macOS Big Sur : Apple ne respecte pas les extensions réseau et les VPN pour ses apps

Nicolas Furno |

Le nouveau mécanisme d’extensions exécutées dans l’espace utilisateur imposé par Apple ne permet plus de garantir que la configuration réseau des Mac et appareils iOS, et notamment la configuration d’un serveur VPN, est toujours utilisée par les apps système. C’est ce qui apparaît au fur et à mesure que les extensions de noyau traditionnelles (kexts en anglais) sont remplacées par leurs remplaçantes dans le cadre de DriverKit.

C’est un changement lancé par Apple il y a plusieurs années. macOS High Sierra a commencé par bloquer par défaut les extensions du noyau, puis macOS Catalina a ajouté DriverKit, un nouveau mécanisme pour offrir des extensions dans la session de l’utilisateur. Depuis macOS 10.15.4, un message d’alerte signale que les anciennes extensions sont désormais obsolètes et seront bloquées dans une future mise à jour du système.

Le message d’erreur affiché par le système depuis macOS 10.15.4, ici pour une ancienne version de Little Snitch, avant son passage à DriverKit.

Les développeurs n’ont pas le choix, ils doivent basculer sur le nouveau système qui est censé éviter tout problème d’instabilité et réduire les risques en matière de sécurité. En installant et exécutant des extensions dans la session de l’utilisateur, Apple opte pour une approche qui fonctionne à un niveau moins bas dans la hiérarchie du système. C’est positif pour les raisons que l’on vient d’évoquer, mais cela veut aussi dire qu’il est désormais techniquement possible de contourner une extension.

C’est ce que fait Apple avec ses propres apps pour les configurations liées au réseau. Comme l’a noté initialement le développeur @mxswd sur Twitter, puis confirmé par le chercheur en sécurité Patrick Wardle et par le développeur de l’app TripMode, 56 apps et services d’Apple ne respecteront pas les extensions de réseau installées par l’utilisateur à partir de macOS Big Sur. Si vous configurez un VPN, ces apps ne l’utiliseront pas pour leurs communications. Et si vous avez une app comme Little Snitch qui surveille le réseau et fait office de pare-feu, ces apps ne seront pas identifiées et filtrées.

Sur cet exemple fourni par Patrick Wardle, Little Snitch est configuré pour bloquer toutes les connexions externes. Pourtant, le Mac App Store a toujours accès à internet.

Cette liste de 56 apps et services n’est pas nouvelle, elle était déjà définie dans macOS Catalina. Mais jusque-là, Apple n’utilisait pas cette exception accordée à ses propres apps et c’est la nouveauté de macOS Big Sur. Dans le lot, on retrouve le Mac App Store, le système de mises à jour de macOS, FaceTime, le service de notifications, l’app Musique ou encore Plans. Toutes ces apps pourront accéder à internet même si elles sont bloquées par un pare-feu, une app ne pourra pas visualiser leur trafic et la configuration VPN ne sera pas utilisée.

C’est un problème sur le plan de la sécurité, mais aussi pour une app comme TripMode qui surveille l’utilisation d’internet de chaque app pour éviter de vider son forfait trop rapidement quand on utilise un smartphone en mode modem. Avec macOS Big Sur, l’app ne pourra plus surveiller ni bloquer les 56 apps et services d’Apple, ce qui veut dire notamment que les mises à jour du système pourront être téléchargées à votre insu. Il est toujours possible de désactiver le téléchargement à l’arrière-plan dans les Préférences système, mais TripMode permettait de conserver ce comportement par défaut tout en le bloquant en mode modem.

Si vous comptez sur ces fonctions, vous pouvez l’indiquer à Apple en utilisant l’app Feedback Assistant sur votre Mac, un appareil iOS ou via le site web. Le développeur de Trip Mode encourage à citer le radar FB8808172 pour indiquer à Apple que c’est un problème qui touche beaucoup de monde.

avatar nespresso92 | 

@Scooby-Doo

Vous ne répondez pas à la question et vous ne faites qu'imaginez des faits.

Avez-vous essayé ? À priori non, compte tenu de votre réponse.

Si vous avez installé la bêta, merci d'effectuer le test et revenez nous éclairer de vos lumières.

avatar r e m y | 

@nespresso92

Je suis en train de faire des tests avec la dernière bêta de Big Sur.
Mais j'ai un problème: je ne sais pas comment vérifier s'il y a toujours des communications avec les serveurs Apple que j'ai bloqué, ou pas... vu que je ne peux plus faire confiance à ce que me dit LittleSnitch. J'atteins les limites de mes connaissances en la matière.

avatar nespresso92 | 

@r e m y

Oubliez votre firewall, si vous ne connaissez pas les adresses cela ne sert à rien. De plus, je pense pas que ce celui-ci ne voit passer les demandes de type analytics comme ||metrics.icloud.com^

Il suffit donc de tout bloquer à la racine. Ouvrez le fichier Host et mettez y : 0.0.0.0.apple.com et 0.0.0.0.icloud.com
Ainsi aucune demande sur les serveurs d'Apple ne fonctionnera. Il suffit d'ouvrir Apple Store ou iTunes pour vérifier.

Pour votre connaissance : https://support.apple.com/HT210060

avatar r e m y | 

@nespresso92

Pour tester, dans mon fichier hosts j'avais mis
0.0.0.0 [etoile].apple.com
0.0.0.0 [etoile].icloud.com

[etoile] correspondant au caractère "etoile" du clavier (qui ne passe pas dans ces commentaires)

Ce n'est pas bon?

Avec ce fichier host, je n'accède plus au site www.apple.com ni au site www.icloud.com via Safari, mais l'AppStore fonctionne sans problème.

avatar nespresso92 | 

@r e m y

Non il n'y pas d'étoile dans la syntax.

0.0.0.0 apple.com
0.0.0.0 icloud.com

Dans Catalina tout est bloqué.

avatar r e m y | 

@nespresso92

Ok. Je réessaierai ce soir, là il faut que je parte bosser.

avatar r e m y | 

@r e m y

Vérification faite, le blocage via le fichier Hosts fonctionne toujours.

avatar nespresso92 | 

@r e m y

Un retour ?

avatar r e m y | 

@nespresso92

Je l'ai indiqué juste au dessus. Le blocage via le fichier hosts fonctionne toujours.

avatar nespresso92 | 

@r e m y

Désolé je n'ai pas vu le retour dans la chronologie des messages. Merci.

Donc c'est une bonne nouvelle. Finalement le filtre au niveau du Host et du DNS est bien plus efficace qu'un firewall, que ce soit sur macOS ou iOS.

avatar byte_order | 

@r e m y
Une seconde machine (oui, je sais, c'est pathétique d'en être rendu là) avec un Wireshark permettrait de voir ce qui passe sur votre réseau local...

avatar r e m y | 

@byte_order

C'est ce que je fais quand je veux voir ce qui entre et sort de mon iPhone (partage de connexion avec le Mac et LittleSnitch sur le Mac).
Ça permet de constater comme WebKit est bavard par exemple (toutes les applications utilisant WebKit génèrent des échanges importants avec tout un tas d'adresses dont les IP appartiennent à Apple.com)

Mais maintenant si je ne peux plus faire confiance au Mac... va falloir que j'ajoute un PC? 😳

avatar vincentn | 

@r e m y

Intéressant. Tu peux nous en dire plus sur WebKit et son côté bavard ? Si tu as le lien vers un article, etc. qui s’étend dessus, ce serait top.

Pour en revenir au sujet, il existe une solution différente de celle énoncée dans d’autres commentaires, un poil complexe à mettre en route pour la plupart des usagers,
et avec un possible désagrément si l’on ne fait pas attention :

https://tinyapps.org/blog/202010210700_whose_computer_is_it.html

Espérons qu’Apple revienne à de meilleurs intentions et permettent à des apps type LS, Lulu, Murus, Vallum, Tripmode… de voir ces communications.

avatar vincentn | 

@r e m y

Intéressant. Tu peux nous en dire plus sur WebKit et son côté bavard ? Si tu as le lien vers un article, etc. qui s’étend dessus, ce serait top.

Pour en revenir au sujet, il existe une solution différente de celle énoncée dans d’autres commentaires, un poil complexe à mettre en route pour la plupart des usagers,
et avec un possible désagrément si l’on ne fait pas attention :

https://tinyapps.org/blog/202010210700_whose_computer_is_it.html

Espérons qu’Apple revienne à de meilleurs intentions et permettent à des apps type LS, Lulu, Murus, Vallum, Tripmode… de voir ces communications.

avatar r e m y | 

@vincentn

C'est juste un constat que j'ai pu faire. J'avais lu ici, je crois, un commentaire de quelqu'un expliquant comment surveiller ce qui entre et sort de son iPhone, l'équivalent de LittleSnitch n'existant pas sur iOS, et j'ai testé moi-même.

Je partage la connexion internet du Mac avec l'iPhone.
Puis je lance une app utilisant WebKit sur l'iPhone (l'app MacG par exemple, ou un quelconque navigateur internet vu qu'ils utilisent tous WebKit) et je regarde ce que m'indique LittleSnitch installé sur le Mac.

On constate que chaque fois que WebKit est utilisé sur l'iPhone, on retrouve des accès et des envois de données incessants à des adresses IP identiques et en cherchant à qui correspondent ces adresses (avec un WhoIs par exemple), on tombe sur des adresses appartenant à Apple

Je ne sais pas en dire plus car j'ignore totalement le type d'infos qui sont ainsi envoyées à Apple.

avatar vincentn | 

@r e m y

Merci pour les infos.
J’ai retrouvé une étude que MacG avait recensé et qui faisait une recension des appels des navigateurs:

https://www.macg.co/logiciels/2020/02/les-connexions-discretes-des-navig...

Ce serait intéressant de se replonger dans cette étude et de la compléter, notamment avec l’avènement de Safari 14 et Big Sur.

De même faire la même chose pour iOS et sur les apps. Parce qu’il n’y a pas que le système et WebKit qui « téléphone maison ». Pour certaines, c’est un vrai feu d’artifice. Il y aurait un papier pédago à faire.

avatar Azurea | 

Ils ferait mieux d'améliorer Mail depuis le temps (ex : un mail indésirable, un vrai spam, son contenu est totalement chargé quand il est à la corbeille et cela n'est vraiment pas normal).

avatar TheUMan | 

Ôtez-moi d'un doute, Mail fait partie des Apps non filtrée ? C'est comme cela qu'ils règlent leurs bugs, ils ne permettent plus de les mettre en évidence…

avatar Tatooland | 

A voir, mais étant en Chine, si il n’y a pas moyen de “tuneler” l’intégralité des connexions, c’est mort.
Déjà que les VPN avec iOS c’est ultra faiblard comparé à Android. Mais sur Mac si ils font le même bousin, vu l’utilité que j’ai d’un ordi, se sera probablement du Ubuntu.

avatar vincentn | 

C’est inquiétant, et même dangereux pour les usagers. Je ne comprends pas (enfin si) pourquoi Apple fait ça, car c’est de toute évidence volontaire. Et d’une co…rie
sans nom.
Dans certains secteurs, entreprises, certains métiers, ce genre de comportement de l’OS, c’est no way.
Après, il y a bien des solutions externes pour contourner cela, mais cela nécessite des compétences et une maintenance que beaucoup n’ont pas.

avatar Orus | 

Apple montrerait-il enfin son vrai visage ? Big Brother Apple.

avatar denisnone | 

C’est scandaleux.

avatar Scooby-Doo | 

@denisnone,

« C’est scandaleux. »

Je suis bien d'accord avec vous !

Voilà, nous sommes enfin deux à nous opposer à l'oppression des décisions d'Apple !

À nous deux, nous formons un groupe et nous allons faire trembler le géant californien...

...

Oh wait !

Mais qui utilise un VPN ?

Pas grand monde, même si c'est bien utile je vous l'accorde !

Mais qui utilise un gestionnaire de consommation de data ?

Beaucoup plus de monde !

Et là, cela risque déjà d'un peu plus coincer pour Apple...

Enfin, je pense qu'elle sait que cela va déplaire et elle va nous sortir son application bien à elle !

Un beau VPN et un gestionnaire de consommation.

C'est fou comme le monde est bien fait quand même !

😁

avatar pacou | 

Bon en gros, si on installe par erreur Big Sur ( ça pourrait arriver, on ne sait jamais), il faut se balader avec un petit ordi genre raspberry pi comme proxy, lui même connecter via le VPN pour être sûr que vraiment la brique d’Apple ne puisse pas contourner des règles réseaux, firewall, routeur, etc que l’on se fait un plaisir de paramétrer aux petits onions.

Comment techniquement peuvent-ils faire pour qu’aucune trace de traffic ne puisse être visible ?

Mes clients ont pas fini de se ficher de moi avec mon Mac « plus simple et sécurisé » que des pc winwin.

C’est ballot quand même d’être aussi peu respectueux de l’utilisateur. Autant pour l’histoire de l’app store j’aurais tendance à respecter leur choix, autant là, ça frise l’installation de backdoor en pleine conscience.

Le pire c’est qu’on peut imaginer que c’est pas mieux ailleurs.

Qu’est ce qui prouve du coup que des logiciels dans Linux, par exemple, ne peuvent pas avoir un comportement identiquement furtif?

avatar Scooby-Doo | 

@pacou,

« Bon en gros, si on installe par erreur Big Sur ( ça pourrait arriver, on ne sait jamais), il faut se balader avec un petit ordi genre raspberry pi comme proxy, lui même connecter via le VPN pour être sûr que vraiment la brique d’Apple ne puisse pas contourner des règles réseaux, firewall, routeur, etc que l’on se fait un plaisir de paramétrer aux petits onions. »

Un Raspberry Pi comme compagnon de vos câbles et adaptateurs pour tous brancher sur votre bel ordinateur ultra fin et au design magnifique !

Un ordinateur qui pèse rien d'un côté et de l'autre, un tas de trucs à se trimbaler !

Merci pour ce concept si innovant...

M'en vais faire ma muscu !

😁

Pages

CONNEXION UTILISATEUR