Ouvrir le menu principal

MacGeneration

Recherche

macOS Big Sur : Apple ne respecte pas les extensions réseau et les VPN pour ses apps

Nicolas Furno

lundi 26 octobre 2020 à 14:53 • 115

macOS

Le nouveau mécanisme d’extensions exécutées dans l’espace utilisateur imposé par Apple ne permet plus de garantir que la configuration réseau des Mac et appareils iOS, et notamment la configuration d’un serveur VPN, est toujours utilisée par les apps système. C’est ce qui apparaît au fur et à mesure que les extensions de noyau traditionnelles (kexts en anglais) sont remplacées par leurs remplaçantes dans le cadre de DriverKit.

C’est un changement lancé par Apple il y a plusieurs années. macOS High Sierra a commencé par bloquer par défaut les extensions du noyau, puis macOS Catalina a ajouté DriverKit, un nouveau mécanisme pour offrir des extensions dans la session de l’utilisateur. Depuis macOS 10.15.4, un message d’alerte signale que les anciennes extensions sont désormais obsolètes et seront bloquées dans une future mise à jour du système.

Le message d’erreur affiché par le système depuis macOS 10.15.4, ici pour une ancienne version de Little Snitch, avant son passage à DriverKit.

Les développeurs n’ont pas le choix, ils doivent basculer sur le nouveau système qui est censé éviter tout problème d’instabilité et réduire les risques en matière de sécurité. En installant et exécutant des extensions dans la session de l’utilisateur, Apple opte pour une approche qui fonctionne à un niveau moins bas dans la hiérarchie du système. C’est positif pour les raisons que l’on vient d’évoquer, mais cela veut aussi dire qu’il est désormais techniquement possible de contourner une extension.

C’est ce que fait Apple avec ses propres apps pour les configurations liées au réseau. Comme l’a noté initialement le développeur @mxswd sur Twitter, puis confirmé par le chercheur en sécurité Patrick Wardle et par le développeur de l’app TripMode, 56 apps et services d’Apple ne respecteront pas les extensions de réseau installées par l’utilisateur à partir de macOS Big Sur. Si vous configurez un VPN, ces apps ne l’utiliseront pas pour leurs communications. Et si vous avez une app comme Little Snitch qui surveille le réseau et fait office de pare-feu, ces apps ne seront pas identifiées et filtrées.

Sur cet exemple fourni par Patrick Wardle, Little Snitch est configuré pour bloquer toutes les connexions externes. Pourtant, le Mac App Store a toujours accès à internet.

Cette liste de 56 apps et services n’est pas nouvelle, elle était déjà définie dans macOS Catalina. Mais jusque-là, Apple n’utilisait pas cette exception accordée à ses propres apps et c’est la nouveauté de macOS Big Sur. Dans le lot, on retrouve le Mac App Store, le système de mises à jour de macOS, FaceTime, le service de notifications, l’app Musique ou encore Plans. Toutes ces apps pourront accéder à internet même si elles sont bloquées par un pare-feu, une app ne pourra pas visualiser leur trafic et la configuration VPN ne sera pas utilisée.

C’est un problème sur le plan de la sécurité, mais aussi pour une app comme TripMode qui surveille l’utilisation d’internet de chaque app pour éviter de vider son forfait trop rapidement quand on utilise un smartphone en mode modem. Avec macOS Big Sur, l’app ne pourra plus surveiller ni bloquer les 56 apps et services d’Apple, ce qui veut dire notamment que les mises à jour du système pourront être téléchargées à votre insu. Il est toujours possible de désactiver le téléchargement à l’arrière-plan dans les Préférences système, mais TripMode permettait de conserver ce comportement par défaut tout en le bloquant en mode modem.

Si vous comptez sur ces fonctions, vous pouvez l’indiquer à Apple en utilisant l’app Feedback Assistant sur votre Mac, un appareil iOS ou via le site web. Le développeur de Trip Mode encourage à citer le radar FB8808172 pour indiquer à Apple que c’est un problème qui touche beaucoup de monde.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Promos : le MacBook Air M2 à 979 € avec 256 Go et 1159 € avec 512 Go

12:29

• 3


Rétro MacG : retour sur le Mac du 20e anniversaire

10:00

• 9


Infomaniak lance une plateforme “souveraine” d’IA open source

12/10/2024 à 18:30

• 24


Apple n'a plus le droit de faire circuler des voitures autonomes en Californie

12/10/2024 à 11:05

• 54


Sortie de veille : le MacBook Pro M4 déjà en fuite ?

12/10/2024 à 08:00

• 13


L’ARCOM valide la solution temporaire de la CB pour les sites frivoles

11/10/2024 à 21:15

• 31


L'application Steam Link streame en AV1 sur Mac si vous avez une puce M3

11/10/2024 à 19:15

• 18


Le SuperDrive d'Apple est en voie de disparition 🆕

11/10/2024 à 17:22

• 73


Intel lance les Core Ultra 200S pour succéder à la 14e génération de Core

11/10/2024 à 16:00

• 12


Apple ouvre son plus grand labo de R&D en Chine

11/10/2024 à 15:08

• 26


Amazon obligé d'arrêter de vendre les Fire TV Stick dans certains pays à cause de Nokia

11/10/2024 à 12:25


Tesla présente le Robotaxi et promet son arrivée sur les routes américaines d’ici deux ou trois ans

11/10/2024 à 10:20

• 80


Donald Trump veut interdire les voitures autonomes

11/10/2024 à 10:09

• 131


Test d'un adaptateur microSD pour MacBook : pourquoi c’est un support de stockage à utiliser avec précaution

11/10/2024 à 08:45

• 16


Orange lance son offre 5G+ Home

11/10/2024 à 07:51


Asahi Linux lance des jeux AAA sur les Mac Apple Silicon, parfois mieux que macOS

10/10/2024 à 20:00

• 25