Apple va corriger et améliorer le système de contrôle des applications dans macOS
Apple a donné des explications sur les difficultés rencontrées par ses serveurs le jour du lancement de macOS Big Sur, et apporté des réponses à un début de polémique sur une possible surveillance de l'activité logicielle de ses utilisateurs.
Le lancement de Big Sur, ce jeudi 12 novembre, s'est avéré laborieux. D'une part, les serveurs d'Apple mettaient un temps infini à transférer la mise à jour vers les utilisateurs, d'autre part le lancement des applications, une fois Big Sur installé, était également considérablement ralenti.
Ces lenteurs excessives pour l'ouverture des logiciels ont été provoquées par une mauvaise configuration du côté des serveurs d'Apple. S'y est ajouté un autre défaut de configuration sur un réseau de serveurs tiers utilisé pour aider à ces volumineux transferts de données.
Les serveurs d'Apple en question sont ceux rattachés à la fonction Gatekeeper de macOS (introduite avec Yosemite) qui a pour mission de vérifier que l'application ouverte par un utilisateur ne contient pas de malwares et que son développeur est toujours agréé par Apple. À l'inverse, si le certificat de ce compte développeur a été révoqué (parce qu'il aurait enfreint des règles d'Apple ou distribué un malware) son application ne peut plus s'exécuter. Ces contrôles ne sont pas réalisés à chaque ouverture mais ponctuellement.
Normalement, si l'utilisateur n'est pas connecté à internet ou qu'un délai de réponse trop long est constaté avec les serveurs d'Apple, Gatekeeper rend la main et l'application s'ouvre. Jeudi dernier, le système s'entêtait à attendre la validation des serveurs. Apple utilise un protocole de communication standard pour effectuer cette vérification : l'OCSP (« Online Certificate Status Protocol »).
La Pomme a également actualisé une fiche d'explications sur Gatekeeper (sa version française n'a pas encore été complétée). Une polémique commençait à enfler, lancée par le chercheur en sécurité Jeffrey Paul. Il affirmait qu'au moyen de Gatekeeper, Apple récupérait votre adresse IP, vérifiait les certificats développeurs et, en croisant tout cela, pouvait grosso modo savoir où vous étiez, quand et quelles applications vous lanciez à ce moment-là. Des affirmations qui ont été ensuite déconstruites et sérieusement tempérées par l'un de ses pairs, Jacopo Jannone. Reste qu'il y avait tout de même des choses à améliorer.
Apple a donc ajouté des précisions sur le volet « vie privée » de ce mécanisme de vérification. Elle explique en premier lieu que ces contrôles à distance « n'ont jamais inclus l'Apple ID de l'utilisateur ni l'identité de ses appareils ». Apple collectait bien les adresses IP mais elle a cessé de le faire et assure qu'elle va purger de ses bases celles déjà stockées.
D'autres changements sont prévus l'année prochaine : l'utilisation d'un protocole chiffré (https) pour ce contrôle du statut d'un certificat de développeur (un chiffrement que l'OCSP n'oblige pas dans sa forme actuelle, de façon à éviter des situations où le client et le serveur tournent en rond dans leur vérifications respectives) ; des protections plus efficaces contre les dysfonctionnements de serveurs et un réglage dans les préférences pour les utilisateurs qui ne veulent pas de ces vérifications occasionnelles (un blocage de ces communications que certains font déjà, avec LittleSnitch par exemple).
Cette "promesse" a déjà été faite à l'époque du passage de Sierra à Hight Sierra ou de l'évolution suivante ( à vérifier !) Donc encore une "promesse Pipo" puisque le celle capable de ce "contrôle qualité" nous a quitté en octobre 2011 ! ! ! ! Pitoyable .
@ioda
Y avait longtemps qu’on avait pas parlé de Stevounet qui fait la toupie dans son trou
@ioda
Pète un bon coup ✊
Désolé, je voulais écrire " le seul capable" , encore un pb de contrôle qualité du correcteur ! ! !
@ioda
Si tu avais fait ton propre contrôle qualité, tu n’aurais pas eu besoin du correcteur orthographique.
Mais, tu as certainement raison, c’est bien plus facile de dire que c’est la faute des autres...
Merci macGe de vous emparer de ce sujet TRES important.
Ci dessous un très bon post de blog sur le sujet :
https://framablog.org/2020/11/15/apple-a-pose-le-verrou-final/
J'espère qu'apple va faire une machine arrière, et plus lourdement encore !
Les problèmes ne sont pas QUE pour la vie privée (puisque les données seraient plus anonymes que le laissent entendre certains articles) mais aussi la stupidité globale d'un système qui fait ralentir TOUTES les Macs connectées au Web en cas de pb serveur chez apple.
C'est hallucinant de bêtise !
J'espère qu'il reviendront au système de validation offline une fois l'installation initiale passée avec si il veulent envoi de lots anonymisées sur leur serveurs de manière régulières mais pas d'envoi en temps réel.
EDIT : l'auteur de l'article d'origine qui à servi de support à celui de framasoft à mis de l'eau dans son vin.
@greggorynque
Un PING chez Apple à chaque lancement d'application ? Ils ont fumé quoi ???
C’est faux
Ben lisez-donc l'article que j'ai posté au dessus, vous serez sans doute aussi surpris que j'ai été hier en le lisant.
@greggorynque
J’ai lu l’article qui a donné lieu à l’article de framasoft.
J’ai aussi lu l’article de l’autre expert en sécurité.
Des affirmations qui ont été ensuite déconstruites et sérieusement tempérées par l'un de ses pairs, Jacopo Jannone.
Sauf à discuter de l'utilisation du terme "ping" pour la demande de notarisation systématique à apple nous avons donc bien lu la même chose ?
Vous n'êtes pas dérangé par cela ?
@greggorynque
Tu te demande pas si ce que tu lis est vrai ?
Tu as lu le second article de l’autre expert ?
Framasoft c’est une bande de fanatiques qui ont basé toute leur analyse sans faire preuve de recul sur l’article du 1er chercheur.
Ça sert leur cause.. tu ne remet pas en cause leur objectivité ?
No, macOS does not send Apple a hash of your apps each time you run them.
https://blog.jacopo.io/en/post/apple-ocsp/
Le lien est dans l’article
Alors pour l'objectivité de Framasoft, oui et non. Je les écoute parfois mais souvent avec un peu de distance moi aussi.
Par contre, je n'avais pas vu l'erratum sur l'article initial, effectivement cela relativise un petit peu le sujet, mais pas beaucoup.
Casser à ce point le système de notarisation est hallucinant d'amateurisme et pas très rassurant sur la gestion réelle des problématiques de sécurité et vie privée d'apple, surtout quand on apprend après coup qu'ils ont bien collecté les IP.
(Je vais éditer mon premier post du coup)
@greggorynque
Collecter les IP
Pour toute connexion à un service Apple, Apple obtient l’IP.
Donc qu’ils l’obtiennent dans ce cadre là ou un autre.. (connexion à iCloud, AppStore..)
Il faut aussi voir si concrètement c’est exploitable. Car n’importe quel site/serveur que tu visite peut logger ton adresse iP.
Il est précisé que ces requêtes ne sont pas associé à un Apple ID, et qu’ils s’agit de hash concernant les certificats développeurs.
Le design d’Apple est merdeux, jamais les apps auraient du attendre aussi longtemps les résultats de Gatekeeper pour se lancer.
@greggorynque
C’est ce genre d’article, écrit sans prise de recul, sans recherches objectives qui contribuent aux fake news / théories du complot et autre légende urbaine.
Pour le coup Macg est d’autres ont fait preuve de professionnalisme en évitant de tomber dans le sensationnalisme. Et il y avait pourtant matière à attirer facilement du trafic web/créer la polémique..
@reborn
Essayes de bloquer les url ocsp, crl, crl3 et crl4. Ensuite tu essayes d'installer une nouvelle application sur ton mac, ton iPhone ou ton AppleTV. Tu vas avoir une bonne surprise :) Tu possèdes une brique
@hirtrey
Même en ayant désactivé Gatekeeper et SIP ?
J’en doute
@reborn
Au lieu de douter fais des tests et reviens avec les conclusions.
Et pour Gatekeeper et SIP, tu me diras comment les déactiver sur iPhone et iOS car moi je ne sais pas faire LOL
@hirtrey
Tu me dira comment installer une application sur l’iPhone, Apple TV sans passer par Apple...
LOL, ou comment enfoncer des portes ouvertes..
Forcement si tu bloque les communications vers Apple ça va être difficile. Surtout pour les appareils ou passer par l’Appstore est obligatoire 😅
Tu essaye de prouver quoi qu’on ne sait pas déja ?
@reborn
L’AppStore n’est pas bloqué, c’est que l’installation ou la mise à jour des applications.
Seulement prouver que l’article de Framesoft n’est pas une fakenews. Sans l’accord d’Apple tu ne peux rien faire
@hirtrey
L’AppStore n’est pas bloqué, c’est que l’installation ou la mise à jour des applications.
Alors l’AppStore n’est pas bloqué mais l’installation et les mises à jour des apps sont bloquées.
-Mais l’exécution n’est pas bloqué !
-un iPhone est utilisable sans connexion à internet..
Tu as forcément besoin de te connecter à Apple pour récupérer l’app dans tous les cas..
On est sous iOS et ses dérivés.
L’installation des apps et leurs mises à jour sont des processus critiques vérifié par Apple. Il n’y a rien qu’on ignore. C’est le modèle d’app de tierces parties que l’on connait depuis 2008.
Ici c’est différent du mac, ce n’est pas désactivable, il n’y a aucune surprise.
@greggorynque
Tu écoutes Apple sans réfléchir et Framasoft qui s'intérroge d'un fonctionnement un peu obscure, tu prends de la distance ?
C'est bon pour l'esprit critique ça ^_^
De toute façon, il ne faut pas rêver, c'est pas notre sécurité qui inquiète Apple. C'est un argument marketing, et permet à la marque de garder des clients dans un éco-système fermé et sécurisé dans un deuxième temps. Personnellement, je préfère Apple à Google ou Microsoft, mais faut pas être dupe, ils sont tous dans le même bateau.
@Gwynpl@ine
Vraiment pas dans le même bateau 😉
@Krysten
Ah oui, Apple c'est mieux ! J'y suis con j'ai oublié que c'était une entreprise à but non lucratif. Sérieux, il faut arrêter, les nouveaux apôtres c'est les marketeux.
@Gwynpl@ine
Apple ne fait pas de business avec les données personnelles,...😉
Le lien dit explicitement que si ce n'est pas un hash de l'application c'est un id du certificat.
Et que si cet id n'est pas lié à l'application mais à l'entité signatrice (ex Mozilla vs Thunderbird et Firefox)
Sauf qu'il oublie de dire que si l'éditeur n'édite qu'un seul produit...
En plus tout circule en clair. Donc ocsp leake les éditeurs des (et parfois les) logiciels que tu utilises.
Pas top.
@vince29
Oui là où c’est gênant c’est que c’est envoyé en clair.
@reborn
Sauf que si j’ai bien compris l’article de MacG, Apple annonce un chiffrement du transfert OCSP pour l’année prochaine.
Bon, après, les promesses…
@greggorynque
C'est bien là le gros point noir du M1: Big Sur et la definition de "sécurité" chez Apple de plus en plus contraignante. C'est clairement dissuasif pour moi qui me refuse à quitter High Sierra.
"Apple collectait bien les adresses IP mais elle a cessé de le faire et assure qu'elle va purger de ses bases celles déjà stockées."
🦄
@pixelmaniac
ca pue le rasoir d’occam
quand la volonté malfaisante est en balance avec d ela simple incompetence, la seconde proposition (la plus simple) est souvent la bonne
@pixelmaniac
Comme tout service mais elle ne l’attribue pas à ton Apple ID,...
« Apple collectait bien les adresses IP mais elle a cessé de le faire et assure qu'elle va purger de ses bases celles déjà stockées. »
Voilà, j’ai envie de les croire mais en lisant ce genre de trucs, plus trop.
Je suis pas de ceux qui crient au loup à chaque fois, mais vu qu’ils se vendent comme des champions de la confidentialité et avec le nombre d’experts dans le domaine qu’ils doivent avoir, c’est pas acceptable. Faire une erreur, ça arrive, mais là ça devient trop récurrent pour qu’il n’y ait pas anguille sous roche.
@Rez2a
wé, qui eut imaginé qu’une societé ayant créé l’ordinateur individuel il y a 45 ans et qui a plus d’une trentaine de systemes d’exploitation à son actif sur 4 generations de proc sorte un Os en version definitive ou il suffit d’ecrire « root » et pas de mot de passe pour avoir les droits absolus sur une machine ?
vous y voyez une volonté malfaisante ? A ce stade ce serait alors
« volonté malfaisante + connerie »
ou « connerie »
perso la reponse la plus simple est celle que je prend: « connerie » :D
@Rez2a
Le fait de collecter les adresses IP est normal dans ce domaine là.
Elle permet de filtrer ceux qui font du DDoS ou ceux qui essayent de faire une multitude d'essais
C'est le cas lorsqu'on se connecte sur des sites web. Tel que LinkedIn, Twitter, Google, etc...
@victoireviclaux
+1
No problem pour la mise à jour sur mon iMac 2017. Toutes mes applis tournent super avec un gain de réactivité (vitesse?) par rapport à l'OS précédent. Chouette design. Pour moi une belle réussite que le Big Sur.
@Papy Mac
vous devez faire une erreur, il y a Apple qui vous epie et toutes vos app qui rament dans une anarchie digne de MadMax vous decourage à un point que vous n’osez accepter la réalité !!!
ou alors on a comme toujours du pipi dans un verre d’eau par plusieurs furieux totalement paranos
@raoolito
dans les deux cas, c'est exagéré.
Votre propos pour rabaisser la critique, et la critique en mode apocalyptique.
encore une fois je remarque qu'il est nécessaire de mettre en place publique pour que les éditeurs/constructeurs subitement réalisent ce qu'il faut faire
et surtout :
"un réglage dans les préférences pour les utilisateurs qui ne veulent pas de ces vérifications occasionnelles"
est l'unique chose qui m'intéresse dans la VIE ! Pouvoir supprimer ces contrôles ("pour mon bien") par le fabricant/éditeur du système de mon usage de l'informatique.
@oomu
Il est aussi possible de ne pas activer Gatekeeper
echo 127.0.0.1 ocsp.apple.com | sudo tee -a /etc/hosts
Respect de la vie privée... jusqu’à ce qu’ils se fassent prendre la main dans le sac, encore.. et encore 😦
@abalem
Vous avez bien lu l’article ??? Avoir l’adresse IP est normale comme sur tout service. On est en 2020 bientôt 2021 quand même 😉
@Krysten2001
Il me semble l’avoir bien lu, en entier en tout cas. Peut-être n’ai je pas pigé un truc mais quand je lis : « Apple collectait bien les adresses IP mais elle a cessé de le faire et assure qu'elle va purger de ses bases celles déjà stockées. » ... je me dis que ce qui est « normal » devient embarrassant lorsque c’est rendu public au point de dire qu’on ne le fera plus.
@abalem
Tout service collecte des IP.
@Krysten2001
Ma remarque reste la même
@Krysten2001
Ben non, tous les services ne collectent pas l'IP... d'ailleurs Apple semble pouvoir se passer de cette collecte, puisqu'ils disent qu'ils vont arrêter de le faire!
Pas grave, on va passer par des VPN pour planquer nos IP.
Ah ben mince ! On me souffle dans l'oreillette que ça ne sert à rien avec macOS Big Sur, les services Apple by-passant un éventuel VPN que configurerait l'utilisateur 🤔
@r e m y
Dites moi quel service n’en collecte pas 🤔🤔🤔
@Krysten2001
Ben... Apple ! Puisqu'ils disent qu'ils collectaient les adresses IP mais qu'il ont arrêté de le faire!
https://media0.giphy.com/media/sqrnGQaxT7C3m/giphy.gif?cid=4d1e4f295xk88...
Pages