macOS Big Sur : Apple ne respecte pas les extensions réseau et les VPN pour ses apps

Nicolas Furno |

Le nouveau mécanisme d’extensions exécutées dans l’espace utilisateur imposé par Apple ne permet plus de garantir que la configuration réseau des Mac et appareils iOS, et notamment la configuration d’un serveur VPN, est toujours utilisée par les apps système. C’est ce qui apparaît au fur et à mesure que les extensions de noyau traditionnelles (kexts en anglais) sont remplacées par leurs remplaçantes dans le cadre de DriverKit.

C’est un changement lancé par Apple il y a plusieurs années. macOS High Sierra a commencé par bloquer par défaut les extensions du noyau, puis macOS Catalina a ajouté DriverKit, un nouveau mécanisme pour offrir des extensions dans la session de l’utilisateur. Depuis macOS 10.15.4, un message d’alerte signale que les anciennes extensions sont désormais obsolètes et seront bloquées dans une future mise à jour du système.

Le message d’erreur affiché par le système depuis macOS 10.15.4, ici pour une ancienne version de Little Snitch, avant son passage à DriverKit.

Les développeurs n’ont pas le choix, ils doivent basculer sur le nouveau système qui est censé éviter tout problème d’instabilité et réduire les risques en matière de sécurité. En installant et exécutant des extensions dans la session de l’utilisateur, Apple opte pour une approche qui fonctionne à un niveau moins bas dans la hiérarchie du système. C’est positif pour les raisons que l’on vient d’évoquer, mais cela veut aussi dire qu’il est désormais techniquement possible de contourner une extension.

C’est ce que fait Apple avec ses propres apps pour les configurations liées au réseau. Comme l’a noté initialement le développeur @mxswd sur Twitter, puis confirmé par le chercheur en sécurité Patrick Wardle et par le développeur de l’app TripMode, 56 apps et services d’Apple ne respecteront pas les extensions de réseau installées par l’utilisateur à partir de macOS Big Sur. Si vous configurez un VPN, ces apps ne l’utiliseront pas pour leurs communications. Et si vous avez une app comme Little Snitch qui surveille le réseau et fait office de pare-feu, ces apps ne seront pas identifiées et filtrées.

Sur cet exemple fourni par Patrick Wardle, Little Snitch est configuré pour bloquer toutes les connexions externes. Pourtant, le Mac App Store a toujours accès à internet.

Cette liste de 56 apps et services n’est pas nouvelle, elle était déjà définie dans macOS Catalina. Mais jusque-là, Apple n’utilisait pas cette exception accordée à ses propres apps et c’est la nouveauté de macOS Big Sur. Dans le lot, on retrouve le Mac App Store, le système de mises à jour de macOS, FaceTime, le service de notifications, l’app Musique ou encore Plans. Toutes ces apps pourront accéder à internet même si elles sont bloquées par un pare-feu, une app ne pourra pas visualiser leur trafic et la configuration VPN ne sera pas utilisée.

C’est un problème sur le plan de la sécurité, mais aussi pour une app comme TripMode qui surveille l’utilisation d’internet de chaque app pour éviter de vider son forfait trop rapidement quand on utilise un smartphone en mode modem. Avec macOS Big Sur, l’app ne pourra plus surveiller ni bloquer les 56 apps et services d’Apple, ce qui veut dire notamment que les mises à jour du système pourront être téléchargées à votre insu. Il est toujours possible de désactiver le téléchargement à l’arrière-plan dans les Préférences système, mais TripMode permettait de conserver ce comportement par défaut tout en le bloquant en mode modem.

Si vous comptez sur ces fonctions, vous pouvez l’indiquer à Apple en utilisant l’app Feedback Assistant sur votre Mac, un appareil iOS ou via le site web. Le développeur de Trip Mode encourage à citer le radar FB8808172 pour indiquer à Apple que c’est un problème qui touche beaucoup de monde.


avatar Krysten2001 | 

@byte_order

Vous vous êtes le genre de personne qui dès qu’on dit quelque chose, on fait parti d’un clan sans connaître la personne,... Une mauvaise mentalité. Si je crée un logiciel à destination du public et que moi seule l’utilise pour faire des modifications,... En quoi je ne pourrai pas le faire ? C’est mon logiciel. Si je veux retirer quelque chose j’ai le droit.

avatar marc_os | 

@ ric_anto
Ce qui me fait halluciner ici ce sont les mecs qui poussent des cris d'orfraie quand ils voient un problème dans un OS en version BETA et qui crient au scandâle, au complot.

avatar Moonwalker | 

Pour moi, une ligne rouge est franchie.

Je suis le seul habilité à décider ce qui se connecte à internet avec MA machine.

C'est un choix délibéré d'Apple puisque déjà présent sur Catalina, pas une lubie de bêta. On en discerne mal l'intérêt pour l'utilisateur. Du point de vue sécurité c'est tellement aberrant qu'on se demande comment on a pu valider cela ?

avatar Scooby-Doo | 

@Moonwalker,

« Je suis le seul habilité à décider ce qui se connecte à internet avec MA machine. »

👍 +1

Mais ce n'est pas l'avis de certaines multinationales américaines il me semble !

avatar pat3 | 

@Moonwalker

"Pour moi, une ligne rouge est franchie."

Ça, ok.

"Je suis le seul habilité à décider ce qui se connecte à internet avec MA machine."

Là, tu fantasmes ;)

avatar lmouillart | 

Personne ne doit pouvoir couper les appels des applications Apple à leur maison et aux États-Unis d'Amérique. Personne, jamais !

avatar TheUMan | 

Qu'il y ait déjà eu de backdoor j'en doute pas, mais là, clairement, de permettre à toutes LEURS applications d'outre passer les Firewalls faut pas pousser le bouchon...

avatar byte_order | 

@TheUMan

C'est le moment de regarder si y'a pas un client VPN directement dans votre routeur je dirais...
Si on peut plus le faire au niveau de macOS, il reste le contrôle sur le routeur.
Comment ? C'est moins simple ? Et ? Y'a longtemps qu'entre simplicité pour l'utilisateur et simplicité pour atteindre ses objectifs à elle que Apple a tranché...

avatar Scooby-Doo | 

@lmouillart,

« Personne ne doit pouvoir couper les appels des applications Apple à leur maison et aux États-Unis d'Amérique. Personne, jamais ! »

Sauf si on débranche la prise ! Après, c'est beaucoup moins agréable sans accès à Internet.

Mais bon si Apple le prend comme cela, je pense que certains vont aussi être radicaux qu'elle !

😁

avatar Link1993 | 

Ce qui serait bien, c'est qu'Apple résolve ce problème de serveur VPN intégré qui ne marche plus depuis Catalina...

La dernière version qui marche est Mojave, et dans 1 an, cette version de Mac OS est finit...

avatar totoguile | 

va y avoir un business de raspberry configuré en VPN client pour les voyageurs :)
Le raspberry configuré en AP wifi et faisant office de client VPN, le mac/iphone/ipad connecté en wifi sur le raspberry.

avatar Jymini | 

@totoguile

Tu as un tuto la dessus ?

avatar pacou | 

@totoguile

Je croyais avoir eu l’idée , mais j’avais pas lu assez loin.
Il faut manger des fruits. Apple, Raspberry, Pear, Orange, tout un verger dans l’informatique.

avatar jcp25 | 

@totoguile

Tu as tout à fait raison !
Entre les pi, les boîtiers serveur VPN et les serveurs VPN sur routeur...
On trouvera toujours une solution. Pas forcément très simple et cela fera un boîtier supplémentaire à trimbaler en voyage.
Bon, à partir du moment où tu dois configurer ton pi en serveur VPN, autant ajouter Pi-Hole (comme tu le dis) et là en plus plus de pubs, Malwares, traçage... Finalement, l'idée d'apple n'est pas forcement mauvaise si elle oblige l'installation bloqueur pub + serveur VPN !!! 😜😀🐈😀😜

avatar byte_order | 

@totoguile
> va y avoir un business de raspberry configuré en VPN client pour les voyageurs :)
> Le raspberry configuré en AP wifi et faisant office de client VPN, le
> mac/iphone/ipad connecté en wifi sur le raspberry.

Ouais, ou comment avoir besoin d'un second ordinateur pour retrouver le contrôle perdu sur un ordinateur parce que l'OS n'est plus sous le contrôle de l'utilisateur, c'est l'inverse qui commence...

En gros, quand on commence a avoir besoin d'un *second* ordinateur pour pouvoir utiliser le premier, c'est que celui-ci est devenu un terminal.

avatar jcp25 | 

@byte_order

En gros, quand on commence a avoir besoin d'un second ordinateur pour pouvoir utiliser le premier, c'est que celui-ci est devenu un terminal.
---
C'est ce que je me disais en lisant ce matin 😜😀🐈😀😜
Et là, cela va plus le faire ! Bon, on trouvera des solutions.
Peut-être que Apple va vendre un iVPN qui.... [écouter dans sa tête la keynote...] [au prix ridicule de 1111,11€ avec 1Mo de mémoire]

avatar pagaupa | 

Apple à la solde des états?
La sécurité va être dure à vendre...

avatar Scooby-Doo | 

@pagaupa,

« Apple à la solde des états ? La sécurité va être dure à vendre... »

Ah bon, parce que Apple a réussi à vendre sur ce thème ?

Je pensais que c'était surtout parce que c'était de beaux produits, de belles interfaces, et que en plus :

« It just works ! »

En se marrant de la concurrence qui avait / a des problèmes soit-disant de fiabilité.

Enfin, j'en connais qui se marrait / marre aussi dans la concurrence !

😁

Bon, l'important c'est que l'écrasante majorité des utilisateurs super contents de leurs beaux ordinateurs ne s'en rendent pas compte...

Et hop, sous la moquette pure laine, ni vu ni connu !

Foie (gras) de Scooby-Doo...

🤣

avatar TheUMan | 

Quel intérêt d'avoir un logiciel comme Little Snitch ou autres Firewall ou Antivirus si on sait qu'ils ne peuvent pas bloquer les entrées-sorties ?! même s'il s'agit des apps Apple mais rien ne dit que les hackers n'arrivent pas à utiliser ces applications Apple pour passer outre ces outils !!!

avatar TheUMan | 

Ça donne l'impression, en ce moment, que les devs chez Apple réinventent la roue à chaque sortie de système ?! On s'était déjà fait la réflexion pour l'interface (avec la stupidité des menus transparents) maintenant c'est sur la sécurité des accès ?
Ils ont embauché une pelletée de "jeunots" qui n'ont jamais vécu et qui n'entendent rien à la liberté individuelle et au respect des fondamentaux ?
Etre inventif c'est bien, mais faut pas faire n'importe quoi sous prétexte de nouveautés !

avatar nespresso92 | 

@nfurno Et quid du Host ou du DNS ? Personnellement toutes les adresses d'Apple de telemetry, analytics ou mesure sont bloquées sur mon MBP ou idevices et rien ne passe.

avatar r e m y | 

@nespresso92

Ce ne sera justement plus possible avec Big Sur de bloquer ces adresses Apple...

avatar nespresso92 | 

@r e m y

Pourquoi donc ? Il a toujours un fichier host dans Big Sur, avez-vous fait le test ?

avatar Scooby-Doo | 

@nespresso92,

« Pourquoi donc ? Il a toujours un fichier host dans Big Sur, avez-vous fait le test ? »

Vous pensez franchement que les 56 applications Apple en question vont se soucier de votre fichier Host ?

Vraiment ?

Les appels doivent être codés en dur pour éviter tout contournement.

C'est le but recherché il me semble par Apple !

😁

avatar nespresso92 | 

@Scooby-Doo

Vous ne répondez pas à la question et vous ne faites qu'imaginez des faits.

Avez-vous essayé ? À priori non, compte tenu de votre réponse.

Si vous avez installé la bêta, merci d'effectuer le test et revenez nous éclairer de vos lumières.

avatar r e m y | 

@nespresso92

Je suis en train de faire des tests avec la dernière bêta de Big Sur.
Mais j'ai un problème: je ne sais pas comment vérifier s'il y a toujours des communications avec les serveurs Apple que j'ai bloqué, ou pas... vu que je ne peux plus faire confiance à ce que me dit LittleSnitch. J'atteins les limites de mes connaissances en la matière.

avatar nespresso92 | 

@r e m y

Oubliez votre firewall, si vous ne connaissez pas les adresses cela ne sert à rien. De plus, je pense pas que ce celui-ci ne voit passer les demandes de type analytics comme ||metrics.icloud.com^

Il suffit donc de tout bloquer à la racine. Ouvrez le fichier Host et mettez y : 0.0.0.0.apple.com et 0.0.0.0.icloud.com
Ainsi aucune demande sur les serveurs d'Apple ne fonctionnera. Il suffit d'ouvrir Apple Store ou iTunes pour vérifier.

Pour votre connaissance : https://support.apple.com/HT210060

avatar r e m y | 

@nespresso92

Pour tester, dans mon fichier hosts j'avais mis
0.0.0.0 [etoile].apple.com
0.0.0.0 [etoile].icloud.com

[etoile] correspondant au caractère "etoile" du clavier (qui ne passe pas dans ces commentaires)

Ce n'est pas bon?

Avec ce fichier host, je n'accède plus au site www.apple.com ni au site www.icloud.com via Safari, mais l'AppStore fonctionne sans problème.

avatar nespresso92 | 

@r e m y

Non il n'y pas d'étoile dans la syntax.

0.0.0.0 apple.com
0.0.0.0 icloud.com

Dans Catalina tout est bloqué.

avatar r e m y | 

@nespresso92

Ok. Je réessaierai ce soir, là il faut que je parte bosser.

avatar r e m y | 

@r e m y

Vérification faite, le blocage via le fichier Hosts fonctionne toujours.

avatar nespresso92 | 

@r e m y

Un retour ?

avatar r e m y | 

@nespresso92

Je l'ai indiqué juste au dessus. Le blocage via le fichier hosts fonctionne toujours.

avatar nespresso92 | 

@r e m y

Désolé je n'ai pas vu le retour dans la chronologie des messages. Merci.

Donc c'est une bonne nouvelle. Finalement le filtre au niveau du Host et du DNS est bien plus efficace qu'un firewall, que ce soit sur macOS ou iOS.

avatar byte_order | 

@r e m y
Une seconde machine (oui, je sais, c'est pathétique d'en être rendu là) avec un Wireshark permettrait de voir ce qui passe sur votre réseau local...

avatar r e m y | 

@byte_order

C'est ce que je fais quand je veux voir ce qui entre et sort de mon iPhone (partage de connexion avec le Mac et LittleSnitch sur le Mac).
Ça permet de constater comme WebKit est bavard par exemple (toutes les applications utilisant WebKit génèrent des échanges importants avec tout un tas d'adresses dont les IP appartiennent à Apple.com)

Mais maintenant si je ne peux plus faire confiance au Mac... va falloir que j'ajoute un PC? 😳

avatar vincentn | 

@r e m y

Intéressant. Tu peux nous en dire plus sur WebKit et son côté bavard ? Si tu as le lien vers un article, etc. qui s’étend dessus, ce serait top.

Pour en revenir au sujet, il existe une solution différente de celle énoncée dans d’autres commentaires, un poil complexe à mettre en route pour la plupart des usagers,
et avec un possible désagrément si l’on ne fait pas attention :

https://tinyapps.org/blog/202010210700_whose_computer_is_it.html

Espérons qu’Apple revienne à de meilleurs intentions et permettent à des apps type LS, Lulu, Murus, Vallum, Tripmode… de voir ces communications.

avatar vincentn | 

@r e m y

Intéressant. Tu peux nous en dire plus sur WebKit et son côté bavard ? Si tu as le lien vers un article, etc. qui s’étend dessus, ce serait top.

Pour en revenir au sujet, il existe une solution différente de celle énoncée dans d’autres commentaires, un poil complexe à mettre en route pour la plupart des usagers,
et avec un possible désagrément si l’on ne fait pas attention :

https://tinyapps.org/blog/202010210700_whose_computer_is_it.html

Espérons qu’Apple revienne à de meilleurs intentions et permettent à des apps type LS, Lulu, Murus, Vallum, Tripmode… de voir ces communications.

avatar r e m y | 

@vincentn

C'est juste un constat que j'ai pu faire. J'avais lu ici, je crois, un commentaire de quelqu'un expliquant comment surveiller ce qui entre et sort de son iPhone, l'équivalent de LittleSnitch n'existant pas sur iOS, et j'ai testé moi-même.

Je partage la connexion internet du Mac avec l'iPhone.
Puis je lance une app utilisant WebKit sur l'iPhone (l'app MacG par exemple, ou un quelconque navigateur internet vu qu'ils utilisent tous WebKit) et je regarde ce que m'indique LittleSnitch installé sur le Mac.

On constate que chaque fois que WebKit est utilisé sur l'iPhone, on retrouve des accès et des envois de données incessants à des adresses IP identiques et en cherchant à qui correspondent ces adresses (avec un WhoIs par exemple), on tombe sur des adresses appartenant à Apple

Je ne sais pas en dire plus car j'ignore totalement le type d'infos qui sont ainsi envoyées à Apple.

avatar vincentn | 

@r e m y

Merci pour les infos.
J’ai retrouvé une étude que MacG avait recensé et qui faisait une recension des appels des navigateurs:

https://www.macg.co/logiciels/2020/02/les-connexions-discretes-des-navigateurs-comparees-dans-une-etude-112217

Ce serait intéressant de se replonger dans cette étude et de la compléter, notamment avec l’avènement de Safari 14 et Big Sur.

De même faire la même chose pour iOS et sur les apps. Parce qu’il n’y a pas que le système et WebKit qui « téléphone maison ». Pour certaines, c’est un vrai feu d’artifice. Il y aurait un papier pédago à faire.

avatar Azurea | 

Ils ferait mieux d'améliorer Mail depuis le temps (ex : un mail indésirable, un vrai spam, son contenu est totalement chargé quand il est à la corbeille et cela n'est vraiment pas normal).

avatar TheUMan | 

Ôtez-moi d'un doute, Mail fait partie des Apps non filtrée ? C'est comme cela qu'ils règlent leurs bugs, ils ne permettent plus de les mettre en évidence…

avatar Tatooland | 

A voir, mais étant en Chine, si il n’y a pas moyen de “tuneler” l’intégralité des connexions, c’est mort.
Déjà que les VPN avec iOS c’est ultra faiblard comparé à Android. Mais sur Mac si ils font le même bousin, vu l’utilité que j’ai d’un ordi, se sera probablement du Ubuntu.

avatar vincentn | 

C’est inquiétant, et même dangereux pour les usagers. Je ne comprends pas (enfin si) pourquoi Apple fait ça, car c’est de toute évidence volontaire. Et d’une co…rie
sans nom.
Dans certains secteurs, entreprises, certains métiers, ce genre de comportement de l’OS, c’est no way.
Après, il y a bien des solutions externes pour contourner cela, mais cela nécessite des compétences et une maintenance que beaucoup n’ont pas.

avatar Orus | 

Apple montrerait-il enfin son vrai visage ? Big Brother Apple.

avatar denisnone | 

C’est scandaleux.

avatar Scooby-Doo | 

@denisnone,

« C’est scandaleux. »

Je suis bien d'accord avec vous !

Voilà, nous sommes enfin deux à nous opposer à l'oppression des décisions d'Apple !

À nous deux, nous formons un groupe et nous allons faire trembler le géant californien...

...

Oh wait !

Mais qui utilise un VPN ?

Pas grand monde, même si c'est bien utile je vous l'accorde !

Mais qui utilise un gestionnaire de consommation de data ?

Beaucoup plus de monde !

Et là, cela risque déjà d'un peu plus coincer pour Apple...

Enfin, je pense qu'elle sait que cela va déplaire et elle va nous sortir son application bien à elle !

Un beau VPN et un gestionnaire de consommation.

C'est fou comme le monde est bien fait quand même !

😁

avatar pacou | 

Bon en gros, si on installe par erreur Big Sur ( ça pourrait arriver, on ne sait jamais), il faut se balader avec un petit ordi genre raspberry pi comme proxy, lui même connecter via le VPN pour être sûr que vraiment la brique d’Apple ne puisse pas contourner des règles réseaux, firewall, routeur, etc que l’on se fait un plaisir de paramétrer aux petits onions.

Comment techniquement peuvent-ils faire pour qu’aucune trace de traffic ne puisse être visible ?

Mes clients ont pas fini de se ficher de moi avec mon Mac « plus simple et sécurisé » que des pc winwin.

C’est ballot quand même d’être aussi peu respectueux de l’utilisateur. Autant pour l’histoire de l’app store j’aurais tendance à respecter leur choix, autant là, ça frise l’installation de backdoor en pleine conscience.

Le pire c’est qu’on peut imaginer que c’est pas mieux ailleurs.

Qu’est ce qui prouve du coup que des logiciels dans Linux, par exemple, ne peuvent pas avoir un comportement identiquement furtif?

avatar Scooby-Doo | 

@pacou,

« Bon en gros, si on installe par erreur Big Sur ( ça pourrait arriver, on ne sait jamais), il faut se balader avec un petit ordi genre raspberry pi comme proxy, lui même connecter via le VPN pour être sûr que vraiment la brique d’Apple ne puisse pas contourner des règles réseaux, firewall, routeur, etc que l’on se fait un plaisir de paramétrer aux petits onions. »

Un Raspberry Pi comme compagnon de vos câbles et adaptateurs pour tous brancher sur votre bel ordinateur ultra fin et au design magnifique !

Un ordinateur qui pèse rien d'un côté et de l'autre, un tas de trucs à se trimbaler !

Merci pour ce concept si innovant...

M'en vais faire ma muscu !

😁

Pages

CONNEXION UTILISATEUR