macOS Big Sur : Apple ne respecte pas les extensions réseau et les VPN pour ses apps
Le nouveau mécanisme d’extensions exécutées dans l’espace utilisateur imposé par Apple ne permet plus de garantir que la configuration réseau des Mac et appareils iOS, et notamment la configuration d’un serveur VPN, est toujours utilisée par les apps système. C’est ce qui apparaît au fur et à mesure que les extensions de noyau traditionnelles (kexts en anglais) sont remplacées par leurs remplaçantes dans le cadre de DriverKit.
C’est un changement lancé par Apple il y a plusieurs années. macOS High Sierra a commencé par bloquer par défaut les extensions du noyau, puis macOS Catalina a ajouté DriverKit, un nouveau mécanisme pour offrir des extensions dans la session de l’utilisateur. Depuis macOS 10.15.4, un message d’alerte signale que les anciennes extensions sont désormais obsolètes et seront bloquées dans une future mise à jour du système.

Les développeurs n’ont pas le choix, ils doivent basculer sur le nouveau système qui est censé éviter tout problème d’instabilité et réduire les risques en matière de sécurité. En installant et exécutant des extensions dans la session de l’utilisateur, Apple opte pour une approche qui fonctionne à un niveau moins bas dans la hiérarchie du système. C’est positif pour les raisons que l’on vient d’évoquer, mais cela veut aussi dire qu’il est désormais techniquement possible de contourner une extension.
C’est ce que fait Apple avec ses propres apps pour les configurations liées au réseau. Comme l’a noté initialement le développeur @mxswd sur Twitter, puis confirmé par le chercheur en sécurité Patrick Wardle et par le développeur de l’app TripMode, 56 apps et services d’Apple ne respecteront pas les extensions de réseau installées par l’utilisateur à partir de macOS Big Sur. Si vous configurez un VPN, ces apps ne l’utiliseront pas pour leurs communications. Et si vous avez une app comme Little Snitch qui surveille le réseau et fait office de pare-feu, ces apps ne seront pas identifiées et filtrées.

Cette liste de 56 apps et services n’est pas nouvelle, elle était déjà définie dans macOS Catalina. Mais jusque-là, Apple n’utilisait pas cette exception accordée à ses propres apps et c’est la nouveauté de macOS Big Sur. Dans le lot, on retrouve le Mac App Store, le système de mises à jour de macOS, FaceTime, le service de notifications, l’app Musique ou encore Plans. Toutes ces apps pourront accéder à internet même si elles sont bloquées par un pare-feu, une app ne pourra pas visualiser leur trafic et la configuration VPN ne sera pas utilisée.
C’est un problème sur le plan de la sécurité, mais aussi pour une app comme TripMode qui surveille l’utilisation d’internet de chaque app pour éviter de vider son forfait trop rapidement quand on utilise un smartphone en mode modem. Avec macOS Big Sur, l’app ne pourra plus surveiller ni bloquer les 56 apps et services d’Apple, ce qui veut dire notamment que les mises à jour du système pourront être téléchargées à votre insu. Il est toujours possible de désactiver le téléchargement à l’arrière-plan dans les Préférences système, mais TripMode permettait de conserver ce comportement par défaut tout en le bloquant en mode modem.
Si vous comptez sur ces fonctions, vous pouvez l’indiquer à Apple en utilisant l’app Feedback Assistant sur votre Mac, un appareil iOS ou via le site web. Le développeur de Trip Mode encourage à citer le radar FB8808172 pour indiquer à Apple que c’est un problème qui touche beaucoup de monde.
Ça risque de poser problème également pour quiconque voyage dans un pays avec disons une notion particulière de la démocratie (à tout hasard : la Chine) et qui voudrait accéder à du contenu « non local » et pouvoir échanger via iMessage sans être trop vu par le régime en place.
Je trouve ça très limite d’Apple, puisque ça veut dire que potentiellement des données iCloud pourrait passer par les serveurs chinois alors que l’utilisateur a bien son VPN activé..
Bon après, ce n’est qu’une bêta et on espère un changement de comportement de ces applications avant la version finale.
@Maxime A.
Bien d’accord. Un FaceTime ou iMessage bloque dans certains pays .. ils ont l’habitude.. mais en tant que touristes.. comment ne pas recevoir les messages..
pas cool..
Ça va faire le bonheur des WhatsApp, Skype et compagnie.. dommage
@Maxime A.
Oui très bien dis... je ne suis pas près de passer a la nouvelle version, et tant que se problème ne sera pas résolu !
Ou plus simplement, aux EAU où on te bloque FaceTime pour t'obliger à payer du roaming chez les opérateurs locaux.
@Maxime A.
Cela risque de poser des problèmes aussi à d'autres utilisateurs qui n'ont pas forcément recours à un VPN mais uniquement à une application contrôlant la consommation data si l'on est à l'étranger par exemple.
Je cite l'article :
« Dans le lot, on retrouve le Mac App Store, le système de mises à jour de macOS, FaceTime, le service de notifications, l’app Musique ou encore Plans. Toutes ces apps pourront accéder à internet même si elles sont bloquées par un pare-feu, une app ne pourra pas visualiser leur trafic et la configuration VPN ne sera pas utilisée. »
En plus du problème du VPN !
Comment faire confiance dans ce cas ?
Il y aura-t-il une application Apple gérant les problèmes de quota en sachant que des applications / services Apple vont les ignorer...
Imaginons qu'une nouvelle version remplaçant Mac OS Big Sur se télécharge alors que vous êtes à l'étranger ou tout simplement une grosse mise-à-jour.
Je sens que certains vont avoir dans l'avenir des factures de mobiles plus que lourdes !
😁
Ils en arrivent au point de contourner leurs propres règles… à croire que le « spaceship » est définitivement trop grand pour se concerter avant d’édicter des règles.
D’ailleurs, toujours pas possible de créer un clone sur lequel démarrer, une fonction phare de Carbon Copy Cloner (je crois d’ailleurs qu’il y a eu un article à ce sujet), parce que Big Sur est « mal » installé. Et même le développeur, en contact avec Apple, ignore si ça sera réglé pour la sortie.
@Yohmi,
« D’ailleurs, toujours pas possible de créer un clone sur lequel démarrer, une fonction phare de Carbon Copy Cloner (je crois d’ailleurs qu’il y a eu un article à ce sujet), parce que Big Sur est « mal » installé. Et même le développeur, en contact avec Apple, ignore si ça sera réglé pour la sortie. »
Le malheureux ! Il risque d'attendre un peu avant de comprendre que ce n'est pas un bug ou un problème technique mais juste une (nouvelle) fonction « remarquable et exceptionnellement enthousiasmante » !
😁 ou 😥 au choix !
Vie privée, vie privée... oui mais selon Apple...
@AbsolutMoi,
« Vie privée, vie privée... oui mais selon Apple... »
C'est un peu cela ! Faites ce que je dis mais personnellement je ne le ferai pas !
Apple impose des règles aux autres, et s'en moque « un peu » !
Malheureusement, je crains que cela passe trop inaperçu pour l'utilisateur standard et que la grogne soit limitée aux power users !
Du coup, un arrière bruit de grogne sans trop de conséquences pour Apple.
Un risque qu'elle a dû bien sûr calculer.
Si Apple a pris cette décision, c'est que le rapport « bénéfice / mauvaise presse » penche nettement en sa faveur.
Logiquement triste !
😥
QUEUAH ?!
@oomu
QUEUAH QUOI ?
😁
On grogne ?
Je croyais que vous êtiez en train de pythoner à fond les manettes !
😎
« pour offrir des extensions dans la session de l’utilisateur »
Plutôt dans l’espace (mémoire) utilisateur.
La session, c’est le temps passé entre le « log in » et le log out ».
@biak
Plutôt dans l’espace (mémoire) utilisateur.
La session, c’est le temps passé entre le « log in » et le log out ».
- Non, sur macOS chaque programme lancé l’est en association avec une session, root ou utilisateur... Les extensions ne sont disponible que dans la session d’un utilisateur.
Bonjour,
je suis étonné du peu de réactions ?
Pour ce qui me concerne ce comportement des applis Apple est tout simplement inacceptable.
Sans VPN et Little Snitch opérant sur tous les process c’est no go pour BigSur.
Penser qu’ils vont faire marche arrière maintenant me semble de l’ordre du doux rêve. On est en quasi GM non ? On ne parle pas d’un petit bug là corriger mais du comportement de l’OS.
J’ai l’impression que c’est de pire en pire 😔
@elpeygey
Comment peut-on encore faire confiance à Apple quand ils s'arrogent de tels passe-droits sur les règles qu'ils ont eux-mêmes édictées... 😡
D'autant que là on est quand même sur des domaines sensibles en terme de confidentialité, et de contrôle de ce qui entre et sort de son Mac!
Les gens ont abandonné. Ils ont perdu leur droit à la vie privée. Que se soit les micros, cameras, traçages de toutes sortes. C'est trop tard, c'est foutu, c'est open bar.
Apple sont les rois de "faites ce que je dis" mais là, c'est le pompom, ils ne s'appliquent même pas les règles qu'ils édictent à eux même !
@elpeygey
Pour moi aussi c’est inadmissible faut faire une pétition !
En tout cas je ne suis pas près de passer à la nouvelle version 🤬🤬🤬
@R-APPLE-R
"Pour moi aussi c’est inadmissible faut faire une pétition ! "
Pour ce que ça vaut…
@elpeygey
"Sans VPN et Little Snitch opérant sur tous les process c’est no go pour BigSur."
Pareil pour moi. J’attendrais sagement que Little Snitch soit à nouveau pleinement opérationnel sur BigSur pour switcher. J’ai au moins deux ans devant moi avant de changer de Mac, ça devrait évoluer d’ici là…
Apple en avait peut-être assez que des utilitaires comme LittleSnitch puisse bloquer les communications des applications AppStore, Musiques et Plans avec sa régie publicitaire ...
@r e m y,
« Apple en avait peut-être assez que des utilitaires comme LittleSnitch puisse bloquer les communications des applications AppStore, Musiques et Plans avec sa régie publicitaire ... »
Un excellent début d'explication !
Effectivement, Apple a envie de reprendre le contrôle (total) de nos ordinateurs, un peu comme nos téléphones a priori !
😉
Sur le principe, je suis d’accord. C’est sur ce que la phrase laisse entendre par « session ».
Un processus tourne dans l’espace propre à chaque utilisateur. Mais je vois une tendance à confondre « compte utilisateur » et « session ». Un utilisateur qui se connecte à son compte ouvre une session, qui cessera lorsqu’il se déconnectera.
Je m’en vais te révoquer leur certificat développeur à Apple ça va pas traîner !
@geooooooooffrey
+1 🤣
:)
:-)
@geooooooooffrey,
« Je m’en vais te révoquer leur certificat développeur à Apple ça va pas traîner ! »
😁👍
Pas mieux !
J'ai bien rigolé à votre second degré ... et puis je me suis dit que c'était tellement vrai comme ironie !
😭
Je pense que le peu de réactions c’est parce que peu de gens utilisent un VPN et parmi eux, peu réalisent les soucis que ça peut poser. Quant à moi je n’arrive pas à imaginer qu’Apple ne fasse pas marche arrière sur ce coup. J’espère ne pas me tromper.
@Tetaroide Bleu
Ils n'ont pas fait cela accidentellement ! C'est un véritable choix de leur part. Je ne les vois pas faire machine arrière à quelques jours de la diffusion de la version finale de BigSur.
Et ça ne concerne pas que les VPN!
Les utilitaires bloquant les publicités, par exemple, ne seront plus d'aucune utilité avec les application Apple dont les communications ne pourront être bloquées.
@r e m y
Je ne pense pas qu'il y ait un changement de comportement des applications Apple mais je peux me tromper. Est ce que sous Catalina ces services Apple s'exécutent au niveau utilisateur ou au même niveau que Big Sur?
De ce que je comprends Big Sur ne permet plus aux applications tierces de s'exécuter à un niveau bas dans le système.
Donc les applications ne peuvent plus accéder, analyser, intercepter ou surveiller à une partie de traffic réseau, ce qui en soit peut être une bonne chose.
Néanmoins cela génère des problèmes pour les applications de type Firewall, VPN, analyse réseau... qui sont restreintes dans leur champs d'action.
Le fait que des applications Apple ne s'exécutent pas encore au niveau utilisateur pose problème. Maintenant à voir si c'est une solution transitoire et si Apple va modifier ce comportement au fil des releases de Mac OS ou si c'est choix et qu'ils vont fournir un moyen à ce type d'applications de pouvoir fonctionner correctement. Je vois mal les entreprises ne pas avoir la possibilité de pouvoir déployer VPN, firewall ou autres outils en laissant une partie du système sans possibilité de contrôle.
@Kabrice
Tu as raison, mais c'est exactement ce que tu décris. Avec les règles imposées aux utilitaires tiers, qu'Apple ne respecte pas elle-même, on ne peut plus contrôler ce que font les applications et process Apple.
Depuis le temps qu'Apple a annoncé ces nouvelles règles, au point désormais de l'imposer sans aucun exception possible aux tiers, je ne peux pas imaginer qu'Apple est resté en dehors de ces contraintes par accident. C'est nécessairement volontaire
@r e m y
Volontaire il n’y à aucun doute. Ils reconstruisent pas mal de fondations et il est peut-être raisonnable de ne pas attaquer tous les sujets en même temps. Maintenant j’espère qu’ils apporteront une solution à ce problème avant la sortie de l’OS parce que si VPN, firewall ou solution end point ne sont pas capable de fonctionner ca va piquer sévère.
@Kabrice
Ça fait des mois que c'est comme ça et la sortie va se faire dans quelques jours (2 semaines au plus), ils ne vont pas tout refaire en si peu de temps !
Et ils ne peuvent pas dire aux développeurs qu'ils les ont prévenu depuis plusieurs années de ces contraintes liées aux extensions de noyau et que maintenant c'est incontournable et dire que eux, Apple, ils n'ont pas eu le temps de prendre en compte le respect de ces règles...
@Kabrice
Espérons... 🤞
@r e m y
Je n’ai pas dit que c’était accidentel, c’est trop gros pour l’être (quoique), mais si la grogne est trop grosse, ils reviendront en arrière. Ils l’ont déjà fait pour d’autres choix logiciels discutables. Peut-être pas pour la sortie de Big Sur, mais dans une prochaine mise à jour correctrice, ils trouveront « miraculeusement » une solution.
@Tetaroide Bleu
C'est tout à fait possible (voire probable...)
Il n'y a que le bad buzz qui fasse bouger Apple. C'est quand même triste!
@r e m y
Peux-tu prouver ce que tu affirmes quant aux intentions d'Apple ?
@marc_os
C'est un simple constat! Apple ne respecte pas ses propres règles qui sont désormais imposées à tous les développeurs (qui ont été informés de cette évolution depuis plusieurs années déjà mais doivent désormais obligatoirement s'y conformer)
Apple passe outre ce qui s'impose désormais à tous, sauf à eux.
@Tetaroide Bleu,
« Je pense que le peu de réactions c’est parce que peu de gens utilisent un VPN et parmi eux, peu réalisent les soucis que ça peut poser. Quant à moi je n’arrive pas à imaginer qu’Apple ne fasse pas marche arrière sur ce coup. J’espère ne pas me tromper. »
L'avenir nous le dira mais pour ma part, j'ai peu d'espoir que Apple fasse machine arrière !
Je ne la vois pas prendre des décisions si radicales sans avoir mesurer tous les bénéfices pour elle / problèmes pour ses clients.
Apple veut avoir la maîtrise totale du matériel qu'elle « vend » ou nous « confie » devrais-je écrire !
🙄
Encore une raison de ne pas passer à Big Sur et d'attendre le successeur pour que la pomme corrige le tir et fasse passer ca pour un improvement ^^
Apple ne corrigera rien car elle considère que macOS est son pré carré et qu'elle a tous les droits sur SES extensions.
Donc si Apple impose que LittleSnitch soit installé dans /Library (pour tous les utilisateurs) ou dans /user/Library il est logique qu'elle ne pourra pas monitorer les flux réseaux des extensions de macOS.
@ GameAndWatch
Moi je dirais "Encore une raison" d'attendre la version définitive avant d'affirmer quoique ce soit.
Pour les vpn, est ce qu’ils sont contournés même si un vpn est renseigné dans les réglages réseaux de macOS (si tant est qu’il y existe 🙃) ?
@dodomu
Oui, c’est bien ça le problème..
Ce qui me fait halluciner ici, c’est le passe-droit que s’octroie Apple pour ses propres applications sur macOS. Ils n’ont donc rien compris/appris des multiples remontées et enquêtes pour le même comportement sur iOS ?!?
Apple ? Apprendre ? On arrive déjà pas à leur remonter un problème, alors n'espérez pas qu'il soit traité un jour...
Franchement, c'est une honte pour une société qui se dit soucieuse de la confidentialité et du respect de la vie privée. C'est une vaste blague...
@ric_anto
Elle est sur son terrain qu’elle utilise à elle seule.
@Krysten2001
> Elle est sur son terrain qu’elle utilise à elle seule.
Sauf que là l'excuse comme quoi l'utilisateur savait *déjà* à l'avance que Apple s'autoriserait de ne pas respecter l'usage d'un VPN pour ses propres applications dans macOS, elle ne marche pas.
@byte_order
Sauf que là c’est une bêta et aussi que c’est son système qu’elle a créée et qu’elle utilise elle-même donc en soit si elle veut le détruire par exemple elle peut.
@Krysten2001
> Sauf que là c’est une bêta
Ouais, enfin, c'était déjà dans Catalina, et c'est plus une Beta (du moins, pas officiellement, parce que dans la pratique...)
> et aussi que c’est son système qu’elle a créée et qu’elle utilise elle-même
> donc en soit si elle veut le détruire par exemple elle peut.
Dans sa version de macOS, oui.
Mais dans la copie de macOS sur le mac de l'utilisateur, non.
Pas sans son accord préalable, non. Et si elle cache volontairement un changement à l'utilisateur qui l'aurait fait refuser de donner son accord, elle est juridiquement pas en bonne position non plus. Juridiquement, elle est tenue, par exemple, de fournir le moyen de revenir en arrière suite à une maj...
Cette propension que vous avez de croire que Apple est chez elle partout dans des trucs qu'elle vend et qu'elle aurait tous les droits et ce de manière incontestables ne cessera jamais de me sidérer. Vous êtes le stéréotype même du client parfait pour Apple : elle peut faire tout ce que vous voulez et vous continuez de lui filer votre argent sans jamais contester le moindre agissement d'Apple, même *après* la transaction.
Pages