Little Snitch veut contourner les obstacles d'Apple dans Big Sur

Florian Innocente |

Objective Development, l'éditeur de Little Snitch, ne désarme pas face aux changements apportés dans macOS Big Sur qui rendent inopérants certains filtrages de ce logiciel de pare-feu.

Pour résumer à grand traits, Apple impose à ces logiciels qui surveillent, signalent et bloquent certaines activités réseau (ainsi qu'aux applications de VPN), de se brancher sur une nouvelle extension système — le Network Extension Framework — apparue avec Catalina et devenue obligatoire avec Big Sur.

Cependant, Apple s'est arrogée le droit de ne pas utiliser son extension système pour une bonne cinquantaine de ses applications et services système, dont FaceTime, le service de mise à jour système, Plans, etc. Little Snitch ne pourra pas les voir et ces communications ne passeront pas non plus au travers des tunnels ouverts par les utilitaires de VPN.

L'éditeur autrichien de Little Snitch concède volontiers que certaines choses nécessitent de ne pas être entravées, comme la vérification à distance par Apple de l'absence de malware dans les logiciels qu'on lance pour la première fois ou la récupération automatique de mises à jour de sécurité. Mais il reproche à Apple de rendre totalement imperméables à tout accès et observations par l'utilisateur toutes ces opérations. Une approche qu'Objective Development juge inverse à la politique de transparence promue par ailleurs par Apple :

Vous avez le droit de savoir où votre ordinateur se connecte. À qui il parle. C'est votre droit de voir ces connexions. C'est votre droit de les autoriser. Et c'est votre droit de les empêcher.

[…]

Cacher complètement à l'utilisateur ces connexions n'a aucun sens. Cela contredit l'idée d'un système transparent et digne de confiance et sape la confiance de l'utilisateur dans ce système.

Objective Development explique qu'il fait face au même type de challenge qu'Apple. Little Snitch doit permettre aux utilisateurs de bloquer certaines communications mais il doit le faire d'une manière responsable et explicite sur les conséquences.

Cela passe par des explications lorsqu'on veut bloquer telle ou telle opération système ou par des règles de pare-feu prêtes à l'emploi qui évitent de faire n'importe quoi : « Mais la décision finale d'accepter ou non les éventuelles conséquences devrait toujours être laissée à l'utilisateur, à vous ».

Dans l'attente d'une possible évolution d'Apple sur ce sujet, l'éditeur travaille sur des moyens pour Little Snitch de pouvoir agir à nouveau sur ces services système désormais masqués pour les gérer. A priori les développeurs ont trouvé quelques pistes « prometteuses » pour y arriver.

 

avatar dodomu | 
avatar switch | 

Apple finira par installer le dossier "Système" macOS sur un petit ssd dédié dans la puce M.x, entièrement géré par la puce de sécurité. Et qui sait, peut-être qu'ensuite il téléchargera les màj et se mettra à jour tout seul, permettant à Apple d'avoir un maximum de matériels "up-to-date".

avatar byte_order | 

@switch

L'auto maj sans consentement préalable du propriétaire d'un appareil est contraire à la loi, pour rappel.

Si les futures machines sont louées par Apple, pourquoi pas. Tant qu'elles sont *vendues*, non, Apple ne pourra pas se permettre de faire cela sans s'exposer à des conséquences juridiques que j'espère dans pareil cas non seulement rapide mais lourde. Naivement.

Car l'impunité des puissants est non seulement toujours une réalité mais, pire, elle est acceptée par les faibles, à commencer par les victimes elles mêmes.

avatar switch | 

Apple ne demande pas l'avis de l'utilisateur quand elle impose une mise à jour du firmware d'un Mac: il y en a deux faites automatiquement lors de la mise à jour des "vieux" Macs de 2009 à 2011 pour passer à High Sierra.
A l'avenir Apple pourrait parfaitement modifier le contrat de licence de macOS avec une clause indiquant que le cœur de l'OS installé sur le Mac est sa propriété, qu'il ne peut pas être modifié par l'utilisateur (il est déjà en lecture seule) et qu'il peut être mis à jour sans préavis.

avatar BeePotato | 

@ switch : « Apple ne demande pas l'avis de l'utilisateur quand elle impose une mise à jour du firmware d'un Mac »

Si.
Elle incite fortement à cette mise à jour quand elle en rend tributaire une mise à jour de MacOS, mais elle demande tout de même l’avis de l’utilisateur (qui peut refuser de faire la mise à jour du firmware, et donc la mise à jour de l’OS qui en dépend).

avatar switch | 

NON, lors de l'installation d'une version récente de macOS sur un vieux Mac, la mise à jour du firmware fait partie de la mise à jour, on ne peut pas la zapper et aucune fenêtre de dialogue ne demande l'accord de l'utilisateur.

avatar byte_order | 

@switch

Mais y'a bien une demande de l'accord de l'utilisateur pour dérouller la mise à jour de macOS. La maj du firmware ne se fait pas de manière totalement forcée, même si l'utilisateur a désactivée les maj de sécurité.

Et ce, pour des raisons simplement juridiques.
Je n'ai aucun doute que sans cela, Apple ne se générait pas, elle se considère de facto chez elle dans ce qu'elle a pourtant vendu. Et sa clientèle semble être globalement d'accord, alors pourquoi elle se générait de tout façon...

avatar TheUMan | 

@reborn
Pardon, mais actuellement le contournement d'Apple dans macOS Big Sur de ses propres règles c'est la VERITE !

@iftwst et @dodomu et @reborn
C'est pas parce qu'Apple clarifie les choses en disant qu'ils FERONT (peut-être )différemment ou mieux (pire sic) à l'avenir qu'il faut prendre cela à la lettre non plus.

avatar reborn | 
avatar TheUMan | 

@reborn

Et ?
t'as lu les conclusions de ton article ?
Il reconnait les choses et les minimises en disant c'est pas grave, vous n'avez qu'a utiliser Little Snitch et c'est là qu'intervient la nouvelle pratique de macOS Big Sur qui contourne tous les Firewall !!!

avatar reborn | 

@TheUMan

Tu mélange 2 problématiques là

avatar banabap | 

Si Apple peut contourner son framework pour le vpn, est ce que d’autres applications pourront le faire aussi ?

Et donc les vpn utilisant le framework d’Apple seraient « inutiles »

avatar reborn | 

@banabap

J’ai une théorie:

Sur le modèle de Driverkit qui lance les pilotes de périphériques en mode utilisateur, les API d’Apple "content filter provider" permettent aux fournisseurs de services VPN/firewall de ne filtrer que le trafic réseau des apps installés par l’utilisateur.

Je pense tout simplement qu’Apple devrait proposer des réglages pour couper les fonctionnalités qui nécessitent un accès à leurs serveurs.

avatar Rez2a | 

Autant ça me parait normal qu’Apple se réserve certains mécanismes pour ses applis, autant là je suis à 100% d’accord avec les développeurs de Little Snitch, en matière de sécurité et de ce qui est transmis sur le réseau, l’utilisateur devrait avoir le dernier mot sur ce qui rentre et sort de son ordi.

Le discours d’Apple est bien sympa, mais on ne devrait pas les croire sur parole, ils ont déjà un passif chargé de pratiques limites.
D’autant que leur côté « control freak » est pas mal visible ces derniers temps, et ça les dessert plus qu’autre chose.

Un utilisateur de Little Snitch est censé savoir ce qu’il fait et ce qu’il bloque, il a pas besoin qu’Apple veille sur lui pour choisir à sa place si tel ou tel truc est indispensable au bon fonctionnement de sa machine et à sa sécurité.

avatar Salapeche | 

"Autant ça me parait normal qu’Apple se réserve certains mécanismes pour ses applis"

Va falloir que ça soit extrêmement limité et vraiment justifié sinon ça s'appel des pratiques anti-concurrencielles. :)

Imagine la même chose avec les bagnoles, celles des constructeurs fra n'ont aucune limitation parce que l'état n'achète que chez eux, toutes les autres doivent limiter en permanence la vitesse à 50Km/h même sur autoroute. :)

Du coup en tant qu'utilisateur t'as le "choix" entre des applications bridés (les logiciels des dèvs tiers) ou aller directement chez apple qui vantera une expérience comme on en a jamais vu avant (facile puisqu'elle s'autorise ce qu'elle interdit à tout les autres en les rackettant au passage).

Avec ça facile de tuer un netflix ou un spotify pour faire monter appletv+, apple music ou n'importe quel autre service maison qui pompe la concurrence sans vergogne et prend de la pdm grace à des méthodes anti-concurrentielles.

avatar Rez2a | 

@Salapeche

Je faisais surtout référence aux API privées qu’Apple exploite parfois dans ses applis en production, tandis que les développeurs tiers doivent parfois attendre plusieurs années avant d’avoir le droit de les utiliser. Je ne sais pas si ça relève de pratiques anticoncurrentielles !

avatar Salapeche | 

J'y pensais aussi justement. :)

Mais on peut aller plus loin et limités les fonctionnalités des conccurents, comme c'est déjà le cas. Le fait de limiter le moteur de rendu à webkit uniquement et d'interdire tout autre c'est déjà une pratique anti-concurrentielle parce que les autres ne pourront jamais faire mieux que celui qui est derrière webkit, apple donc, vu qu'il n'ont aucun contrôle dessus.

Ils ne seront toujours que des surcouches/skins qui ne pourront jamais rien proposer d'exceptionelle qu'apple ne pourrait pas copier dans safari. Safari lui-même ne subissant aucune limitation du fait d'être un produit apple, il pourra utiliser des api privées quand les surcouches n'auront droit qu'aux api publiques s'ils ne veulent pas que ça servent de motif à une éjection de l'appstore...

Qu'est-ce-qui empêcherait aussi apple d'avoir un décodage matériel de la 8k pour ses logiciels pendant qu'au mieux t'as un décodage software - efficace pour les tiers ?
Mieux, elle pourrait même arguer que c'est une fonctionnalité/produit en "test" pendant 10ans, comme GMail à l'époque, s'il le faut. Donc pour limiter les problèmes que pourrait subir les clients, elle se réserve le droit d'avoir de meilleures perfs mais au possible risque de bug. Alors qu'elle sait très bien qu'yen aura pas.
Les dèvs tiers n'auront pas beaucoup de solution, c'est soit faire avec en connaissant l'issue à long terme, soit aller voir ailleurs ou tenter le procès pour que la justice rétablisse l'égalité, après avoir subit une spoliation pendant des années. :)

Quand on commence à donner des dérogations, ou laisser faire ce genre de chose, ça finir souvent en grosse arnaque pour le client.

avatar morpheusz63 | 

@Salapeche

Analyse intéressante

avatar Adodane | 

Pourquoi la vérification d’absence de malware doit elle être faite à distance ? 🧐

avatar BeePotato | 

@ Adodane : « Pourquoi la vérification d’absence de malware doit elle être faite à distance ? 🧐 »

Parce que ce n’est pas une vérification d’absence de malware, mais une simple vérification que cette application n’a pas été désignée comme devant être bloquée (pour cause de pratique malveillante).
C’est une sécurité beaucoup plus légère qu’une vérification d’absence de malware.

avatar byte_order | 

@BeePotao
> que cette application n’a pas été désignée comme devant être bloquée
> (pour cause de pratique malveillante).

Ou sur simple décision de censure dans votre pays...

avatar BeePotato | 

@ byte_order : « Ou sur simple décision de censure dans votre pays... »

Le terme officiel est « pour cause de pratique malveillante ». ;-)

avatar byte_order | 

@BeePotato
Ou pour cause de concurrence génante, aussi.

avatar Han Solo | 

Mac G ou le site qui a la communauté la plus condescendante, dure, prétentieuse et fatigante à lire.

C’est une horreur à chaque fois les commentaires ici.

C’est à savoir qui a la plus grosse en général.
Vous êtes affligeants pour beaucoup

avatar r e m y | 

@Han Solo

Pourquoi condescendant??? En remontant, c'est pas mieux! 😔

Pages

CONNEXION UTILISATEUR