macOS Big Sur : Apple ne respecte pas les extensions réseau et les VPN pour ses apps

Nicolas Furno |

Le nouveau mécanisme d’extensions exécutées dans l’espace utilisateur imposé par Apple ne permet plus de garantir que la configuration réseau des Mac et appareils iOS, et notamment la configuration d’un serveur VPN, est toujours utilisée par les apps système. C’est ce qui apparaît au fur et à mesure que les extensions de noyau traditionnelles (kexts en anglais) sont remplacées par leurs remplaçantes dans le cadre de DriverKit.

C’est un changement lancé par Apple il y a plusieurs années. macOS High Sierra a commencé par bloquer par défaut les extensions du noyau, puis macOS Catalina a ajouté DriverKit, un nouveau mécanisme pour offrir des extensions dans la session de l’utilisateur. Depuis macOS 10.15.4, un message d’alerte signale que les anciennes extensions sont désormais obsolètes et seront bloquées dans une future mise à jour du système.

Le message d’erreur affiché par le système depuis macOS 10.15.4, ici pour une ancienne version de Little Snitch, avant son passage à DriverKit.

Les développeurs n’ont pas le choix, ils doivent basculer sur le nouveau système qui est censé éviter tout problème d’instabilité et réduire les risques en matière de sécurité. En installant et exécutant des extensions dans la session de l’utilisateur, Apple opte pour une approche qui fonctionne à un niveau moins bas dans la hiérarchie du système. C’est positif pour les raisons que l’on vient d’évoquer, mais cela veut aussi dire qu’il est désormais techniquement possible de contourner une extension.

C’est ce que fait Apple avec ses propres apps pour les configurations liées au réseau. Comme l’a noté initialement le développeur @mxswd sur Twitter, puis confirmé par le chercheur en sécurité Patrick Wardle et par le développeur de l’app TripMode, 56 apps et services d’Apple ne respecteront pas les extensions de réseau installées par l’utilisateur à partir de macOS Big Sur. Si vous configurez un VPN, ces apps ne l’utiliseront pas pour leurs communications. Et si vous avez une app comme Little Snitch qui surveille le réseau et fait office de pare-feu, ces apps ne seront pas identifiées et filtrées.

Sur cet exemple fourni par Patrick Wardle, Little Snitch est configuré pour bloquer toutes les connexions externes. Pourtant, le Mac App Store a toujours accès à internet.

Cette liste de 56 apps et services n’est pas nouvelle, elle était déjà définie dans macOS Catalina. Mais jusque-là, Apple n’utilisait pas cette exception accordée à ses propres apps et c’est la nouveauté de macOS Big Sur. Dans le lot, on retrouve le Mac App Store, le système de mises à jour de macOS, FaceTime, le service de notifications, l’app Musique ou encore Plans. Toutes ces apps pourront accéder à internet même si elles sont bloquées par un pare-feu, une app ne pourra pas visualiser leur trafic et la configuration VPN ne sera pas utilisée.

C’est un problème sur le plan de la sécurité, mais aussi pour une app comme TripMode qui surveille l’utilisation d’internet de chaque app pour éviter de vider son forfait trop rapidement quand on utilise un smartphone en mode modem. Avec macOS Big Sur, l’app ne pourra plus surveiller ni bloquer les 56 apps et services d’Apple, ce qui veut dire notamment que les mises à jour du système pourront être téléchargées à votre insu. Il est toujours possible de désactiver le téléchargement à l’arrière-plan dans les Préférences système, mais TripMode permettait de conserver ce comportement par défaut tout en le bloquant en mode modem.

Si vous comptez sur ces fonctions, vous pouvez l’indiquer à Apple en utilisant l’app Feedback Assistant sur votre Mac, un appareil iOS ou via le site web. Le développeur de Trip Mode encourage à citer le radar FB8808172 pour indiquer à Apple que c’est un problème qui touche beaucoup de monde.

avatar Moonwalker | 

:-)

avatar Scooby-Doo | 

@geooooooooffrey,

« Je m’en vais te révoquer leur certificat développeur à Apple ça va pas traîner ! »

😁👍

Pas mieux !

J'ai bien rigolé à votre second degré ... et puis je me suis dit que c'était tellement vrai comme ironie !

😭

avatar Tetaroide Bleu | 

Je pense que le peu de réactions c’est parce que peu de gens utilisent un VPN et parmi eux, peu réalisent les soucis que ça peut poser. Quant à moi je n’arrive pas à imaginer qu’Apple ne fasse pas marche arrière sur ce coup. J’espère ne pas me tromper.

avatar r e m y | 

@Tetaroide Bleu

Ils n'ont pas fait cela accidentellement ! C'est un véritable choix de leur part. Je ne les vois pas faire machine arrière à quelques jours de la diffusion de la version finale de BigSur.

Et ça ne concerne pas que les VPN!
Les utilitaires bloquant les publicités, par exemple, ne seront plus d'aucune utilité avec les application Apple dont les communications ne pourront être bloquées.

avatar Kabrice | 

@r e m y

Je ne pense pas qu'il y ait un changement de comportement des applications Apple mais je peux me tromper. Est ce que sous Catalina ces services Apple s'exécutent au niveau utilisateur ou au même niveau que Big Sur?
De ce que je comprends Big Sur ne permet plus aux applications tierces de s'exécuter à un niveau bas dans le système.
Donc les applications ne peuvent plus accéder, analyser, intercepter ou surveiller à une partie de traffic réseau, ce qui en soit peut être une bonne chose.
Néanmoins cela génère des problèmes pour les applications de type Firewall, VPN, analyse réseau... qui sont restreintes dans leur champs d'action.
Le fait que des applications Apple ne s'exécutent pas encore au niveau utilisateur pose problème. Maintenant à voir si c'est une solution transitoire et si Apple va modifier ce comportement au fil des releases de Mac OS ou si c'est choix et qu'ils vont fournir un moyen à ce type d'applications de pouvoir fonctionner correctement. Je vois mal les entreprises ne pas avoir la possibilité de pouvoir déployer VPN, firewall ou autres outils en laissant une partie du système sans possibilité de contrôle.

avatar r e m y | 

@Kabrice

Tu as raison, mais c'est exactement ce que tu décris. Avec les règles imposées aux utilitaires tiers, qu'Apple ne respecte pas elle-même, on ne peut plus contrôler ce que font les applications et process Apple.

Depuis le temps qu'Apple a annoncé ces nouvelles règles, au point désormais de l'imposer sans aucun exception possible aux tiers, je ne peux pas imaginer qu'Apple est resté en dehors de ces contraintes par accident. C'est nécessairement volontaire

avatar Kabrice | 

@r e m y

Volontaire il n’y à aucun doute. Ils reconstruisent pas mal de fondations et il est peut-être raisonnable de ne pas attaquer tous les sujets en même temps. Maintenant j’espère qu’ils apporteront une solution à ce problème avant la sortie de l’OS parce que si VPN, firewall ou solution end point ne sont pas capable de fonctionner ca va piquer sévère.

avatar r e m y | 

@Kabrice

Ça fait des mois que c'est comme ça et la sortie va se faire dans quelques jours (2 semaines au plus), ils ne vont pas tout refaire en si peu de temps !
Et ils ne peuvent pas dire aux développeurs qu'ils les ont prévenu depuis plusieurs années de ces contraintes liées aux extensions de noyau et que maintenant c'est incontournable et dire que eux, Apple, ils n'ont pas eu le temps de prendre en compte le respect de ces règles...

avatar R-APPLE-R | 

@Kabrice

Espérons... 🤞

avatar Tetaroide Bleu | 

@r e m y

Je n’ai pas dit que c’était accidentel, c’est trop gros pour l’être (quoique), mais si la grogne est trop grosse, ils reviendront en arrière. Ils l’ont déjà fait pour d’autres choix logiciels discutables. Peut-être pas pour la sortie de Big Sur, mais dans une prochaine mise à jour correctrice, ils trouveront « miraculeusement » une solution.

avatar r e m y | 

@Tetaroide Bleu

C'est tout à fait possible (voire probable...)
Il n'y a que le bad buzz qui fasse bouger Apple. C'est quand même triste!

avatar marc_os | 

@r e m y
Peux-tu prouver ce que tu affirmes quant aux intentions d'Apple ?

avatar r e m y | 

@marc_os

C'est un simple constat! Apple ne respecte pas ses propres règles qui sont désormais imposées à tous les développeurs (qui ont été informés de cette évolution depuis plusieurs années déjà mais doivent désormais obligatoirement s'y conformer)

Apple passe outre ce qui s'impose désormais à tous, sauf à eux.

avatar Scooby-Doo | 

@Tetaroide Bleu,

« Je pense que le peu de réactions c’est parce que peu de gens utilisent un VPN et parmi eux, peu réalisent les soucis que ça peut poser. Quant à moi je n’arrive pas à imaginer qu’Apple ne fasse pas marche arrière sur ce coup. J’espère ne pas me tromper. »

L'avenir nous le dira mais pour ma part, j'ai peu d'espoir que Apple fasse machine arrière !

Je ne la vois pas prendre des décisions si radicales sans avoir mesurer tous les bénéfices pour elle / problèmes pour ses clients.

Apple veut avoir la maîtrise totale du matériel qu'elle « vend » ou nous « confie » devrais-je écrire !

🙄

avatar GameAndWatch | 

Encore une raison de ne pas passer à Big Sur et d'attendre le successeur pour que la pomme corrige le tir et fasse passer ca pour un improvement ^^

avatar switch | 

Apple ne corrigera rien car elle considère que macOS est son pré carré et qu'elle a tous les droits sur SES extensions.
Donc si Apple impose que LittleSnitch soit installé dans /Library (pour tous les utilisateurs) ou dans /user/Library il est logique qu'elle ne pourra pas monitorer les flux réseaux des extensions de macOS.

avatar marc_os | 

@ GameAndWatch
Moi je dirais "Encore une raison" d'attendre la version définitive avant d'affirmer quoique ce soit.

avatar dodomu | 

Pour les vpn, est ce qu’ils sont contournés même si un vpn est renseigné dans les réglages réseaux de macOS (si tant est qu’il y existe 🙃) ?

avatar redchou | 

@dodomu

Oui, c’est bien ça le problème..

avatar ric_anto | 

Ce qui me fait halluciner ici, c’est le passe-droit que s’octroie Apple pour ses propres applications sur macOS. Ils n’ont donc rien compris/appris des multiples remontées et enquêtes pour le même comportement sur iOS ?!?

avatar TheUMan | 

Apple ? Apprendre ? On arrive déjà pas à leur remonter un problème, alors n'espérez pas qu'il soit traité un jour...

Franchement, c'est une honte pour une société qui se dit soucieuse de la confidentialité et du respect de la vie privée. C'est une vaste blague...

avatar Krysten2001 | 

@ric_anto

Elle est sur son terrain qu’elle utilise à elle seule.

avatar byte_order | 

@Krysten2001
> Elle est sur son terrain qu’elle utilise à elle seule.

Sauf que là l'excuse comme quoi l'utilisateur savait *déjà* à l'avance que Apple s'autoriserait de ne pas respecter l'usage d'un VPN pour ses propres applications dans macOS, elle ne marche pas.

avatar Krysten2001 | 

@byte_order

Sauf que là c’est une bêta et aussi que c’est son système qu’elle a créée et qu’elle utilise elle-même donc en soit si elle veut le détruire par exemple elle peut.

avatar byte_order | 

@Krysten2001
> Sauf que là c’est une bêta

Ouais, enfin, c'était déjà dans Catalina, et c'est plus une Beta (du moins, pas officiellement, parce que dans la pratique...)

> et aussi que c’est son système qu’elle a créée et qu’elle utilise elle-même
> donc en soit si elle veut le détruire par exemple elle peut.

Dans sa version de macOS, oui.
Mais dans la copie de macOS sur le mac de l'utilisateur, non.
Pas sans son accord préalable, non. Et si elle cache volontairement un changement à l'utilisateur qui l'aurait fait refuser de donner son accord, elle est juridiquement pas en bonne position non plus. Juridiquement, elle est tenue, par exemple, de fournir le moyen de revenir en arrière suite à une maj...

Cette propension que vous avez de croire que Apple est chez elle partout dans des trucs qu'elle vend et qu'elle aurait tous les droits et ce de manière incontestables ne cessera jamais de me sidérer. Vous êtes le stéréotype même du client parfait pour Apple : elle peut faire tout ce que vous voulez et vous continuez de lui filer votre argent sans jamais contester le moindre agissement d'Apple, même *après* la transaction.

Pages

CONNEXION UTILISATEUR