Apple va corriger et améliorer le système de contrôle des applications dans macOS

Florian Innocente |

Apple a donné des explications sur les difficultés rencontrées par ses serveurs le jour du lancement de macOS Big Sur, et apporté des réponses à un début de polémique sur une possible surveillance de l'activité logicielle de ses utilisateurs.

Le lancement de Big Sur, ce jeudi 12 novembre, s'est avéré laborieux. D'une part, les serveurs d'Apple mettaient un temps infini à transférer la mise à jour vers les utilisateurs, d'autre part le lancement des applications, une fois Big Sur installé, était également considérablement ralenti.

Ces lenteurs excessives pour l'ouverture des logiciels ont été provoquées par une mauvaise configuration du côté des serveurs d'Apple. S'y est ajouté un autre défaut de configuration sur un réseau de serveurs tiers utilisé pour aider à ces volumineux transferts de données.

Les serveurs d'Apple en question sont ceux rattachés à la fonction Gatekeeper de macOS (introduite avec Yosemite) qui a pour mission de vérifier que l'application ouverte par un utilisateur ne contient pas de malwares et que son développeur est toujours agréé par Apple. À l'inverse, si le certificat de ce compte développeur a été révoqué (parce qu'il aurait enfreint des règles d'Apple ou distribué un malware) son application ne peut plus s'exécuter. Ces contrôles ne sont pas réalisés à chaque ouverture mais ponctuellement.

Normalement, si l'utilisateur n'est pas connecté à internet ou qu'un délai de réponse trop long est constaté avec les serveurs d'Apple, Gatekeeper rend la main et l'application s'ouvre. Jeudi dernier, le système s'entêtait à attendre la validation des serveurs. Apple utilise un protocole de communication standard pour effectuer cette vérification : l'OCSP (« Online Certificate Status Protocol »).

La Pomme a également actualisé une fiche d'explications sur Gatekeeper (sa version française n'a pas encore été complétée). Une polémique commençait à enfler, lancée par le chercheur en sécurité Jeffrey Paul. Il affirmait qu'au moyen de Gatekeeper, Apple récupérait votre adresse IP, vérifiait les certificats développeurs et, en croisant tout cela, pouvait grosso modo savoir où vous étiez, quand et quelles applications vous lanciez à ce moment-là. Des affirmations qui ont été ensuite déconstruites et sérieusement tempérées par l'un de ses pairs, Jacopo Jannone. Reste qu'il y avait tout de même des choses à améliorer.

Apple a donc ajouté des précisions sur le volet « vie privée » de ce mécanisme de vérification. Elle explique en premier lieu que ces contrôles à distance « n'ont jamais inclus l'Apple ID de l'utilisateur ni l'identité de ses appareils ». Apple collectait bien les adresses IP mais elle a cessé de le faire et assure qu'elle va purger de ses bases celles déjà stockées.

D'autres changements sont prévus l'année prochaine : l'utilisation d'un protocole chiffré (https) pour ce contrôle du statut d'un certificat de développeur (un chiffrement que l'OCSP n'oblige pas dans sa forme actuelle, de façon à éviter des situations où le client et le serveur tournent en rond dans leur vérifications respectives) ; des protections plus efficaces contre les dysfonctionnements de serveurs et un réglage dans les préférences pour les utilisateurs qui ne veulent pas de ces vérifications occasionnelles (un blocage de ces communications que certains font déjà, avec LittleSnitch par exemple).

avatar ioda | 

Cette "promesse" a déjà été faite à l'époque du passage de Sierra à Hight Sierra ou de l'évolution suivante ( à vérifier !) Donc encore une "promesse Pipo" puisque le celle capable de ce "contrôle qualité" nous a quitté en octobre 2011 ! ! ! ! Pitoyable .

avatar geooooooooffrey | 

@ioda

Y avait longtemps qu’on avait pas parlé de Stevounet qui fait la toupie dans son trou

avatar Amaczing | 

@ioda

Pète un bon coup ✊

avatar ioda | 

Désolé, je voulais écrire " le seul capable" , encore un pb de contrôle qualité du correcteur ! ! !

avatar Jinkgo | 

@ioda

Si tu avais fait ton propre contrôle qualité, tu n’aurais pas eu besoin du correcteur orthographique.
Mais, tu as certainement raison, c’est bien plus facile de dire que c’est la faute des autres...

avatar greggorynque | 

Merci macGe de vous emparer de ce sujet TRES important.
Ci dessous un très bon post de blog sur le sujet :

https://framablog.org/2020/11/15/apple-a-pose-le-verrou-final/

J'espère qu'apple va faire une machine arrière, et plus lourdement encore !
Les problèmes ne sont pas QUE pour la vie privée (puisque les données seraient plus anonymes que le laissent entendre certains articles) mais aussi la stupidité globale d'un système qui fait ralentir TOUTES les Macs connectées au Web en cas de pb serveur chez apple.
C'est hallucinant de bêtise !

J'espère qu'il reviendront au système de validation offline une fois l'installation initiale passée avec si il veulent envoi de lots anonymisées sur leur serveurs de manière régulières mais pas d'envoi en temps réel.

EDIT : l'auteur de l'article d'origine qui à servi de support à celui de framasoft à mis de l'eau dans son vin.

avatar reborn | 

@greggorynque

Un PING chez Apple à chaque lancement d'application ? Ils ont fumé quoi ???

C’est faux

avatar greggorynque | 

Ben lisez-donc l'article que j'ai posté au dessus, vous serez sans doute aussi surpris que j'ai été hier en le lisant.

avatar reborn | 

@greggorynque

J’ai lu l’article qui a donné lieu à l’article de framasoft.

J’ai aussi lu l’article de l’autre expert en sécurité.

Des affirmations qui ont été ensuite déconstruites et sérieusement tempérées par l'un de ses pairs, Jacopo Jannone.

avatar greggorynque | 

Sauf à discuter de l'utilisation du terme "ping" pour la demande de notarisation systématique à apple nous avons donc bien lu la même chose ?

Vous n'êtes pas dérangé par cela ?

avatar reborn | 

@greggorynque

Tu te demande pas si ce que tu lis est vrai ?

Tu as lu le second article de l’autre expert ?

Framasoft c’est une bande de fanatiques qui ont basé toute leur analyse sans faire preuve de recul sur l’article du 1er chercheur.

Ça sert leur cause.. tu ne remet pas en cause leur objectivité ?

No, macOS does not send Apple a hash of your apps each time you run them.

https://blog.jacopo.io/en/post/apple-ocsp/

Le lien est dans l’article

avatar greggorynque | 

Alors pour l'objectivité de Framasoft, oui et non. Je les écoute parfois mais souvent avec un peu de distance moi aussi.

Par contre, je n'avais pas vu l'erratum sur l'article initial, effectivement cela relativise un petit peu le sujet, mais pas beaucoup.

Casser à ce point le système de notarisation est hallucinant d'amateurisme et pas très rassurant sur la gestion réelle des problématiques de sécurité et vie privée d'apple, surtout quand on apprend après coup qu'ils ont bien collecté les IP.

(Je vais éditer mon premier post du coup)

avatar reborn | 

@greggorynque

Collecter les IP

Pour toute connexion à un service Apple, Apple obtient l’IP.

Donc qu’ils l’obtiennent dans ce cadre là ou un autre.. (connexion à iCloud, AppStore..)

Il faut aussi voir si concrètement c’est exploitable. Car n’importe quel site/serveur que tu visite peut logger ton adresse iP.

Il est précisé que ces requêtes ne sont pas associé à un Apple ID, et qu’ils s’agit de hash concernant les certificats développeurs.

Le design d’Apple est merdeux, jamais les apps auraient du attendre aussi longtemps les résultats de Gatekeeper pour se lancer.

avatar reborn | 

@greggorynque

C’est ce genre d’article, écrit sans prise de recul, sans recherches objectives qui contribuent aux fake news / théories du complot et autre légende urbaine.

Pour le coup Macg est d’autres ont fait preuve de professionnalisme en évitant de tomber dans le sensationnalisme. Et il y avait pourtant matière à attirer facilement du trafic web/créer la polémique..

avatar hirtrey | 

@reborn

Essayes de bloquer les url ocsp, crl, crl3 et crl4. Ensuite tu essayes d'installer une nouvelle application sur ton mac, ton iPhone ou ton AppleTV. Tu vas avoir une bonne surprise :) Tu possèdes une brique

avatar reborn | 

@hirtrey

Même en ayant désactivé Gatekeeper et SIP ?
J’en doute

avatar hirtrey | 

@reborn

Au lieu de douter fais des tests et reviens avec les conclusions.
Et pour Gatekeeper et SIP, tu me diras comment les déactiver sur iPhone et iOS car moi je ne sais pas faire LOL

avatar reborn | 

@hirtrey

Tu me dira comment installer une application sur l’iPhone, Apple TV sans passer par Apple...

LOL, ou comment enfoncer des portes ouvertes..
Forcement si tu bloque les communications vers Apple ça va être difficile. Surtout pour les appareils ou passer par l’Appstore est obligatoire 😅

Tu essaye de prouver quoi qu’on ne sait pas déja ?

avatar hirtrey | 

@reborn

L’AppStore n’est pas bloqué, c’est que l’installation ou la mise à jour des applications.
Seulement prouver que l’article de Framesoft n’est pas une fakenews. Sans l’accord d’Apple tu ne peux rien faire

avatar reborn | 

@hirtrey

L’AppStore n’est pas bloqué, c’est que l’installation ou la mise à jour des applications.

Alors l’AppStore n’est pas bloqué mais l’installation et les mises à jour des apps sont bloquées.

-Mais l’exécution n’est pas bloqué !
-un iPhone est utilisable sans connexion à internet..

Tu as forcément besoin de te connecter à Apple pour récupérer l’app dans tous les cas..

On est sous iOS et ses dérivés.
L’installation des apps et leurs mises à jour sont des processus critiques vérifié par Apple. Il n’y a rien qu’on ignore. C’est le modèle d’app de tierces parties que l’on connait depuis 2008.

Ici c’est différent du mac, ce n’est pas désactivable, il n’y a aucune surprise.

avatar Gwynpl@ine | 

@greggorynque

Tu écoutes Apple sans réfléchir et Framasoft qui s'intérroge d'un fonctionnement un peu obscure, tu prends de la distance ?

C'est bon pour l'esprit critique ça ^_^

De toute façon, il ne faut pas rêver, c'est pas notre sécurité qui inquiète Apple. C'est un argument marketing, et permet à la marque de garder des clients dans un éco-système fermé et sécurisé dans un deuxième temps. Personnellement, je préfère Apple à Google ou Microsoft, mais faut pas être dupe, ils sont tous dans le même bateau.

avatar Krysten2001 | 

@Gwynpl@ine

Vraiment pas dans le même bateau 😉

avatar Gwynpl@ine | 

@Krysten

Ah oui, Apple c'est mieux ! J'y suis con j'ai oublié que c'était une entreprise à but non lucratif. Sérieux, il faut arrêter, les nouveaux apôtres c'est les marketeux.

avatar Krysten2001 | 

@Gwynpl@ine

Apple ne fait pas de business avec les données personnelles,...😉

avatar vince29 | 

Le lien dit explicitement que si ce n'est pas un hash de l'application c'est un id du certificat.
Et que si cet id n'est pas lié à l'application mais à l'entité signatrice (ex Mozilla vs Thunderbird et Firefox)

Sauf qu'il oublie de dire que si l'éditeur n'édite qu'un seul produit...
En plus tout circule en clair. Donc ocsp leake les éditeurs des (et parfois les) logiciels que tu utilises.

Pas top.

Pages

CONNEXION UTILISATEUR