macOS Big Sur : Apple ne respecte pas les extensions réseau et les VPN pour ses apps

Nicolas Furno |

Le nouveau mécanisme d’extensions exécutées dans l’espace utilisateur imposé par Apple ne permet plus de garantir que la configuration réseau des Mac et appareils iOS, et notamment la configuration d’un serveur VPN, est toujours utilisée par les apps système. C’est ce qui apparaît au fur et à mesure que les extensions de noyau traditionnelles (kexts en anglais) sont remplacées par leurs remplaçantes dans le cadre de DriverKit.

C’est un changement lancé par Apple il y a plusieurs années. macOS High Sierra a commencé par bloquer par défaut les extensions du noyau, puis macOS Catalina a ajouté DriverKit, un nouveau mécanisme pour offrir des extensions dans la session de l’utilisateur. Depuis macOS 10.15.4, un message d’alerte signale que les anciennes extensions sont désormais obsolètes et seront bloquées dans une future mise à jour du système.

Le message d’erreur affiché par le système depuis macOS 10.15.4, ici pour une ancienne version de Little Snitch, avant son passage à DriverKit.

Les développeurs n’ont pas le choix, ils doivent basculer sur le nouveau système qui est censé éviter tout problème d’instabilité et réduire les risques en matière de sécurité. En installant et exécutant des extensions dans la session de l’utilisateur, Apple opte pour une approche qui fonctionne à un niveau moins bas dans la hiérarchie du système. C’est positif pour les raisons que l’on vient d’évoquer, mais cela veut aussi dire qu’il est désormais techniquement possible de contourner une extension.

C’est ce que fait Apple avec ses propres apps pour les configurations liées au réseau. Comme l’a noté initialement le développeur @mxswd sur Twitter, puis confirmé par le chercheur en sécurité Patrick Wardle et par le développeur de l’app TripMode, 56 apps et services d’Apple ne respecteront pas les extensions de réseau installées par l’utilisateur à partir de macOS Big Sur. Si vous configurez un VPN, ces apps ne l’utiliseront pas pour leurs communications. Et si vous avez une app comme Little Snitch qui surveille le réseau et fait office de pare-feu, ces apps ne seront pas identifiées et filtrées.

Sur cet exemple fourni par Patrick Wardle, Little Snitch est configuré pour bloquer toutes les connexions externes. Pourtant, le Mac App Store a toujours accès à internet.

Cette liste de 56 apps et services n’est pas nouvelle, elle était déjà définie dans macOS Catalina. Mais jusque-là, Apple n’utilisait pas cette exception accordée à ses propres apps et c’est la nouveauté de macOS Big Sur. Dans le lot, on retrouve le Mac App Store, le système de mises à jour de macOS, FaceTime, le service de notifications, l’app Musique ou encore Plans. Toutes ces apps pourront accéder à internet même si elles sont bloquées par un pare-feu, une app ne pourra pas visualiser leur trafic et la configuration VPN ne sera pas utilisée.

C’est un problème sur le plan de la sécurité, mais aussi pour une app comme TripMode qui surveille l’utilisation d’internet de chaque app pour éviter de vider son forfait trop rapidement quand on utilise un smartphone en mode modem. Avec macOS Big Sur, l’app ne pourra plus surveiller ni bloquer les 56 apps et services d’Apple, ce qui veut dire notamment que les mises à jour du système pourront être téléchargées à votre insu. Il est toujours possible de désactiver le téléchargement à l’arrière-plan dans les Préférences système, mais TripMode permettait de conserver ce comportement par défaut tout en le bloquant en mode modem.

Si vous comptez sur ces fonctions, vous pouvez l’indiquer à Apple en utilisant l’app Feedback Assistant sur votre Mac, un appareil iOS ou via le site web. Le développeur de Trip Mode encourage à citer le radar FB8808172 pour indiquer à Apple que c’est un problème qui touche beaucoup de monde.

avatar Maxime A. | 

Ça risque de poser problème également pour quiconque voyage dans un pays avec disons une notion particulière de la démocratie (à tout hasard : la Chine) et qui voudrait accéder à du contenu « non local » et pouvoir échanger via iMessage sans être trop vu par le régime en place.

Je trouve ça très limite d’Apple, puisque ça veut dire que potentiellement des données iCloud pourrait passer par les serveurs chinois alors que l’utilisateur a bien son VPN activé..

Bon après, ce n’est qu’une bêta et on espère un changement de comportement de ces applications avant la version finale.

avatar David_P | 

@Maxime A.

Bien d’accord. Un FaceTime ou iMessage bloque dans certains pays .. ils ont l’habitude.. mais en tant que touristes.. comment ne pas recevoir les messages..
pas cool..
Ça va faire le bonheur des WhatsApp, Skype et compagnie.. dommage

avatar R-APPLE-R | 

@Maxime A.

Oui très bien dis... je ne suis pas près de passer a la nouvelle version, et tant que se problème ne sera pas résolu !

avatar Leborde | 

Ou plus simplement, aux EAU où on te bloque FaceTime pour t'obliger à payer du roaming chez les opérateurs locaux.

avatar Scooby-Doo | 

@Maxime A.

Cela risque de poser des problèmes aussi à d'autres utilisateurs qui n'ont pas forcément recours à un VPN mais uniquement à une application contrôlant la consommation data si l'on est à l'étranger par exemple.

Je cite l'article :

« Dans le lot, on retrouve le Mac App Store, le système de mises à jour de macOS, FaceTime, le service de notifications, l’app Musique ou encore Plans. Toutes ces apps pourront accéder à internet même si elles sont bloquées par un pare-feu, une app ne pourra pas visualiser leur trafic et la configuration VPN ne sera pas utilisée. »

En plus du problème du VPN !

Comment faire confiance dans ce cas ?

Il y aura-t-il une application Apple gérant les problèmes de quota en sachant que des applications / services Apple vont les ignorer...

Imaginons qu'une nouvelle version remplaçant Mac OS Big Sur se télécharge alors que vous êtes à l'étranger ou tout simplement une grosse mise-à-jour.

Je sens que certains vont avoir dans l'avenir des factures de mobiles plus que lourdes !

😁

avatar Yohmi | 

Ils en arrivent au point de contourner leurs propres règles… à croire que le « spaceship » est définitivement trop grand pour se concerter avant d’édicter des règles.

D’ailleurs, toujours pas possible de créer un clone sur lequel démarrer, une fonction phare de Carbon Copy Cloner (je crois d’ailleurs qu’il y a eu un article à ce sujet), parce que Big Sur est « mal » installé. Et même le développeur, en contact avec Apple, ignore si ça sera réglé pour la sortie.

avatar Scooby-Doo | 

@Yohmi,

« D’ailleurs, toujours pas possible de créer un clone sur lequel démarrer, une fonction phare de Carbon Copy Cloner (je crois d’ailleurs qu’il y a eu un article à ce sujet), parce que Big Sur est « mal » installé. Et même le développeur, en contact avec Apple, ignore si ça sera réglé pour la sortie. »

Le malheureux ! Il risque d'attendre un peu avant de comprendre que ce n'est pas un bug ou un problème technique mais juste une (nouvelle) fonction « remarquable et exceptionnellement enthousiasmante » !

😁 ou 😥 au choix !

avatar AbsolutMoi | 

Vie privée, vie privée... oui mais selon Apple...

avatar Scooby-Doo | 

@AbsolutMoi,

« Vie privée, vie privée... oui mais selon Apple... »

C'est un peu cela ! Faites ce que je dis mais personnellement je ne le ferai pas !

Apple impose des règles aux autres, et s'en moque « un peu » !

Malheureusement, je crains que cela passe trop inaperçu pour l'utilisateur standard et que la grogne soit limitée aux power users !

Du coup, un arrière bruit de grogne sans trop de conséquences pour Apple.

Un risque qu'elle a dû bien sûr calculer.

Si Apple a pris cette décision, c'est que le rapport « bénéfice / mauvaise presse » penche nettement en sa faveur.

Logiquement triste !

😥

avatar oomu | 

QUEUAH ?!

avatar Scooby-Doo | 

@oomu

QUEUAH QUOI ?

😁

On grogne ?

Je croyais que vous êtiez en train de pythoner à fond les manettes !

😎

avatar biak | 

« pour offrir des extensions dans la session de l’utilisateur »
Plutôt dans l’espace (mémoire) utilisateur.
La session, c’est le temps passé entre le « log in » et le log out ».

avatar redchou | 

@biak

Plutôt dans l’espace (mémoire) utilisateur.
La session, c’est le temps passé entre le « log in » et le log out ».
- Non, sur macOS chaque programme lancé l’est en association avec une session, root ou utilisateur... Les extensions ne sont disponible que dans la session d’un utilisateur.

avatar elpeygey | 

Bonjour,
je suis étonné du peu de réactions ?
Pour ce qui me concerne ce comportement des applis Apple est tout simplement inacceptable.
Sans VPN et Little Snitch opérant sur tous les process c’est no go pour BigSur.
Penser qu’ils vont faire marche arrière maintenant me semble de l’ordre du doux rêve. On est en quasi GM non ? On ne parle pas d’un petit bug là corriger mais du comportement de l’OS.
J’ai l’impression que c’est de pire en pire 😔

avatar r e m y | 

@elpeygey

Comment peut-on encore faire confiance à Apple quand ils s'arrogent de tels passe-droits sur les règles qu'ils ont eux-mêmes édictées... 😡
D'autant que là on est quand même sur des domaines sensibles en terme de confidentialité, et de contrôle de ce qui entre et sort de son Mac!

avatar TheUMan | 

Les gens ont abandonné. Ils ont perdu leur droit à la vie privée. Que se soit les micros, cameras, traçages de toutes sortes. C'est trop tard, c'est foutu, c'est open bar.

Apple sont les rois de "faites ce que je dis" mais là, c'est le pompom, ils ne s'appliquent même pas les règles qu'ils édictent à eux même !

avatar R-APPLE-R | 

@elpeygey

Pour moi aussi c’est inadmissible faut faire une pétition !
En tout cas je ne suis pas près de passer à la nouvelle version 🤬🤬🤬

avatar pat3 | 

@R-APPLE-R

"Pour moi aussi c’est inadmissible faut faire une pétition ! "

Pour ce que ça vaut…

avatar pat3 | 

@elpeygey

"Sans VPN et Little Snitch opérant sur tous les process c’est no go pour BigSur."

Pareil pour moi. J’attendrais sagement que Little Snitch soit à nouveau pleinement opérationnel sur BigSur pour switcher. J’ai au moins deux ans devant moi avant de changer de Mac, ça devrait évoluer d’ici là…

avatar r e m y | 

Apple en avait peut-être assez que des utilitaires comme LittleSnitch puisse bloquer les communications des applications AppStore, Musiques et Plans avec sa régie publicitaire ...

avatar Scooby-Doo | 

@r e m y,

« Apple en avait peut-être assez que des utilitaires comme LittleSnitch puisse bloquer les communications des applications AppStore, Musiques et Plans avec sa régie publicitaire ... »

Un excellent début d'explication !

Effectivement, Apple a envie de reprendre le contrôle (total) de nos ordinateurs, un peu comme nos téléphones a priori !

😉

avatar biak | 

Sur le principe, je suis d’accord. C’est sur ce que la phrase laisse entendre par « session ».
Un processus tourne dans l’espace propre à chaque utilisateur. Mais je vois une tendance à confondre « compte utilisateur » et « session ». Un utilisateur qui se connecte à son compte ouvre une session, qui cessera lorsqu’il se déconnectera.

avatar geooooooooffrey | 

Je m’en vais te révoquer leur certificat développeur à Apple ça va pas traîner !

avatar elpeygey | 

@geooooooooffrey

+1 🤣

avatar oomu | 

:)

Pages

CONNEXION UTILISATEUR