Little Snitch veut contourner les obstacles d'Apple dans Big Sur

Florian Innocente |

Objective Development, l'éditeur de Little Snitch, ne désarme pas face aux changements apportés dans macOS Big Sur qui rendent inopérants certains filtrages de ce logiciel de pare-feu.

Pour résumer à grand traits, Apple impose à ces logiciels qui surveillent, signalent et bloquent certaines activités réseau (ainsi qu'aux applications de VPN), de se brancher sur une nouvelle extension système — le Network Extension Framework — apparue avec Catalina et devenue obligatoire avec Big Sur.

Cependant, Apple s'est arrogée le droit de ne pas utiliser son extension système pour une bonne cinquantaine de ses applications et services système, dont FaceTime, le service de mise à jour système, Plans, etc. Little Snitch ne pourra pas les voir et ces communications ne passeront pas non plus au travers des tunnels ouverts par les utilitaires de VPN.

L'éditeur autrichien de Little Snitch concède volontiers que certaines choses nécessitent de ne pas être entravées, comme la vérification à distance par Apple de l'absence de malware dans les logiciels qu'on lance pour la première fois ou la récupération automatique de mises à jour de sécurité. Mais il reproche à Apple de rendre totalement imperméables à tout accès et observations par l'utilisateur toutes ces opérations. Une approche qu'Objective Development juge inverse à la politique de transparence promue par ailleurs par Apple :

Vous avez le droit de savoir où votre ordinateur se connecte. À qui il parle. C'est votre droit de voir ces connexions. C'est votre droit de les autoriser. Et c'est votre droit de les empêcher.

[…]

Cacher complètement à l'utilisateur ces connexions n'a aucun sens. Cela contredit l'idée d'un système transparent et digne de confiance et sape la confiance de l'utilisateur dans ce système.

Objective Development explique qu'il fait face au même type de challenge qu'Apple. Little Snitch doit permettre aux utilisateurs de bloquer certaines communications mais il doit le faire d'une manière responsable et explicite sur les conséquences.

Cela passe par des explications lorsqu'on veut bloquer telle ou telle opération système ou par des règles de pare-feu prêtes à l'emploi qui évitent de faire n'importe quoi : « Mais la décision finale d'accepter ou non les éventuelles conséquences devrait toujours être laissée à l'utilisateur, à vous ».

Dans l'attente d'une possible évolution d'Apple sur ce sujet, l'éditeur travaille sur des moyens pour Little Snitch de pouvoir agir à nouveau sur ces services système désormais masqués pour les gérer. A priori les développeurs ont trouvé quelques pistes « prometteuses » pour y arriver.

 

avatar morpheusz63 | 

@iftwst

C'est ce que je pensais, va te renseigner sur qui il est… et je connais oui qui il est JESUS ARMY

avatar reborn | 

@celebration

Le problème c’est que c’est faux.

avatar byte_order | 

La seule partie qui est fausse c'est son affirmation que c'est un hash du programme, car en fait c'est un identifiant du développeur de l'app.
Comme y'a pas mal d'apps qui sont l'unique app macOS ou iOS développée par son développeur, ceci-dit, on est pas loin de pouvoir savoir quelle app est lancée quand.

Enfin, en ce qui concerne l'auto-exemption d'Apple vis à vis des VPN etc, c'est bien avéré, et c'est pas du tout sous le contrôle de l'utiliseur pourtant légitime propriétaire de son ordinateur.

avatar reborn | 

@byte_order

La seule partie qui est fausse

Et comme toujours désormais l’on mélange du vrai, du moins vrai, du faux et du sensationnalisme pour faire passer un message.

avatar byte_order | 

@reborn
Et clamer "Le problème c’est que c’est faux.", qui fait pas de mélange entre ce qui est effectivement factuel de ce qui ne l'est pas, c'est mieux peut être !?

C'est pas tenter de faire passer un message "fort" que de réagir en disant "le problème c'est que c'est faux", alors que tout n'est pas faux, certains points seulement !?

avatar reborn | 

@byte_order

Mélange de "vrai "et de faux = fake news.
Une fake news est fausse.

Je vais pas faire la réflexion à sa place. Il est visiblement incapable de prendre du recul pour bien analyser une situation, vérifier plusieurs sources afin de se confronter à de multiples points de vues.

Il prend la première source qui le conforte dans ce qu’il pensait déjà. Je ne participe pas à ce genre de débats

avatar byte_order | 

@reborn
> Mélange de "vrai "et de faux = fake news.

Trump inside?

Depuis quand une liste d'affirmations est intégralement fausse si l'un des éléments de cette liste est faux !?

Son affirmation comme quoi on peut identifier l'app exactement est fausse.
Son affirmation comme quoi on peut identifier le développeur de l'app par contre ne l'est pas.
Son affirmation comme quoi bon nombre de développeurs ont très peu d'apps l'est tout autant.

> Il prend la première source qui le conforte dans ce qu’il pensait déjà.

Et vous ?

> Je ne participe pas à ce genre de débats

Ben si.

Vous dites "c'est faux", en englobant tout son propos dans votre affirmation, ce que même jacopo ne fait pas lui même, son contre-argument ne portant que sur le fait que cela ne permet pas d'identifier de manière certaine l'app, uniquement son développeur.

Bien sur que si, que vous participez au débat.

avatar reborn | 

@byte_order

Depuis quand une liste d'affirmations est intégralement fausse si l'un des éléments de cette liste est faux !?

Quand l’auteur du poste manque de nuance ?

avatar byte_order | 

@reborn
> Quand l’auteur du poste manque de nuance ?

C'est votre argumentaire "c'est faux" qui manque de nuance.
Le sien tient sur de long paragraphe, y compris des ajouts récents qui reviennent sur la contre-argumentation que vous "soutenez".

En terme de nuance, affirmer en ligne "c'est faux" face à de multiples paragraphes détaillés, incluant les contre-arguments, vous m'excuserez, mais y'a un sacré déséquilibre et il ne penche pas de votre côté.

Et d'autres posts m'attanquant sans plus d'argument vont également dans ce sens.

avatar reborn | 

@byte_order

Ton meilleur ami ça serait DHH..
Toujours extreme sur tout, en toutes circonstances..

avatar BeePotato | 

@ byte_order : « La seule partie qui est fausse c'est son affirmation que c'est un hash du programme »

Le reste est faux aussi parce qu’il tombe (malheureusement et bêtement, comme c’est souvent le cas) dans l’exagération.
Si, je peux encore allumer mon ordinateur, lancer un éditeur de texte, un lecteur de livres électroniques, écrire ou lire sans qu’un journal de mon activité soit transmis et stocké.

Je ne suis pas en train de nier que la communication de ce qui se passe sur les Mac a augmenté ces derniers temps (pour un bénéfice très limité, si on me demande mon avis).
Je souligne juste qu’on est plus facilement pris au sérieux quand on présente les faits tels qu’ils sont plutôt que de les exagérer pour appuyer le discours apocalyptique d’un gourou. Il est toujours regrettable de voir des gens nuire, par de telles erreurs, à la cause qu’ils tentent de défendre.

avatar byte_order | 

@BeePotato

> Si, je peux encore allumer mon ordinateur, lancer un éditeur de texte, un lecteur de
> livres électroniques, écrire ou lire sans qu’un journal de mon activité soit transmis
> et stocké.

Sans rien changer du tout, ni sur macOS ni sur le mac ni sur l'infrastructure vous reliant à Internet !?

Pour en être sûr à 100%, il faut lui amputer l'une des fonctions pourtant assez fondamentale : le déconnecter d'internet.

L'exagération, justement, c'est de prétendre que dans un cas particulièrement amputé de l'usage habituel fait par les utilisateurs lambda (qui ne modifient pas le fichier hosts, qui ne déconnectent pas leurs machines pour les reconnecter qu'après avoir lancer toutes les apps qu'ils veulent pouvoir utiliser à un instant T), ce qu'il dit est faux, comme si ce cas était le plus fréquent, et donc comme si l'exagération c'était de parler du cas le plus fréquent tandis que de présenter un cas nettement moins fréquent comme étant une situation normale et donc factuellement antagoniste à son affirmation.

avatar BeePotato | 

@ byte_order : « Sans rien changer du tout, ni sur macOS ni sur le mac ni sur l'infrastructure vous reliant à Internet !? »

Bon, pour le démarrage, effectivement on n’est sûr à 100% que via une modification de l’infrastructure d’accàs à internet.
Mais pour la suite, aucunement besoin. Je lance régulièrement plein d’applications sans que ce soit noté sur les serveurs d’Apple.

« L'exagération, justement, c'est [blablabla] »

Ce qu’il a fait, c’est une exagération, un point, c’est tout.

avatar byte_order | 

@BeePotato
> Ce qu’il a fait, c’est une exagération, un point, c’est tout.

Tout autant que de dire que l'intégralité de ces arguments est une exagération.

avatar Salapeche | 

"Mais pour la suite, aucunement besoin. Je lance régulièrement plein d’applications sans que ce soit noté sur les serveurs d’Apple."

Donne ta source qui te permet d'affirmer ça. Et elle est encore plus nécessaire si t'es déjà sur big sur. Si t'en as pas t'es prié de la fermer et d'admettre qu'un chercheur en sécurité et peut-être bien plus compétent que toi sur ce sujet. :)

avatar dodomu | 

@celebration

Macg a justement publié un article qui présente la réponse d’Apple, en plus de nuancer, voire corriger, les propos tenus dans ce lien.

avatar byte_order | 

Une réponse officielle qui reconnait de facto que :
- les données sont transmises en clair, donc interceptable
- que Apple conserve/vait le journal de chaque accès fait par ce mécanisme a ses serveurs, et donc les adresses IP et l'horodatage de chaque lancement d'app fait par chaque mac

avatar dodomu | 

@byte_order

« les données sont transmises en clair, donc interceptable »
C’est difficile de faire autrement pour des soucis techniques lié au protocole utilisé. Cela dit, si effectivement Apple a le soucis de la vie privée, elle devrait pouvoir plancher sur une solution au problème (ce qu’elle va faire visiblement, mais on est en droit de ce demander pourquoi elle ne l’a pas fait avant...)

« que Apple conserve/vait le journal de chaque accès fait par ce mécanisme a ses serveurs, et donc les adresses IP et l'horodatage de chaque lancement d'app fait par chaque mac »
Ça peut être le fruit d’une erreur ou d’un oubli, mais c’est effectivement une bonne chose que ça ne soit plus le cas (nous n’aurons cela dit aucune façon de le vérifier 🤷‍♂️)
Par contre précision supplémentaire, ce n’est pas à chaque lancement, mais à chaque premier lancement et de temps en temps par la suite. Reste que le fait qu’Apple puisse savoir ce qu’on utilise comme application est effectivement problématique.
De mon point de vue, la liste des certificats pour validation pourrait très bien être située sur la machine en local, et mise à jour régulièrement, reste a savoir pourquoi ce n’est pas le cas... (économie de bande passante ? Désir d’empêcher que cette liste puisse être modifiée par chaque utilisateur ? Autre ?)

Concernant le point comme quoi Apple peut savoir où l’on est et quand avec notre adresse IP, c’est un faux problème, vu le nombre de connexion faite par ailleurs pour les autres services (Apple Music, iCloud, etc), Apple a bien d’autres moyen de savoir où nous sommes et quand nous utilisons nos appareils...
Ce qui est plus difficilement admissible, c’est le fait de ne pas pouvoir contrôler finement quelle application on peut lancer sur son ordinateur (un utilisateur averti devrait toujours pouvoir désactiver des sécurités s’il sait ce qu’il fait), et le fait qu’Apple s’arroge des passe droit pour contourner les vpn (et surtout sans donner d’explications...).

avatar BeePotato | 

@ dodomu : « Ce qui est plus difficilement admissible, c’est le fait de ne pas pouvoir contrôler finement quelle application on peut lancer sur son ordinateur (un utilisateur averti devrait toujours pouvoir désactiver des sécurités s’il sait ce qu’il fait) »

Ça, on le peut encore.

avatar byte_order | 

@dodomu
> Par contre précision supplémentaire, ce n’est pas à chaque lancement,
> mais à chaque premier lancement et de temps en temps par la suite.

Actuellement. Une simple maj par Apple peut parfaitement modifier ce comportement, sur lequel l'utilisateur n'a pas de contrôle.

> De mon point de vue, la liste des certificats pour validation pourrait très bien
> être située sur la machine en local, et mise à jour régulièrement, reste a
> savoir pourquoi ce n’est pas le cas... (économie de bande passante ?
> Désir d’empêcher que cette liste puisse être modifiée par chaque utilisateur ? Autre ?)

Désir d'avoir le contrôle. Un fichier local, c'est recopiable, restorable etc, et donc Apple ne pourrait plus ainsi révoquer le droit d'utiliser telle app, un droit qu'elle a décider de se réserver exclusivement.

> Concernant le point comme quoi Apple peut savoir où l’on est et quand avec
> notre adresse IP, c’est un faux problème, vu le nombre de connexion faite par ailleurs
> pour les autres services (Apple Music, iCloud, etc), Apple a bien d’autres moyen
> de savoir où nous sommes et quand nous utilisons nos appareils...

Un argument valable... tout autant pour les plateformes concurrentes d'Apple.
Pourquoi faire alors une différence sur la protection des données privées, argument marketing pourtant !?

avatar BeePotato | 

@ byte_order : « et donc les adresses IP et l'horodatage de chaque lancement d'app fait par chaque mac »

Non. Ce n’est pas à chaque lancement.

avatar byte_order | 

@BeePotato

Certes. Et ?
C'est plus un problème du coup ?
Marrant comment StopCovid c'est de la merde parce que c'est pas *assez* sûr que cela pourrait l'être, mais quand c'est pas à chaque lancement que c'est pas assez sûr, alors là c'est pas grave ???

avatar BeePotato | 

@ byte_order : « Certes. Et ? »

Et donc l’affirmation comme quoi c’est à chaque lancement est fausse, c’est tout.
Marrant comme on ne peut pas faire remarquer que tu as écrit n’importe quoi sans que tu exiges qu’on ponde un roman derrière. :-)

« C'est plus un problème du coup ? »

Je ne sais pas si ce n’est plus un problème, mais ce qui est sûr c’est que ce n’est plus le problème qui était décrit (traçage de tous les lancements d’applications).

« Marrant comment StopCovid c'est de la merde parce que c'est pas *assez* sûr que cela pourrait l'être, mais quand c'est pas à chaque lancement que c'est pas assez sûr, alors là c'est pas grave ??? »

Je n’ai jamais rien écrit sur StopCovid, et je n’ai écrit nulle par que « là c’est pas grave ».
Marrant comme, dès qu’on te fait remarquer que tu as écrit n’importe quoi, tu te sens obligé d’inventer des cas où on en aurait fait autant. :-)

avatar byte_order | 

@BeePotato
> Je ne sais pas si ce n’est plus un problème, mais ce qui est sûr c’est que ce
> n’est plus le problème qui était décrit (traçage de tous les lancements d’applications).

Oui, mais en quoi le possible traçage *régulier* des applications lancées, ainsi que le contrôle à distance du droit de les lancer sans laisser le choix à l'utilisateur (cela fait parti aussi des arguments de sa liste, pour rappel) n'est pas un problème ?

Vous faites comme si l'inexactitude sur l'ampleur gomait le problème.
Cela serait FaceBook, Google, Microsoft qui ferait la même chose, on aurait une levée de bouclier qui ballayerait d'un revers de main tout argument soulignant que les faits avancés sont inexacts bien que sur le fond le problème est bien là.
C'est juste une position partisane, comme d'habitude.

Et je n'adressais pas mon reproche d'hypocrisie à vous en particulier, mais à tout ceux qui sont nettement plus tolérant sur des failles de protection de données privées par Apple que par n'importe qui d'autre.

avatar celebration | 

@dodomu

« Macg a justement publié un article qui présente la réponse d’Apple, en plus de nuancer, voire corriger, les propos tenus dans ce lien. »

Je ne trouve pas l’article. Si jamais une bonne âme...

Pages

CONNEXION UTILISATEUR