Little Snitch veut contourner les obstacles d'Apple dans Big Sur
Objective Development, l'éditeur de Little Snitch, ne désarme pas face aux changements apportés dans macOS Big Sur qui rendent inopérants certains filtrages de ce logiciel de pare-feu.
Pour résumer à grand traits, Apple impose à ces logiciels qui surveillent, signalent et bloquent certaines activités réseau (ainsi qu'aux applications de VPN), de se brancher sur une nouvelle extension système — le Network Extension Framework — apparue avec Catalina et devenue obligatoire avec Big Sur.
Cependant, Apple s'est arrogée le droit de ne pas utiliser son extension système pour une bonne cinquantaine de ses applications et services système, dont FaceTime, le service de mise à jour système, Plans, etc. Little Snitch ne pourra pas les voir et ces communications ne passeront pas non plus au travers des tunnels ouverts par les utilitaires de VPN.
- macOS Big Sur a des angles morts pour Little Snitch 5
- macOS Big Sur : Apple ne respecte pas les extensions réseau et les VPN pour ses apps
L'éditeur autrichien de Little Snitch concède volontiers que certaines choses nécessitent de ne pas être entravées, comme la vérification à distance par Apple de l'absence de malware dans les logiciels qu'on lance pour la première fois ou la récupération automatique de mises à jour de sécurité. Mais il reproche à Apple de rendre totalement imperméables à tout accès et observations par l'utilisateur toutes ces opérations. Une approche qu'Objective Development juge inverse à la politique de transparence promue par ailleurs par Apple :
Vous avez le droit de savoir où votre ordinateur se connecte. À qui il parle. C'est votre droit de voir ces connexions. C'est votre droit de les autoriser. Et c'est votre droit de les empêcher.
[…]
Cacher complètement à l'utilisateur ces connexions n'a aucun sens. Cela contredit l'idée d'un système transparent et digne de confiance et sape la confiance de l'utilisateur dans ce système.
Objective Development explique qu'il fait face au même type de challenge qu'Apple. Little Snitch doit permettre aux utilisateurs de bloquer certaines communications mais il doit le faire d'une manière responsable et explicite sur les conséquences.
Cela passe par des explications lorsqu'on veut bloquer telle ou telle opération système ou par des règles de pare-feu prêtes à l'emploi qui évitent de faire n'importe quoi : « Mais la décision finale d'accepter ou non les éventuelles conséquences devrait toujours être laissée à l'utilisateur, à vous ».
Dans l'attente d'une possible évolution d'Apple sur ce sujet, l'éditeur travaille sur des moyens pour Little Snitch de pouvoir agir à nouveau sur ces services système désormais masqués pour les gérer. A priori les développeurs ont trouvé quelques pistes « prometteuses » pour y arriver.
Super nouvelle ! J’espère que ce sera le cas également pour les VPN. Et si je peux à nouveau contrôler ce que fait mon Mac alors pour pas Big Sur 🤗
Belle attitude du développeur qui met Apple face à ses propres contractions.
L'absence de commentaires sur les fanboys et la pseudo confidentialité en dit long sur leur objectivité....
@kitetrip
La news date de 15 min, c’est pas un peu rapide comme jugement ?
Quoi qu’il en soit, ce petit utilitaire est très pratique et défend bien la confidentialité !
@kitetrip
"L'absence de commentaires sur les fanboys et la pseudo confidentialité en dit long sur leur objectivité...."
Ca en dit long sur la tienne.
@MarcMame
Clairement d'accord, il donne le bâton pour se faire battre.
@MarcMame
Je ne comprends pas pourquoi vous l’attaquez sur sa phrase.
En fait je ne comprends pas ce que veut dire sa phrase.
@pacou
Et oui, ça peut être compliqué parfois.
@kitetrip
Cela n’explique pas qu’Apple n’est pas en train de le faire.
Il prévient gentiment puis la faux fini par tomber.
@ iPop
Magnifique pseudo « raisonnement » conspirationiste !
@ kitetrip
Tu accuses donc des gens que tu juges coupables de ne pas dire des choses qui te déplaisent....
Elle est bien bonne celle là.
Raisonnement dans la plus pure mouvance conspirationiste.
Tout argument et suspect, et maintenant même l'absence de réaction !
Tssss.
Apparement c’est possible de contourner le soucis.
https://mullvad.net/en/blog/2020/11/16/big-no-big-sur-mullvad-disallows-apple-apps-bypass-firewall/
Mullvad does not use content filter provider APIs to secure the device. Instead, we use the Packet Filter (PF) firewall which is built into macOS. This is a packet firewall, not an application firewall, which means that it does not exclude packets from any apps, including Apple's own apps.
Little Snitch est un pare-feu et Mullvad semble n'être qu'un VPN : leurs objectifs diffèrent sensiblement.
Si Little Snitch ne se base plus que sur PF, il ne pourra sans doute plus proposer certaines fonctionnalités qui font tout son intérêt.
On peut comprendre Apple (qui veut que ses systèmes fonctionnent malgré ses utilisateurs) mais cela contredit son goût supposé pour la transparence. Ce ne sera pas la première fois qu'Apple ne fait pas ce qu'elle impose (ou suggère fermement) aux autres développeurs.
De toutes façons, macOS est un système plutôt fermé et ceci n'a rien d'étonnant.
Cela étant, PF est un excellent pare-feu ; il faut juste savoir le configurer. :-)
Bah y a intérêt vu que j’ai payé la màj obligatoire pour passer de la version de Catalina à celle de Big Sur. 😜
J'espère qu'Apple ne bloquera pas les voies détournées qui seront trouvées par les développeurs...
@remy
Le simple fait de vouloir s'extraire de toutes possibilités de contrôler ce qu'ils font est très douteux. On en arrive à "croire sur parole". sauf que le passé nous a démontré qu'Apple n'est pas la st colombe que prétend son marketing...
Il y a une image qui me vient c'est: Ferme les yeux, ouvre la bouche, aie confiance...
@debione
En écrivant ma "crainte" ci-dessus, je pensais qu'Apple risquait de considérer ces "voies détournées" comme autant de failles de sécurité qu'ils s'empresseront malheureusement de boucher ...
@debione
"Il y a une image qui me vient c'est: Ferme les yeux, ouvre la bouche, aie confiance..."
T’as été enfant de cœur ?
@Sindanárië
Rhooo… ! 🤫
A lire sur la vie privée et le comportement de macOS:
https://sneak.berlin/i18n/2020-11-12-your-computer-isnt-yours.fr/
Extrait:
C’est ici. C’est arrivé. Vous avez remarqué ?
Je parle, bien sûr, du monde que Richard Stallman a prédit en 1997. Celui dont Cory Doctorow nous a également mis en garde.
Sur les versions modernes de macOS, vous ne pouvez tout simplement pas allumer votre ordinateur, lancer un éditeur de texte, un lecteur de livres électroniques, écrire ou lire sans qu’un journal de votre activité soit transmis et stocké.
Il s’avère que dans la version actuelle de macOS, le système d’exploitation envoie à Apple un hachage (identifiant unique) de chaque programme que vous exécutez, lorsque vous l’exécutez.
Beaucoup de gens ne s’en sont pas rendu compte, car c’est silencieux, invisible et ça échoue instantanément et élégamment lorsque vous êtes hors ligne, mais aujourd’hui le serveur est devenu vraiment lent ce qui n’a pas permis d’atteindre le chemin de code rapide, et les applications de tout le monde ont échoué à s’ouvrir si elles étaient connectées à Internet.
...
Amis de la liberté et du respect de la vie privée, il serait bon d’étudier le dossier, non ?
@celebration
Euh hein ?
@celebration
Je tiens surtout à la liberté de penser.
Et ce n’est pas parce que quelqu’un quelque chose que c’est vrai.
Pourquoi croire ce gars là ?
@iftwst
Que quelqu’un écrit quelque chose
@iftwst
Tu sais qui est ce gars Richard Stelleman? 😅
@morpheusz63
Non mais il y a des tas de sommités qui racontent n’importe quoi.
Même dans la Bible je ne crois pas tout ce qui est marqué 😉. Tu connais Jésus ?
Alors peut-être a-t-il raison, mais son seul nom ne sera vraiment pas suffisant pour moi.
"Non mais il y a des tas de sommités qui racontent n’importe quoi."
Ah carrément, t'es en train de dire que le père de l'open source et du free software raconte n'importe quoi... ?
Apparement le combat de toute une vie pour obtenir et maintenit la liberté et la transparence eninformatique ça serait du n'importe quoi. :)
@Salapeche
Je ne dis pas cela. Ce gars a sûrement des tas de qualité. Mais il ne suffit pas d’être « qqun » pour être infaillible.
Mais je note ses remarques mais jamais
Entendu parler de ce gars et pourtant depuis mon Apple //e 😉
@iftwst
C'est ce que je pensais, va te renseigner sur qui il est… et je connais oui qui il est JESUS ARMY
@celebration
Le problème c’est que c’est faux.
La seule partie qui est fausse c'est son affirmation que c'est un hash du programme, car en fait c'est un identifiant du développeur de l'app.
Comme y'a pas mal d'apps qui sont l'unique app macOS ou iOS développée par son développeur, ceci-dit, on est pas loin de pouvoir savoir quelle app est lancée quand.
Enfin, en ce qui concerne l'auto-exemption d'Apple vis à vis des VPN etc, c'est bien avéré, et c'est pas du tout sous le contrôle de l'utiliseur pourtant légitime propriétaire de son ordinateur.
@byte_order
La seule partie qui est fausse
Et comme toujours désormais l’on mélange du vrai, du moins vrai, du faux et du sensationnalisme pour faire passer un message.
@reborn
Et clamer "Le problème c’est que c’est faux.", qui fait pas de mélange entre ce qui est effectivement factuel de ce qui ne l'est pas, c'est mieux peut être !?
C'est pas tenter de faire passer un message "fort" que de réagir en disant "le problème c'est que c'est faux", alors que tout n'est pas faux, certains points seulement !?
@byte_order
Mélange de "vrai "et de faux = fake news.
Une fake news est fausse.
Je vais pas faire la réflexion à sa place. Il est visiblement incapable de prendre du recul pour bien analyser une situation, vérifier plusieurs sources afin de se confronter à de multiples points de vues.
Il prend la première source qui le conforte dans ce qu’il pensait déjà. Je ne participe pas à ce genre de débats
@reborn
> Mélange de "vrai "et de faux = fake news.
Trump inside?
Depuis quand une liste d'affirmations est intégralement fausse si l'un des éléments de cette liste est faux !?
Son affirmation comme quoi on peut identifier l'app exactement est fausse.
Son affirmation comme quoi on peut identifier le développeur de l'app par contre ne l'est pas.
Son affirmation comme quoi bon nombre de développeurs ont très peu d'apps l'est tout autant.
> Il prend la première source qui le conforte dans ce qu’il pensait déjà.
Et vous ?
> Je ne participe pas à ce genre de débats
Ben si.
Vous dites "c'est faux", en englobant tout son propos dans votre affirmation, ce que même jacopo ne fait pas lui même, son contre-argument ne portant que sur le fait que cela ne permet pas d'identifier de manière certaine l'app, uniquement son développeur.
Bien sur que si, que vous participez au débat.
@byte_order
Depuis quand une liste d'affirmations est intégralement fausse si l'un des éléments de cette liste est faux !?
Quand l’auteur du poste manque de nuance ?
@reborn
> Quand l’auteur du poste manque de nuance ?
C'est votre argumentaire "c'est faux" qui manque de nuance.
Le sien tient sur de long paragraphe, y compris des ajouts récents qui reviennent sur la contre-argumentation que vous "soutenez".
En terme de nuance, affirmer en ligne "c'est faux" face à de multiples paragraphes détaillés, incluant les contre-arguments, vous m'excuserez, mais y'a un sacré déséquilibre et il ne penche pas de votre côté.
Et d'autres posts m'attanquant sans plus d'argument vont également dans ce sens.
@byte_order
Ton meilleur ami ça serait DHH..
Toujours extreme sur tout, en toutes circonstances..
@ byte_order : « La seule partie qui est fausse c'est son affirmation que c'est un hash du programme »
Le reste est faux aussi parce qu’il tombe (malheureusement et bêtement, comme c’est souvent le cas) dans l’exagération.
Si, je peux encore allumer mon ordinateur, lancer un éditeur de texte, un lecteur de livres électroniques, écrire ou lire sans qu’un journal de mon activité soit transmis et stocké.
Je ne suis pas en train de nier que la communication de ce qui se passe sur les Mac a augmenté ces derniers temps (pour un bénéfice très limité, si on me demande mon avis).
Je souligne juste qu’on est plus facilement pris au sérieux quand on présente les faits tels qu’ils sont plutôt que de les exagérer pour appuyer le discours apocalyptique d’un gourou. Il est toujours regrettable de voir des gens nuire, par de telles erreurs, à la cause qu’ils tentent de défendre.
@BeePotato
> Si, je peux encore allumer mon ordinateur, lancer un éditeur de texte, un lecteur de
> livres électroniques, écrire ou lire sans qu’un journal de mon activité soit transmis
> et stocké.
Sans rien changer du tout, ni sur macOS ni sur le mac ni sur l'infrastructure vous reliant à Internet !?
Pour en être sûr à 100%, il faut lui amputer l'une des fonctions pourtant assez fondamentale : le déconnecter d'internet.
L'exagération, justement, c'est de prétendre que dans un cas particulièrement amputé de l'usage habituel fait par les utilisateurs lambda (qui ne modifient pas le fichier hosts, qui ne déconnectent pas leurs machines pour les reconnecter qu'après avoir lancer toutes les apps qu'ils veulent pouvoir utiliser à un instant T), ce qu'il dit est faux, comme si ce cas était le plus fréquent, et donc comme si l'exagération c'était de parler du cas le plus fréquent tandis que de présenter un cas nettement moins fréquent comme étant une situation normale et donc factuellement antagoniste à son affirmation.
@ byte_order : « Sans rien changer du tout, ni sur macOS ni sur le mac ni sur l'infrastructure vous reliant à Internet !? »
Bon, pour le démarrage, effectivement on n’est sûr à 100% que via une modification de l’infrastructure d’accàs à internet.
Mais pour la suite, aucunement besoin. Je lance régulièrement plein d’applications sans que ce soit noté sur les serveurs d’Apple.
« L'exagération, justement, c'est [blablabla] »
Ce qu’il a fait, c’est une exagération, un point, c’est tout.
@BeePotato
> Ce qu’il a fait, c’est une exagération, un point, c’est tout.
Tout autant que de dire que l'intégralité de ces arguments est une exagération.
"Mais pour la suite, aucunement besoin. Je lance régulièrement plein d’applications sans que ce soit noté sur les serveurs d’Apple."
Donne ta source qui te permet d'affirmer ça. Et elle est encore plus nécessaire si t'es déjà sur big sur. Si t'en as pas t'es prié de la fermer et d'admettre qu'un chercheur en sécurité et peut-être bien plus compétent que toi sur ce sujet. :)
@celebration
Macg a justement publié un article qui présente la réponse d’Apple, en plus de nuancer, voire corriger, les propos tenus dans ce lien.
Une réponse officielle qui reconnait de facto que :
- les données sont transmises en clair, donc interceptable
- que Apple conserve/vait le journal de chaque accès fait par ce mécanisme a ses serveurs, et donc les adresses IP et l'horodatage de chaque lancement d'app fait par chaque mac
@byte_order
« les données sont transmises en clair, donc interceptable »
C’est difficile de faire autrement pour des soucis techniques lié au protocole utilisé. Cela dit, si effectivement Apple a le soucis de la vie privée, elle devrait pouvoir plancher sur une solution au problème (ce qu’elle va faire visiblement, mais on est en droit de ce demander pourquoi elle ne l’a pas fait avant...)
« que Apple conserve/vait le journal de chaque accès fait par ce mécanisme a ses serveurs, et donc les adresses IP et l'horodatage de chaque lancement d'app fait par chaque mac »
Ça peut être le fruit d’une erreur ou d’un oubli, mais c’est effectivement une bonne chose que ça ne soit plus le cas (nous n’aurons cela dit aucune façon de le vérifier 🤷♂️)
Par contre précision supplémentaire, ce n’est pas à chaque lancement, mais à chaque premier lancement et de temps en temps par la suite. Reste que le fait qu’Apple puisse savoir ce qu’on utilise comme application est effectivement problématique.
De mon point de vue, la liste des certificats pour validation pourrait très bien être située sur la machine en local, et mise à jour régulièrement, reste a savoir pourquoi ce n’est pas le cas... (économie de bande passante ? Désir d’empêcher que cette liste puisse être modifiée par chaque utilisateur ? Autre ?)
Concernant le point comme quoi Apple peut savoir où l’on est et quand avec notre adresse IP, c’est un faux problème, vu le nombre de connexion faite par ailleurs pour les autres services (Apple Music, iCloud, etc), Apple a bien d’autres moyen de savoir où nous sommes et quand nous utilisons nos appareils...
Ce qui est plus difficilement admissible, c’est le fait de ne pas pouvoir contrôler finement quelle application on peut lancer sur son ordinateur (un utilisateur averti devrait toujours pouvoir désactiver des sécurités s’il sait ce qu’il fait), et le fait qu’Apple s’arroge des passe droit pour contourner les vpn (et surtout sans donner d’explications...).
@ dodomu : « Ce qui est plus difficilement admissible, c’est le fait de ne pas pouvoir contrôler finement quelle application on peut lancer sur son ordinateur (un utilisateur averti devrait toujours pouvoir désactiver des sécurités s’il sait ce qu’il fait) »
Ça, on le peut encore.
@dodomu
> Par contre précision supplémentaire, ce n’est pas à chaque lancement,
> mais à chaque premier lancement et de temps en temps par la suite.
Actuellement. Une simple maj par Apple peut parfaitement modifier ce comportement, sur lequel l'utilisateur n'a pas de contrôle.
> De mon point de vue, la liste des certificats pour validation pourrait très bien
> être située sur la machine en local, et mise à jour régulièrement, reste a
> savoir pourquoi ce n’est pas le cas... (économie de bande passante ?
> Désir d’empêcher que cette liste puisse être modifiée par chaque utilisateur ? Autre ?)
Désir d'avoir le contrôle. Un fichier local, c'est recopiable, restorable etc, et donc Apple ne pourrait plus ainsi révoquer le droit d'utiliser telle app, un droit qu'elle a décider de se réserver exclusivement.
> Concernant le point comme quoi Apple peut savoir où l’on est et quand avec
> notre adresse IP, c’est un faux problème, vu le nombre de connexion faite par ailleurs
> pour les autres services (Apple Music, iCloud, etc), Apple a bien d’autres moyen
> de savoir où nous sommes et quand nous utilisons nos appareils...
Un argument valable... tout autant pour les plateformes concurrentes d'Apple.
Pourquoi faire alors une différence sur la protection des données privées, argument marketing pourtant !?
@ byte_order : « et donc les adresses IP et l'horodatage de chaque lancement d'app fait par chaque mac »
Non. Ce n’est pas à chaque lancement.
@BeePotato
Certes. Et ?
C'est plus un problème du coup ?
Marrant comment StopCovid c'est de la merde parce que c'est pas *assez* sûr que cela pourrait l'être, mais quand c'est pas à chaque lancement que c'est pas assez sûr, alors là c'est pas grave ???
@ byte_order : « Certes. Et ? »
Et donc l’affirmation comme quoi c’est à chaque lancement est fausse, c’est tout.
Marrant comme on ne peut pas faire remarquer que tu as écrit n’importe quoi sans que tu exiges qu’on ponde un roman derrière. :-)
« C'est plus un problème du coup ? »
Je ne sais pas si ce n’est plus un problème, mais ce qui est sûr c’est que ce n’est plus le problème qui était décrit (traçage de tous les lancements d’applications).
« Marrant comment StopCovid c'est de la merde parce que c'est pas *assez* sûr que cela pourrait l'être, mais quand c'est pas à chaque lancement que c'est pas assez sûr, alors là c'est pas grave ??? »
Je n’ai jamais rien écrit sur StopCovid, et je n’ai écrit nulle par que « là c’est pas grave ».
Marrant comme, dès qu’on te fait remarquer que tu as écrit n’importe quoi, tu te sens obligé d’inventer des cas où on en aurait fait autant. :-)
@BeePotato
> Je ne sais pas si ce n’est plus un problème, mais ce qui est sûr c’est que ce
> n’est plus le problème qui était décrit (traçage de tous les lancements d’applications).
Oui, mais en quoi le possible traçage *régulier* des applications lancées, ainsi que le contrôle à distance du droit de les lancer sans laisser le choix à l'utilisateur (cela fait parti aussi des arguments de sa liste, pour rappel) n'est pas un problème ?
Vous faites comme si l'inexactitude sur l'ampleur gomait le problème.
Cela serait FaceBook, Google, Microsoft qui ferait la même chose, on aurait une levée de bouclier qui ballayerait d'un revers de main tout argument soulignant que les faits avancés sont inexacts bien que sur le fond le problème est bien là.
C'est juste une position partisane, comme d'habitude.
Et je n'adressais pas mon reproche d'hypocrisie à vous en particulier, mais à tout ceux qui sont nettement plus tolérant sur des failles de protection de données privées par Apple que par n'importe qui d'autre.
Pages