Index des téléchargements d'OS X : retour sur une vieille histoire

Anthony Nelzin-Santos |

Certains s’étonnent qu’OS X conserve un historique de tout ce que vous avez téléchargé. Mais on le sait parfaitement depuis des années : c’est la base du système de quarantaine.



Ce système existe depuis Mac OS X 10.4 Tiger : tous les fichiers téléchargés sont marqués et doivent être vérifiés avant leur ouverture. Les fichiers téléchargés avec Safari, Mail et Messages sont placés en quarantaine et marqués avec des attributs comme la date, l’heure et la source du téléchargement. Les fichiers téléchargés avec les autres applications sont uniquement placés en quarantaine.






Le message « Êtes-vous certain de vouloir l’ouvrir ? » est une manifestation du système de quarantaine : lorsque vous confirmez l’ouverture, le « confinement » est levé.




Il a été amélioré dans Mac OS X 10.6 Snow Leopard avec l’intégration de XProtect, l’anti-malware d’Apple. Lorsque vous ouvrez pour la première fois un fichier en quarantaine, le système vérifie s’il peut contenir des logiciels malveillants répertoriés. Si c’est le cas, vous ne pouvez pas l’ouvrir et donc le sortir du confinement : vous pouvez seulement le placer dans la corbeille.





Ce système n’est cependant pas parfait et peut-être détourné : il est toujours présent dans OS X Mountain Lion, mais il est accompagné par Gatekeeper, qui comble la plupart de ses défauts. Nous avions consacré un long chapitre aux avantages et aux inconvénients de la quarantaine et de Gatekeeper l’été dernier dans notre ouvrage sur les nouveautés de Mountain Lion.



Une partie du système de quarantaine se repose sur un index de tous les fichiers téléchargés. Et par tous, il s’agit bien de tous, y compris si vous utilisez la navigation privée : cette fonction n’agit pas au niveau des applications mais au niveau du système, puisqu’il faut qu’elle soit active même si une application a été compromise.



La présence de ce fichier ne pose pas en elle-même problème : il n’est utilisé que par OS X et n’est pas transmis à un tiers (ni même à Apple). Pour y accéder, il faut donc soit avoir la machine en main, soit exploiter une éventuelle faille du système pour y pénétrer à distance, soit utiliser des mécanismes d'ingénierie sociale pour forcer l’utilisateur à vous donner les clefs de sa machine. Dans tous ces cas, un historique de vos téléchargements sera sans doute le cadet de vos soucis.



On peut sûrement reprocher à Apple de ne pas avoir fait en sorte qu’OS X le purge régulièrement, ne serait-ce que pour déréférencer les fichiers qui ont été supprimés. Il faut néanmoins remarquer que seule l’URL source est conservée, et aucun autre détail. Et que certains ne sont pas opposés à cet index, une astuce populaire consistant à l’exploiter pour retrouver la source d’un téléchargement que l’on aurait supprimé ou que l’on aurait oublié.



Il suffit en effet d’entrer la commande  sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV* 'select LSQuarantineDataURLString from LSQuarantineEvent' dans le Terminal pour le consulter. Si vous voulez organiser les téléchargements par source, utilisez la commande  sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV* 'select LSQuarantineDataURLString from LSQuarantineEvent' | sort. L’affichage peut prendre un certain temps selon l’âge de votre système et donc la taille de la liste.





Quoi qu’il en soit, sachez que vous pouvez purger vous-même cet historique avec la commande  sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV* 'delete from LSQuarantineEvent'. Rien ne vous empêche par exemple d’en faire un service OS X — il suffit de suivre cette astuce en changeant la commande employée.


avatar Anonyme (non vérifié) | 
tiens vous récupérez vos news chez Korben maintenant ?? :-)
avatar joneskind | 
@truiter : Non, ils vont voir chez Korben parce que c'est parfois intéressant. Puis, quand ils y lisent des âneries du genre "bouhhhhh les vilains de chez Apple vous observent... Bouhhhhh pas bien la vie privée..." Ils y répondent. Pour faire 2 poids 2 mesures. Et j'en suis content.
avatar joneskind | 
@truiter : Et puis techniquement, Macgé en a parlé avant Korben dans leur ouvrage. Donc c'est plutôt Korben qui aurai lu le bouquin, décidé d'interpréter ça comme une atteinte à sa vie privée, et MacGé, comme un droit de réponse, rectifie le tir.
avatar Anonyme (non vérifié) | 
@joneskind, c'était même pas un critique en faite :-) , j'ai lu une news similaire chez korben hier ou avant hier c'est tout. après comme tout site de news, faut bien que la source vienne de quelque part ;-)
avatar Anonyme (non vérifié) | 
"Macgé en a parlé avant Korben dans leur ouvrage." ah ok je savais pas.
avatar pecos | 
Korben, le pèpère, c'est le genre de geek technoïde bardé de trucs hitech qui le pistent en permanence par tous ses orifices (hm...), mais dès qu'il s'agit d'apple... c'est une atteinte insupportable à sa vie privée. LOL... Il est sympathique, quand même... disons comme on le disais il y a quelques années "on l'aime bien au village"... Pour revenir à la news, question : si on supprime le fichier "com.apple.LaunchServices.QuarantineEvents" (imaginons qu'on est encore plus parano que Korben...) - est-ce que les trucs téléchargés présents dans ce fichier vont à nouveau afficher une alerte ? - ou au contraire est-ce qu'on les a sortis du circuit et que le système ne les connait plus ? Finalement, dans le deuxième cas, ce serait une bonne idée de faire le ménage de temps en temps. Ceci dit, le mien ne fait que 222 Ko.
avatar terodrel | 
Lol . c'est quoi cette bataille de savoir qui à dit à la maitresse en premier ? Vous êtes lamentable ... Et bien sur qu'apple verrouille tout et flic tout ce qu'il ce passe chez lui, après on l'accepte ou pas .
avatar Tomn | 
En effet, 1,1 Mo alors que je télécharge plutôt souvent et que mon Mac/ma session a au moins 2 ans. Donc pas utile de le vider, utile de le garder.
avatar joneskind | 
@pecos : Korben vit de son site internet qui ne brasse que des Androfans haineux Anti-Apple. Ça fait mousser ses lecteurs. Ils se sentent tellement mieux protégés derrière leurs téléphones Android... Korben n'a pas intérêt à passer à côté d'une "News" (sic) comme celle-là. C'est juste un peu ridicule, mais on va pas lui en vouloir hein, faut bien qu'il bouffe. Fallait voir son article au moment où Free a bloqué les pubs de Google. Le cul entre 2 chaises, le gars qui passe son temps à faire l'apologie du Libre, qui doit tant bien que mal essayer de faire passer que l'informatique doit être gratuite pour tous en sans brevet mais par pitié continuez de cliquer sur mes pubs... Du coup c'est la "neutralité" du Net qui en a pris pour son grade.
avatar jerome74 | 
J'ignore à quoi sert exactement cet historique, mais le fait qu'un fichier est ou non en quarantaine est stocké dans les "extended attributes" dudit fichier (cherchez "xattr quarantine" pour en savoir plus). Cet historique peut donc être effacé sans compromettre le système de quarantaine!
avatar Anthony Nelzin-Santos | 
@pecos : on peut le supprimer sans qu'OS X ne perde ses petits. Mais il sera recréé si ma mémoire est bonne.
avatar pixelmaniac | 
Anecdote à propos... Ce midi j'étais à court de batterie, et quand lion s'est restauré, après l'avoir sorti de son coma, il m'a affiché ça... http://bit.ly/XdtQfi Evidemment j'ai trouvé ça drôle... J'avais déjà vu ça dans les infos (+i) des fichiers téléchargés, mais seulement depuis leo par contre. Pour sûr que ça sert à quelquechose... Prévention je suppose à la base, mais répression future plus que probable :) [EDIT] On peut désactiver la mise en quarentaine des download avec l'excellent secrets.prefpane ou la commande : defaults write /Library/Preferences/com.apple.LaunchServices LSQuarantine -boolean A tester mais j'imagine que du coup ça ne rentre plus dans cet historique des fichiers... http://secrets.blacktree.com/?search=quarantine Par contre faut savoir ce qu'on installe après :) [EDIT2] Non, la commande ne marche pas sur lion pour moi, mais ça se désactive sûrement pas si loin :)
avatar ericb2 | 
truc:~ ericb$ sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV* 'select LSQuarantineDataURLString from LSQuarantineEvent' SQL error: no such table: LSQuarantineEvent truc:~ ericb$ J'ai un vieux 10.4 ...
avatar dtb06 | 
Mais bien sûr... On critique toujours ceux qui tapent sur Apple, mais suivre aveuglément cette boîte sans reconnaître la moindre erreur c'est quand même terrible... Qu'il y ait un système de quarantaine qui garde dans le système tous les sites visités, même si on purge l'historique ça peut se comprendre pour des raisons techniques, mais que ce fichier soit en clair et non chiffré, c'est une aberration ! C'est clairement une erreur de conception et une faille de sécurité.
avatar pecos | 
@dtb06 : arête un peu la fumette, tu veux ? Le fichier en question est dans TON répertoire user, sans aucune possibilité qu'un utilisateur malveillant s'en empare. A moins qu'il soit devant ton écran avec ton mot de passe en main. C'est peut être toi, en fait, qui sait ? Et que je sache, tous les autres fichiers de ton répertoire user, tu ne les chiffre pas tous, non ? Et il ne contient que des urls connues... la belle affaire. Merci, Anthony pour la précision.
avatar clapton22 | 
Comme ericb2, j'ai le même résultat que lui sous 10.6.8. Le script n'est-il bon qu'à partir de 10.7 ?
avatar Fulvio | 
@dtb06 : il n'y pas plus de raison de chiffrer par défaut ce fichier que de chiffrer tes mails, tes documents ou ton historique internet. Il n'est pas plus accessible que ces fichiers, et le chiffrer impliquerait soit de demander le mot de passe à l'utilisateur quand le système en a besoin (chiant), soit d'utiliser celui de la session (rendant le chiffrage inutile). Si tu tiens vraiment à le chiffrer, utilise FileVault, ce qui chiffrera aussi tes mails, tes documents et ton historique.
avatar Domsou | 
@dtb06 : Il vous reste à chiffrer votre disque dur alors. Ça tombe bien, il y a FileVault pour cela. Encore une fois, la plus grosse faille de sécurité c'est l'utilisateur.
avatar Anthony Nelzin-Santos | 
@clapton22 @eric2b : je crois me souvenir qu'il faut enlever le V* sur 10.6.
avatar Orus | 
Comme d'habitudes certains n'ont absolument pas consciences des risques. Vraiment pathétique.
avatar joneskind | 
@Orus : Et tu proposes quoi comme alternative, monsieur "tain personne ne saura jamais que j'ai téléchargé Skype parce que chuis trop balèze ?" Utiliser un autre navigateur, tout simplement ? Utiliser un client Torrent, pour ne pas passer par internet ? Monsieur pathétique a-t il d'autres leçons à nous donner ?
avatar CBi | 
Pour les maniaques du secret: os X conserve aussi, dans un dossier de la bibliothèque très peu discrètement appelé "téléchargement mail" une copie des pièces jointes aux mails que vous avez ouvertes. Horreur: même aprés l'effacement du mail en question, les photos coquines envoyées par le cousin Gaston sont toujours dans votre Mac !
avatar clapton22 | 
J'avais vu qu'en enlevant le V* on arrivait sur le dialogue sql mais la commande suivante ne marche pas. Par contre on peut faire une recherche spotlight pour accéder au fichier puis l'ouvrir via TextEdit, mais bon… Pas simple à décrypter et le jeu en vaut-il la chandelle ?
avatar zoubi2 | 
"metromacgdodo"... C'est mignon!! :) Pour le reste et @orus en particulier: Qu'est-ce que je m'en tape que mon Mac garde une trace de mes téléchargements!!! J'ai passé l'âge de m'en soucier. Je suis peut-être pathétique, mais sûrement ni parano ni arrogant ni prétentieux. Du coup, je reste comme je suis.
avatar yayel2 | 
Attention ! Osx stocke tous vos fichiers personnels dans le répertoire Documents !! Pensez à le vider de temps en temps !

Pages

CONNEXION UTILISATEUR