macOS Big Sur : Apple ne respecte pas les extensions réseau et les VPN pour ses apps

Nicolas Furno |

Le nouveau mécanisme d’extensions exécutées dans l’espace utilisateur imposé par Apple ne permet plus de garantir que la configuration réseau des Mac et appareils iOS, et notamment la configuration d’un serveur VPN, est toujours utilisée par les apps système. C’est ce qui apparaît au fur et à mesure que les extensions de noyau traditionnelles (kexts en anglais) sont remplacées par leurs remplaçantes dans le cadre de DriverKit.

C’est un changement lancé par Apple il y a plusieurs années. macOS High Sierra a commencé par bloquer par défaut les extensions du noyau, puis macOS Catalina a ajouté DriverKit, un nouveau mécanisme pour offrir des extensions dans la session de l’utilisateur. Depuis macOS 10.15.4, un message d’alerte signale que les anciennes extensions sont désormais obsolètes et seront bloquées dans une future mise à jour du système.

Le message d’erreur affiché par le système depuis macOS 10.15.4, ici pour une ancienne version de Little Snitch, avant son passage à DriverKit.

Les développeurs n’ont pas le choix, ils doivent basculer sur le nouveau système qui est censé éviter tout problème d’instabilité et réduire les risques en matière de sécurité. En installant et exécutant des extensions dans la session de l’utilisateur, Apple opte pour une approche qui fonctionne à un niveau moins bas dans la hiérarchie du système. C’est positif pour les raisons que l’on vient d’évoquer, mais cela veut aussi dire qu’il est désormais techniquement possible de contourner une extension.

C’est ce que fait Apple avec ses propres apps pour les configurations liées au réseau. Comme l’a noté initialement le développeur @mxswd sur Twitter, puis confirmé par le chercheur en sécurité Patrick Wardle et par le développeur de l’app TripMode, 56 apps et services d’Apple ne respecteront pas les extensions de réseau installées par l’utilisateur à partir de macOS Big Sur. Si vous configurez un VPN, ces apps ne l’utiliseront pas pour leurs communications. Et si vous avez une app comme Little Snitch qui surveille le réseau et fait office de pare-feu, ces apps ne seront pas identifiées et filtrées.

Sur cet exemple fourni par Patrick Wardle, Little Snitch est configuré pour bloquer toutes les connexions externes. Pourtant, le Mac App Store a toujours accès à internet.

Cette liste de 56 apps et services n’est pas nouvelle, elle était déjà définie dans macOS Catalina. Mais jusque-là, Apple n’utilisait pas cette exception accordée à ses propres apps et c’est la nouveauté de macOS Big Sur. Dans le lot, on retrouve le Mac App Store, le système de mises à jour de macOS, FaceTime, le service de notifications, l’app Musique ou encore Plans. Toutes ces apps pourront accéder à internet même si elles sont bloquées par un pare-feu, une app ne pourra pas visualiser leur trafic et la configuration VPN ne sera pas utilisée.

C’est un problème sur le plan de la sécurité, mais aussi pour une app comme TripMode qui surveille l’utilisation d’internet de chaque app pour éviter de vider son forfait trop rapidement quand on utilise un smartphone en mode modem. Avec macOS Big Sur, l’app ne pourra plus surveiller ni bloquer les 56 apps et services d’Apple, ce qui veut dire notamment que les mises à jour du système pourront être téléchargées à votre insu. Il est toujours possible de désactiver le téléchargement à l’arrière-plan dans les Préférences système, mais TripMode permettait de conserver ce comportement par défaut tout en le bloquant en mode modem.

Si vous comptez sur ces fonctions, vous pouvez l’indiquer à Apple en utilisant l’app Feedback Assistant sur votre Mac, un appareil iOS ou via le site web. Le développeur de Trip Mode encourage à citer le radar FB8808172 pour indiquer à Apple que c’est un problème qui touche beaucoup de monde.


avatar Maxime A. | 

Ça risque de poser problème également pour quiconque voyage dans un pays avec disons une notion particulière de la démocratie (à tout hasard : la Chine) et qui voudrait accéder à du contenu « non local » et pouvoir échanger via iMessage sans être trop vu par le régime en place.

Je trouve ça très limite d’Apple, puisque ça veut dire que potentiellement des données iCloud pourrait passer par les serveurs chinois alors que l’utilisateur a bien son VPN activé..

Bon après, ce n’est qu’une bêta et on espère un changement de comportement de ces applications avant la version finale.

avatar David_P | 

@Maxime A.

Bien d’accord. Un FaceTime ou iMessage bloque dans certains pays .. ils ont l’habitude.. mais en tant que touristes.. comment ne pas recevoir les messages..
pas cool..
Ça va faire le bonheur des WhatsApp, Skype et compagnie.. dommage

avatar R-APPLE-R | 

@Maxime A.

Oui très bien dis... je ne suis pas près de passer a la nouvelle version, et tant que se problème ne sera pas résolu !

avatar Leborde | 

Ou plus simplement, aux EAU où on te bloque FaceTime pour t'obliger à payer du roaming chez les opérateurs locaux.

avatar Scooby-Doo | 

@Maxime A.

Cela risque de poser des problèmes aussi à d'autres utilisateurs qui n'ont pas forcément recours à un VPN mais uniquement à une application contrôlant la consommation data si l'on est à l'étranger par exemple.

Je cite l'article :

« Dans le lot, on retrouve le Mac App Store, le système de mises à jour de macOS, FaceTime, le service de notifications, l’app Musique ou encore Plans. Toutes ces apps pourront accéder à internet même si elles sont bloquées par un pare-feu, une app ne pourra pas visualiser leur trafic et la configuration VPN ne sera pas utilisée. »

En plus du problème du VPN !

Comment faire confiance dans ce cas ?

Il y aura-t-il une application Apple gérant les problèmes de quota en sachant que des applications / services Apple vont les ignorer...

Imaginons qu'une nouvelle version remplaçant Mac OS Big Sur se télécharge alors que vous êtes à l'étranger ou tout simplement une grosse mise-à-jour.

Je sens que certains vont avoir dans l'avenir des factures de mobiles plus que lourdes !

😁

avatar Yohmi | 

Ils en arrivent au point de contourner leurs propres règles… à croire que le « spaceship » est définitivement trop grand pour se concerter avant d’édicter des règles.

D’ailleurs, toujours pas possible de créer un clone sur lequel démarrer, une fonction phare de Carbon Copy Cloner (je crois d’ailleurs qu’il y a eu un article à ce sujet), parce que Big Sur est « mal » installé. Et même le développeur, en contact avec Apple, ignore si ça sera réglé pour la sortie.

avatar Scooby-Doo | 

@Yohmi,

« D’ailleurs, toujours pas possible de créer un clone sur lequel démarrer, une fonction phare de Carbon Copy Cloner (je crois d’ailleurs qu’il y a eu un article à ce sujet), parce que Big Sur est « mal » installé. Et même le développeur, en contact avec Apple, ignore si ça sera réglé pour la sortie. »

Le malheureux ! Il risque d'attendre un peu avant de comprendre que ce n'est pas un bug ou un problème technique mais juste une (nouvelle) fonction « remarquable et exceptionnellement enthousiasmante » !

😁 ou 😥 au choix !

avatar AbsolutMoi | 

Vie privée, vie privée... oui mais selon Apple...

avatar Scooby-Doo | 

@AbsolutMoi,

« Vie privée, vie privée... oui mais selon Apple... »

C'est un peu cela ! Faites ce que je dis mais personnellement je ne le ferai pas !

Apple impose des règles aux autres, et s'en moque « un peu » !

Malheureusement, je crains que cela passe trop inaperçu pour l'utilisateur standard et que la grogne soit limitée aux power users !

Du coup, un arrière bruit de grogne sans trop de conséquences pour Apple.

Un risque qu'elle a dû bien sûr calculer.

Si Apple a pris cette décision, c'est que le rapport « bénéfice / mauvaise presse » penche nettement en sa faveur.

Logiquement triste !

😥

avatar oomu | 

QUEUAH ?!

avatar Scooby-Doo | 

@oomu

QUEUAH QUOI ?

😁

On grogne ?

Je croyais que vous êtiez en train de pythoner à fond les manettes !

😎

avatar biak | 

« pour offrir des extensions dans la session de l’utilisateur »
Plutôt dans l’espace (mémoire) utilisateur.
La session, c’est le temps passé entre le « log in » et le log out ».

avatar redchou | 

@biak

Plutôt dans l’espace (mémoire) utilisateur.
La session, c’est le temps passé entre le « log in » et le log out ».
- Non, sur macOS chaque programme lancé l’est en association avec une session, root ou utilisateur... Les extensions ne sont disponible que dans la session d’un utilisateur.

avatar elpeygey | 

Bonjour,
je suis étonné du peu de réactions ?
Pour ce qui me concerne ce comportement des applis Apple est tout simplement inacceptable.
Sans VPN et Little Snitch opérant sur tous les process c’est no go pour BigSur.
Penser qu’ils vont faire marche arrière maintenant me semble de l’ordre du doux rêve. On est en quasi GM non ? On ne parle pas d’un petit bug là corriger mais du comportement de l’OS.
J’ai l’impression que c’est de pire en pire 😔

avatar r e m y | 

@elpeygey

Comment peut-on encore faire confiance à Apple quand ils s'arrogent de tels passe-droits sur les règles qu'ils ont eux-mêmes édictées... 😡
D'autant que là on est quand même sur des domaines sensibles en terme de confidentialité, et de contrôle de ce qui entre et sort de son Mac!

avatar TheUMan | 

Les gens ont abandonné. Ils ont perdu leur droit à la vie privée. Que se soit les micros, cameras, traçages de toutes sortes. C'est trop tard, c'est foutu, c'est open bar.

Apple sont les rois de "faites ce que je dis" mais là, c'est le pompom, ils ne s'appliquent même pas les règles qu'ils édictent à eux même !

avatar R-APPLE-R | 

@elpeygey

Pour moi aussi c’est inadmissible faut faire une pétition !
En tout cas je ne suis pas près de passer à la nouvelle version 🤬🤬🤬

avatar pat3 | 

@R-APPLE-R

"Pour moi aussi c’est inadmissible faut faire une pétition ! "

Pour ce que ça vaut…

avatar pat3 | 

@elpeygey

"Sans VPN et Little Snitch opérant sur tous les process c’est no go pour BigSur."

Pareil pour moi. J’attendrais sagement que Little Snitch soit à nouveau pleinement opérationnel sur BigSur pour switcher. J’ai au moins deux ans devant moi avant de changer de Mac, ça devrait évoluer d’ici là…

avatar r e m y | 

Apple en avait peut-être assez que des utilitaires comme LittleSnitch puisse bloquer les communications des applications AppStore, Musiques et Plans avec sa régie publicitaire ...

avatar Scooby-Doo | 

@r e m y,

« Apple en avait peut-être assez que des utilitaires comme LittleSnitch puisse bloquer les communications des applications AppStore, Musiques et Plans avec sa régie publicitaire ... »

Un excellent début d'explication !

Effectivement, Apple a envie de reprendre le contrôle (total) de nos ordinateurs, un peu comme nos téléphones a priori !

😉

avatar biak | 

Sur le principe, je suis d’accord. C’est sur ce que la phrase laisse entendre par « session ».
Un processus tourne dans l’espace propre à chaque utilisateur. Mais je vois une tendance à confondre « compte utilisateur » et « session ». Un utilisateur qui se connecte à son compte ouvre une session, qui cessera lorsqu’il se déconnectera.

avatar geooooooooffrey | 

Je m’en vais te révoquer leur certificat développeur à Apple ça va pas traîner !

avatar elpeygey | 

@geooooooooffrey

+1 🤣

avatar oomu | 

:)

avatar Moonwalker | 

:-)

avatar Scooby-Doo | 

@geooooooooffrey,

« Je m’en vais te révoquer leur certificat développeur à Apple ça va pas traîner ! »

😁👍

Pas mieux !

J'ai bien rigolé à votre second degré ... et puis je me suis dit que c'était tellement vrai comme ironie !

😭

avatar Tetaroide Bleu | 

Je pense que le peu de réactions c’est parce que peu de gens utilisent un VPN et parmi eux, peu réalisent les soucis que ça peut poser. Quant à moi je n’arrive pas à imaginer qu’Apple ne fasse pas marche arrière sur ce coup. J’espère ne pas me tromper.

avatar r e m y | 

@Tetaroide Bleu

Ils n'ont pas fait cela accidentellement ! C'est un véritable choix de leur part. Je ne les vois pas faire machine arrière à quelques jours de la diffusion de la version finale de BigSur.

Et ça ne concerne pas que les VPN!
Les utilitaires bloquant les publicités, par exemple, ne seront plus d'aucune utilité avec les application Apple dont les communications ne pourront être bloquées.

avatar Kabrice | 

@r e m y

Je ne pense pas qu'il y ait un changement de comportement des applications Apple mais je peux me tromper. Est ce que sous Catalina ces services Apple s'exécutent au niveau utilisateur ou au même niveau que Big Sur?
De ce que je comprends Big Sur ne permet plus aux applications tierces de s'exécuter à un niveau bas dans le système.
Donc les applications ne peuvent plus accéder, analyser, intercepter ou surveiller à une partie de traffic réseau, ce qui en soit peut être une bonne chose.
Néanmoins cela génère des problèmes pour les applications de type Firewall, VPN, analyse réseau... qui sont restreintes dans leur champs d'action.
Le fait que des applications Apple ne s'exécutent pas encore au niveau utilisateur pose problème. Maintenant à voir si c'est une solution transitoire et si Apple va modifier ce comportement au fil des releases de Mac OS ou si c'est choix et qu'ils vont fournir un moyen à ce type d'applications de pouvoir fonctionner correctement. Je vois mal les entreprises ne pas avoir la possibilité de pouvoir déployer VPN, firewall ou autres outils en laissant une partie du système sans possibilité de contrôle.

avatar r e m y | 

@Kabrice

Tu as raison, mais c'est exactement ce que tu décris. Avec les règles imposées aux utilitaires tiers, qu'Apple ne respecte pas elle-même, on ne peut plus contrôler ce que font les applications et process Apple.

Depuis le temps qu'Apple a annoncé ces nouvelles règles, au point désormais de l'imposer sans aucun exception possible aux tiers, je ne peux pas imaginer qu'Apple est resté en dehors de ces contraintes par accident. C'est nécessairement volontaire

avatar Kabrice | 

@r e m y

Volontaire il n’y à aucun doute. Ils reconstruisent pas mal de fondations et il est peut-être raisonnable de ne pas attaquer tous les sujets en même temps. Maintenant j’espère qu’ils apporteront une solution à ce problème avant la sortie de l’OS parce que si VPN, firewall ou solution end point ne sont pas capable de fonctionner ca va piquer sévère.

avatar r e m y | 

@Kabrice

Ça fait des mois que c'est comme ça et la sortie va se faire dans quelques jours (2 semaines au plus), ils ne vont pas tout refaire en si peu de temps !
Et ils ne peuvent pas dire aux développeurs qu'ils les ont prévenu depuis plusieurs années de ces contraintes liées aux extensions de noyau et que maintenant c'est incontournable et dire que eux, Apple, ils n'ont pas eu le temps de prendre en compte le respect de ces règles...

avatar R-APPLE-R | 

@Kabrice

Espérons... 🤞

avatar Tetaroide Bleu | 

@r e m y

Je n’ai pas dit que c’était accidentel, c’est trop gros pour l’être (quoique), mais si la grogne est trop grosse, ils reviendront en arrière. Ils l’ont déjà fait pour d’autres choix logiciels discutables. Peut-être pas pour la sortie de Big Sur, mais dans une prochaine mise à jour correctrice, ils trouveront « miraculeusement » une solution.

avatar r e m y | 

@Tetaroide Bleu

C'est tout à fait possible (voire probable...)
Il n'y a que le bad buzz qui fasse bouger Apple. C'est quand même triste!

avatar marc_os | 

@r e m y
Peux-tu prouver ce que tu affirmes quant aux intentions d'Apple ?

avatar r e m y | 

@marc_os

C'est un simple constat! Apple ne respecte pas ses propres règles qui sont désormais imposées à tous les développeurs (qui ont été informés de cette évolution depuis plusieurs années déjà mais doivent désormais obligatoirement s'y conformer)

Apple passe outre ce qui s'impose désormais à tous, sauf à eux.

avatar Scooby-Doo | 

@Tetaroide Bleu,

« Je pense que le peu de réactions c’est parce que peu de gens utilisent un VPN et parmi eux, peu réalisent les soucis que ça peut poser. Quant à moi je n’arrive pas à imaginer qu’Apple ne fasse pas marche arrière sur ce coup. J’espère ne pas me tromper. »

L'avenir nous le dira mais pour ma part, j'ai peu d'espoir que Apple fasse machine arrière !

Je ne la vois pas prendre des décisions si radicales sans avoir mesurer tous les bénéfices pour elle / problèmes pour ses clients.

Apple veut avoir la maîtrise totale du matériel qu'elle « vend » ou nous « confie » devrais-je écrire !

🙄

avatar GameAndWatch | 

Encore une raison de ne pas passer à Big Sur et d'attendre le successeur pour que la pomme corrige le tir et fasse passer ca pour un improvement ^^

avatar switch | 

Apple ne corrigera rien car elle considère que macOS est son pré carré et qu'elle a tous les droits sur SES extensions.
Donc si Apple impose que LittleSnitch soit installé dans /Library (pour tous les utilisateurs) ou dans /user/Library il est logique qu'elle ne pourra pas monitorer les flux réseaux des extensions de macOS.

avatar marc_os | 

@ GameAndWatch
Moi je dirais "Encore une raison" d'attendre la version définitive avant d'affirmer quoique ce soit.

avatar dodomu | 

Pour les vpn, est ce qu’ils sont contournés même si un vpn est renseigné dans les réglages réseaux de macOS (si tant est qu’il y existe 🙃) ?

avatar redchou | 

@dodomu

Oui, c’est bien ça le problème..

avatar ric_anto | 

Ce qui me fait halluciner ici, c’est le passe-droit que s’octroie Apple pour ses propres applications sur macOS. Ils n’ont donc rien compris/appris des multiples remontées et enquêtes pour le même comportement sur iOS ?!?

avatar TheUMan | 

Apple ? Apprendre ? On arrive déjà pas à leur remonter un problème, alors n'espérez pas qu'il soit traité un jour...

Franchement, c'est une honte pour une société qui se dit soucieuse de la confidentialité et du respect de la vie privée. C'est une vaste blague...

avatar Krysten2001 | 

@ric_anto

Elle est sur son terrain qu’elle utilise à elle seule.

avatar byte_order | 

@Krysten2001
> Elle est sur son terrain qu’elle utilise à elle seule.

Sauf que là l'excuse comme quoi l'utilisateur savait *déjà* à l'avance que Apple s'autoriserait de ne pas respecter l'usage d'un VPN pour ses propres applications dans macOS, elle ne marche pas.

avatar Krysten2001 | 

@byte_order

Sauf que là c’est une bêta et aussi que c’est son système qu’elle a créée et qu’elle utilise elle-même donc en soit si elle veut le détruire par exemple elle peut.

avatar byte_order | 

@Krysten2001
> Sauf que là c’est une bêta

Ouais, enfin, c'était déjà dans Catalina, et c'est plus une Beta (du moins, pas officiellement, parce que dans la pratique...)

> et aussi que c’est son système qu’elle a créée et qu’elle utilise elle-même
> donc en soit si elle veut le détruire par exemple elle peut.

Dans sa version de macOS, oui.
Mais dans la copie de macOS sur le mac de l'utilisateur, non.
Pas sans son accord préalable, non. Et si elle cache volontairement un changement à l'utilisateur qui l'aurait fait refuser de donner son accord, elle est juridiquement pas en bonne position non plus. Juridiquement, elle est tenue, par exemple, de fournir le moyen de revenir en arrière suite à une maj...

Cette propension que vous avez de croire que Apple est chez elle partout dans des trucs qu'elle vend et qu'elle aurait tous les droits et ce de manière incontestables ne cessera jamais de me sidérer. Vous êtes le stéréotype même du client parfait pour Apple : elle peut faire tout ce que vous voulez et vous continuez de lui filer votre argent sans jamais contester le moindre agissement d'Apple, même *après* la transaction.

Pages

CONNEXION UTILISATEUR