? un soft open source ?
J'avais compris qu'il était possible d'interdire les connections à certaines adresses directement dans le système, mais comment ?Avoir le moyen de plus être obligatoirement connecté à ces merdes serait sans doute plus productif que de discuter de l'opportunité politique (ou autre) de la chose

Le logiciel Little Snitch permet (sauf avec Big Sur) de suivre et controller toutes les connections. Le mode 'Alerte' nous demande à chaque fois qu'une connection veut entrer ou sortir si on l'autorise ou non, de facon permanente ou temporaire. C'est un logiciel commercial mais le prix est très raisonnable.

(Il existe peut-être d'autres logiciels, Little Snitch est celui que j'utilises et il fait bien le travail)

Ma prochaine étape sera un firewall hardware directement sur mon entrée Internet. Étant radin et certifé RedHat... je vais le faire moi-même avec un vieux PC sous Linux.

[downanotch]

Ma prochaine étape sera un firewall hardware directement sur mon entrée Internet. Étant radin et certifé RedHat... je vais le faire moi-même avec un vieux PC sous Linux.

Y a souvent un firewall dans les routeurs, et donc dans les box Internet.

[ades]

Litlle snitch, je savais, mais 50 boules ce n'est pas rien, enfin ça dépend pour qui…50 boules c'est quasiement un mois de chauffage (à 17°C), et par les temps qui courent…

[downanotch]

https://github.com/objective-see/LuLu

[ades]

mercibonne pioche…mais, vu que les adresses sont connues, y-a vraiment pas moyen d'interdire à macOs de s'y connecter une bonne fois pour toutes ?

[iAPX]

Ma prochaine étape sera un firewall hardware directement sur mon entrée Internet. Étant radin et certifé RedHat... je vais le faire moi-même avec un vieux PC sous Linux.

Y a souvent un firewall dans les routeurs, et donc dans les box Internet.

Moi je conseillerais plutôt un Raspberry Pi pour ça (il y a d'autres options ceci dit), avec un OS à jour et maintenable ce qui est quasi impossible et introuvable dans les routeurs grand-publics avec des constructeurs qui s'en tapent le coquillard.
En France vous avez la chance d'avoir des "Box Internet" bien suivies et maintenues, un exemple pour l'Amérique du Nord, donc à la limite pourquoi pas.

Une autre option est OpenWRT mais il faut bien choisir son routeur.

Pour ma part et travaillant dans la sécurité, et 4 décennies d'expérience, je préfère avoir des dispositifs séparés avec des fonctions claires et des flux de données limpides (et vérifiables, loggables et auditables).
Quand vous avez un routeur ayant 20 fonctions (humnpf!) et parmi celle-ci un firewall, si une autre des 19 fonctions a une grosse faille de sécurité votre firewall peut devenir une véritable passoire!

Ce message a été modifié par iAPX - 18 Nov 2020, 19:11.

[SartMatt]

Moi je conseillerais plutôt un Raspberry Pi pour ça (il y a d'autres options ceci dit), avec un OS à jour et maintenable ce qui est quasi impossible et introuvable dans les routeurs grand-publics avec des constructeurs qui s'en tapent le coquillard.
En France vous avez la chance d'avoir des "Box Internet" bien suivies et maintenues, un exemple pour l'Amérique du Nord, donc à la limite pourquoi pas.

En France on a aussi la chance d'avoir des connexions Gigabit, du coup le RPi commence à devenir un peu limité pour ça

+1 pour OpenWRT

Sinon, y a aussi les routeurs de Ubiquiti et Mikrotik qui sont très complets. Mais plutôt ciblés "power users" et Soho que grand public, avec des fonctions accessibles uniquement en CLI.


Tiens d'ailleurs, puisqu'on parle routeur... Je cherche un routeur dual WAN qui support le NAT IPv6, ie qui me permettrait de gérer un LAN IPv6 avec des adresses non publiques et de sortir vers le WAN via les IPv6 fournies par mes opérateurs. Quelqu'un aurait une référence à me recommander pour ça ? Actuellement j'ai un Linksys LRT-224, mais il n'y a qu'en IPv4 qu'il fonctionne correctement, en IPv6 il ne gère pas le NAT et du coup ça marche très mal, quand ça marche...

Ce message a été modifié par SartMatt - 18 Nov 2020, 21:17.

[iAPX]

Moi je conseillerais plutôt un Raspberry Pi pour ça (il y a d'autres options ceci dit), avec un OS à jour et maintenable ce qui est quasi impossible et introuvable dans les routeurs grand-publics avec des constructeurs qui s'en tapent le coquillard.
En France vous avez la chance d'avoir des "Box Internet" bien suivies et maintenues, un exemple pour l'Amérique du Nord, donc à la limite pourquoi pas.

En France on a aussi la chance d'avoir des connexions Gigabit, du coup le RPi commence à devenir un peu limité pour ça

+1 pour OpenWRT

Sinon, y a aussi les routeurs de Ubiquiti et Mikrotik qui sont très complets. Mais plutôt ciblés "power users" et Soho que grand public.

Oh putain si tu savais la merde que c'est ici à Montréal!!!

En 1999 à mon premier passage, j'ai découvert du 20Mbps, partout, alors que j'avais du 512Kbps ADSL chez moi (après mon 128Kb RNIS "Numeris Duo" plutôt rare).
Le très gros site web sur lequel je travaillais en France allait plus vite d'une connexion distante à Montréal dans une boutique quelconque que sur ma machimne de Dev en local. Une claque énorme!

Et puis depuis ça a pas beaucoup bougé, sauf les prix qui ont explosé, mais bien sûr pas les débits!
On peut payer du 40 Mbps à près de 80€ par mois ici. Si si si!

Ce message a été modifié par iAPX - 18 Nov 2020, 22:37.

[SartMatt]

On peut payer du 40 Mbps à près de 80€ par mois ici. Si si si!

Ça va, je paye presque autant, à peine 3€ de moins.

Bon par contre pour le prix j'ai du 2G/600M et du 1G/600M en failover Je ferais bien du load balancing, mais ça serait bridé par mon LAN

[iAPX]

On peut payer du 40 Mbps à près de 80€ par mois ici. Si si si!

Ça va, je paye presque autant, à peine 3€ de moins.

Bon par contre pour le prix j'ai du 2G/600M et du 1G/600M en failover Je ferais bien du load balancing, mais ça serait bridé par mon LAN

N'hésite pas si tu peux envoyer une fibre jusqu'à chez moi!

On a pas eu la révolution Free ici, dont j'ai profité à Paris, et qui a tout changé.