macOS Big Sur : Apple ne respecte pas les extensions réseau et les VPN pour ses apps

Nicolas Furno |

Le nouveau mécanisme d’extensions exécutées dans l’espace utilisateur imposé par Apple ne permet plus de garantir que la configuration réseau des Mac et appareils iOS, et notamment la configuration d’un serveur VPN, est toujours utilisée par les apps système. C’est ce qui apparaît au fur et à mesure que les extensions de noyau traditionnelles (kexts en anglais) sont remplacées par leurs remplaçantes dans le cadre de DriverKit.

C’est un changement lancé par Apple il y a plusieurs années. macOS High Sierra a commencé par bloquer par défaut les extensions du noyau, puis macOS Catalina a ajouté DriverKit, un nouveau mécanisme pour offrir des extensions dans la session de l’utilisateur. Depuis macOS 10.15.4, un message d’alerte signale que les anciennes extensions sont désormais obsolètes et seront bloquées dans une future mise à jour du système.

Le message d’erreur affiché par le système depuis macOS 10.15.4, ici pour une ancienne version de Little Snitch, avant son passage à DriverKit.

Les développeurs n’ont pas le choix, ils doivent basculer sur le nouveau système qui est censé éviter tout problème d’instabilité et réduire les risques en matière de sécurité. En installant et exécutant des extensions dans la session de l’utilisateur, Apple opte pour une approche qui fonctionne à un niveau moins bas dans la hiérarchie du système. C’est positif pour les raisons que l’on vient d’évoquer, mais cela veut aussi dire qu’il est désormais techniquement possible de contourner une extension.

C’est ce que fait Apple avec ses propres apps pour les configurations liées au réseau. Comme l’a noté initialement le développeur @mxswd sur Twitter, puis confirmé par le chercheur en sécurité Patrick Wardle et par le développeur de l’app TripMode, 56 apps et services d’Apple ne respecteront pas les extensions de réseau installées par l’utilisateur à partir de macOS Big Sur. Si vous configurez un VPN, ces apps ne l’utiliseront pas pour leurs communications. Et si vous avez une app comme Little Snitch qui surveille le réseau et fait office de pare-feu, ces apps ne seront pas identifiées et filtrées.

Sur cet exemple fourni par Patrick Wardle, Little Snitch est configuré pour bloquer toutes les connexions externes. Pourtant, le Mac App Store a toujours accès à internet.

Cette liste de 56 apps et services n’est pas nouvelle, elle était déjà définie dans macOS Catalina. Mais jusque-là, Apple n’utilisait pas cette exception accordée à ses propres apps et c’est la nouveauté de macOS Big Sur. Dans le lot, on retrouve le Mac App Store, le système de mises à jour de macOS, FaceTime, le service de notifications, l’app Musique ou encore Plans. Toutes ces apps pourront accéder à internet même si elles sont bloquées par un pare-feu, une app ne pourra pas visualiser leur trafic et la configuration VPN ne sera pas utilisée.

C’est un problème sur le plan de la sécurité, mais aussi pour une app comme TripMode qui surveille l’utilisation d’internet de chaque app pour éviter de vider son forfait trop rapidement quand on utilise un smartphone en mode modem. Avec macOS Big Sur, l’app ne pourra plus surveiller ni bloquer les 56 apps et services d’Apple, ce qui veut dire notamment que les mises à jour du système pourront être téléchargées à votre insu. Il est toujours possible de désactiver le téléchargement à l’arrière-plan dans les Préférences système, mais TripMode permettait de conserver ce comportement par défaut tout en le bloquant en mode modem.

Si vous comptez sur ces fonctions, vous pouvez l’indiquer à Apple en utilisant l’app Feedback Assistant sur votre Mac, un appareil iOS ou via le site web. Le développeur de Trip Mode encourage à citer le radar FB8808172 pour indiquer à Apple que c’est un problème qui touche beaucoup de monde.

avatar Krysten2001 | 

@byte_order

Vous vous êtes le genre de personne qui dès qu’on dit quelque chose, on fait parti d’un clan sans connaître la personne,... Une mauvaise mentalité. Si je crée un logiciel à destination du public et que moi seule l’utilise pour faire des modifications,... En quoi je ne pourrai pas le faire ? C’est mon logiciel. Si je veux retirer quelque chose j’ai le droit.

avatar marc_os | 

@ ric_anto
Ce qui me fait halluciner ici ce sont les mecs qui poussent des cris d'orfraie quand ils voient un problème dans un OS en version BETA et qui crient au scandâle, au complot.

avatar Moonwalker | 

Pour moi, une ligne rouge est franchie.

Je suis le seul habilité à décider ce qui se connecte à internet avec MA machine.

C'est un choix délibéré d'Apple puisque déjà présent sur Catalina, pas une lubie de bêta. On en discerne mal l'intérêt pour l'utilisateur. Du point de vue sécurité c'est tellement aberrant qu'on se demande comment on a pu valider cela ?

avatar Scooby-Doo | 

@Moonwalker,

« Je suis le seul habilité à décider ce qui se connecte à internet avec MA machine. »

👍 +1

Mais ce n'est pas l'avis de certaines multinationales américaines il me semble !

avatar pat3 | 

@Moonwalker

"Pour moi, une ligne rouge est franchie."

Ça, ok.

"Je suis le seul habilité à décider ce qui se connecte à internet avec MA machine."

Là, tu fantasmes ;)

avatar lmouillart | 

Personne ne doit pouvoir couper les appels des applications Apple à leur maison et aux États-Unis d'Amérique. Personne, jamais !

avatar TheUMan | 

Qu'il y ait déjà eu de backdoor j'en doute pas, mais là, clairement, de permettre à toutes LEURS applications d'outre passer les Firewalls faut pas pousser le bouchon...

avatar byte_order | 

@TheUMan

C'est le moment de regarder si y'a pas un client VPN directement dans votre routeur je dirais...
Si on peut plus le faire au niveau de macOS, il reste le contrôle sur le routeur.
Comment ? C'est moins simple ? Et ? Y'a longtemps qu'entre simplicité pour l'utilisateur et simplicité pour atteindre ses objectifs à elle que Apple a tranché...

avatar Scooby-Doo | 

@lmouillart,

« Personne ne doit pouvoir couper les appels des applications Apple à leur maison et aux États-Unis d'Amérique. Personne, jamais ! »

Sauf si on débranche la prise ! Après, c'est beaucoup moins agréable sans accès à Internet.

Mais bon si Apple le prend comme cela, je pense que certains vont aussi être radicaux qu'elle !

😁

avatar Link1993 | 

Ce qui serait bien, c'est qu'Apple résolve ce problème de serveur VPN intégré qui ne marche plus depuis Catalina...

La dernière version qui marche est Mojave, et dans 1 an, cette version de Mac OS est finit...

avatar totoguile | 

va y avoir un business de raspberry configuré en VPN client pour les voyageurs :)
Le raspberry configuré en AP wifi et faisant office de client VPN, le mac/iphone/ipad connecté en wifi sur le raspberry.

avatar Jymini | 

@totoguile

Tu as un tuto la dessus ?

avatar pacou | 

@totoguile

Je croyais avoir eu l’idée , mais j’avais pas lu assez loin.
Il faut manger des fruits. Apple, Raspberry, Pear, Orange, tout un verger dans l’informatique.

avatar jcp25 | 

@totoguile

Tu as tout à fait raison !
Entre les pi, les boîtiers serveur VPN et les serveurs VPN sur routeur...
On trouvera toujours une solution. Pas forcément très simple et cela fera un boîtier supplémentaire à trimbaler en voyage.
Bon, à partir du moment où tu dois configurer ton pi en serveur VPN, autant ajouter Pi-Hole (comme tu le dis) et là en plus plus de pubs, Malwares, traçage... Finalement, l'idée d'apple n'est pas forcement mauvaise si elle oblige l'installation bloqueur pub + serveur VPN !!! 😜😀🐈😀😜

avatar byte_order | 

@totoguile
> va y avoir un business de raspberry configuré en VPN client pour les voyageurs :)
> Le raspberry configuré en AP wifi et faisant office de client VPN, le
> mac/iphone/ipad connecté en wifi sur le raspberry.

Ouais, ou comment avoir besoin d'un second ordinateur pour retrouver le contrôle perdu sur un ordinateur parce que l'OS n'est plus sous le contrôle de l'utilisateur, c'est l'inverse qui commence...

En gros, quand on commence a avoir besoin d'un *second* ordinateur pour pouvoir utiliser le premier, c'est que celui-ci est devenu un terminal.

avatar jcp25 | 

@byte_order

En gros, quand on commence a avoir besoin d'un second ordinateur pour pouvoir utiliser le premier, c'est que celui-ci est devenu un terminal.
---
C'est ce que je me disais en lisant ce matin 😜😀🐈😀😜
Et là, cela va plus le faire ! Bon, on trouvera des solutions.
Peut-être que Apple va vendre un iVPN qui.... [écouter dans sa tête la keynote...] [au prix ridicule de 1111,11€ avec 1Mo de mémoire]

avatar pagaupa | 

Apple à la solde des états?
La sécurité va être dure à vendre...

avatar Scooby-Doo | 

@pagaupa,

« Apple à la solde des états ? La sécurité va être dure à vendre... »

Ah bon, parce que Apple a réussi à vendre sur ce thème ?

Je pensais que c'était surtout parce que c'était de beaux produits, de belles interfaces, et que en plus :

« It just works ! »

En se marrant de la concurrence qui avait / a des problèmes soit-disant de fiabilité.

Enfin, j'en connais qui se marrait / marre aussi dans la concurrence !

😁

Bon, l'important c'est que l'écrasante majorité des utilisateurs super contents de leurs beaux ordinateurs ne s'en rendent pas compte...

Et hop, sous la moquette pure laine, ni vu ni connu !

Foie (gras) de Scooby-Doo...

🤣

avatar TheUMan | 

Quel intérêt d'avoir un logiciel comme Little Snitch ou autres Firewall ou Antivirus si on sait qu'ils ne peuvent pas bloquer les entrées-sorties ?! même s'il s'agit des apps Apple mais rien ne dit que les hackers n'arrivent pas à utiliser ces applications Apple pour passer outre ces outils !!!

avatar TheUMan | 

Ça donne l'impression, en ce moment, que les devs chez Apple réinventent la roue à chaque sortie de système ?! On s'était déjà fait la réflexion pour l'interface (avec la stupidité des menus transparents) maintenant c'est sur la sécurité des accès ?
Ils ont embauché une pelletée de "jeunots" qui n'ont jamais vécu et qui n'entendent rien à la liberté individuelle et au respect des fondamentaux ?
Etre inventif c'est bien, mais faut pas faire n'importe quoi sous prétexte de nouveautés !

avatar nespresso92 | 

@nfurno Et quid du Host ou du DNS ? Personnellement toutes les adresses d'Apple de telemetry, analytics ou mesure sont bloquées sur mon MBP ou idevices et rien ne passe.

avatar r e m y | 

@nespresso92

Ce ne sera justement plus possible avec Big Sur de bloquer ces adresses Apple...

avatar nespresso92 | 

@r e m y

Pourquoi donc ? Il a toujours un fichier host dans Big Sur, avez-vous fait le test ?

avatar Scooby-Doo | 

@nespresso92,

« Pourquoi donc ? Il a toujours un fichier host dans Big Sur, avez-vous fait le test ? »

Vous pensez franchement que les 56 applications Apple en question vont se soucier de votre fichier Host ?

Vraiment ?

Les appels doivent être codés en dur pour éviter tout contournement.

C'est le but recherché il me semble par Apple !

😁

Pages

CONNEXION UTILISATEUR