Voir la mise à jour en fin de billet avant de diffuser l’information (en gros, Apple fait marche arrière). Sinon, lire Les utilisateurs de macOS Big Sur pistés par Apple ? Ce n’est pas aussi simple…
Je découvre avec stupéfaction qu’Apple surveille les utilisateurs de Mac.
En effet, MacOS envoie silencieusement à Apple une empreinte (un identifiant) pour chaque logiciel que vous utilisez(mise à jour : c’est en fait un identifiant du développeur qui a fait le logiciel, pas le logiciel lui-même[1]). Cela fait plusieurs mois que cela dure. Il était possible de modifier ce comportement si on allait bidouiller dans le système mais visiblement, avec MacOS Big Sur (la nouvelle version qui vient de sortir), cela va devenir impossible à désactiver. Ah, et les nouveaux Mac ne fonctionne qu’avec Big Sur…
Bien sûr, l”excuse invoquée est la sécurité via la lutte contre les malware. Je ne nie pas que cela puisse avoir un intérêt pour les béotiens, mais cela doit être transparent et désactivable pour qui le souhaite.
Qu’est-ce que cela signifie ?
- À chaque fois qu’on lance une application sur un Mac, Apple récupère la date et l’heure, l’identifiant du développeur, l’adresse IP de l’ordinateur ;
- Cette information transite en clair sur le réseau, ce qui veut dire que des personnes mal intentionnées peuvent la récupérer
- Ces personnes, Apple en tête, savent qui a fait les logiciels que vous faites tourner sur votre ordinateur, y compris des logiciels sensibles comme par exemple Tor Browser.
De façon générale, c’est très inquiétant car les ordinateurs personnels, depuis leurs débuts, sont des general purpose computers, des outils sur lesquels on peut faire tourner les logiciels que l’on veut, quitte à les écrire soi-même. Avec un tel système, l’ordinateur se retourne contre son propriétaire.
Pour Apple, qui prétend respecter la vie privée, ça l’est encore plus. Alors Apple, on corrige le tir ou on retire sa page sur la confidentialité et on se met à copier Google ? On joue la transparence ou on enfume ses clients ? On permet de désactiver la fonctionnalité ou on force les utilisateurs (quitte à se prendre un shitstorm) ?
Mise à jour du 16/11/2020 08:30 :
Après publication de ce billet de blog et la levée de boucliers sur les blogs et réseaux sociaux, Apple vient de mettre à jour cette nuit son article Safely open apps on your Mac avec les modifications que j’attendais (merci Floflo530 pour l’info). On notera que l’essentiel est à ce jour une promesse dont il faudra vérifier qu’elle est tenue à l’avenir :
To further protect privacy, we have stopped logging IP addresses associated with Developer ID certificate checks, and we will ensure that any collected IP addresses are removed from logs.
In addition, over the the next year we will introduce several changes to our security checks:
- A new encrypted protocol for Developer ID certificate revocation checks
- Strong protections against server failure
- A new preference for users to opt out of these security protections
8 réactions
1 De Diogène - 15/11/2020, 18:43
"Je découvre avec stupéfaction qu’Apple surveille les utilisateurs de Mac."
Sainte naïveté !
2 De Felisse - 15/11/2020, 22:27
Bonsoir,
Aussi une petite précision sur le fait que les données soient envoyées en clair: c'est pour éviter une boucle infinie, du type:
- Moi, macOS, j'ai un certificat à vérifier,
- Je contacte le service OCSP pour le vérifier, en HTTPs, qui nécessite lui-même un (autre) certificat
- Je lance une autre demande au service OCSP en parallèle pour vérifier ce nouveau certificat, en HTTPs, avec encore un certificat, etc....
- et ainsi de suite
Merci!
3 De Julien Wilhelm - 16/11/2020, 09:39
On parle de sécurité, mais l'utilisateur est en majeure partie responsable des vulnérabilités de son système, tel qu'il soit. Ne conviendrait-il pas mieux de former les gens à l'usage du Numérique et de les faire gagner en autonomie sur ces sujets d'avenir plutôt que de les priver, petit à petit et à leur insu, des libertés fondamentales qui sont les leurs ?
4 De Tiptop - 16/11/2020, 11:45
lol la réaction d’Apple.
L’année prochaine on va modifier tout cela en mieux.
On les croient ou ils vont nous le mettre en plus profond ? (Désolé c’est cru)
5 De Mathias Poujol-Rost - 16/11/2020, 13:32
Le problème d'un système « respectueux de la vie privée » qui se met soudainement à t'espionner, c'est quand il est fermé à double tour…
6 De barijaona - 16/11/2020, 14:07
Apple a répondu à Apollo 13 ????, en rajoutant en bas de la page décrivant Gatekeeper https://support.apple.com/en-us/HT2... :
7 De Rakou - 17/11/2020, 09:38
Bonjour Tristan, pas encore prêt pour passer sur un Linux ?
Bonne journée !
8 De jfd - 17/11/2020, 11:04
@ De Felisse -
c'est pour éviter une boucle infinie...
non !! votre démo est biaisée
Quand, vous contactez un domaine, en https, tout est chiffré et vous n'avez pas de boucle, pourquoi, le domaine oscp.apple.com serait incapable de faire pareil?
Et même si c'était impossible :
- Moi, macOS, je suis en cours d'installation et de création des comptes utilisateurs, mots de passes etc, je communique déjà avec apple (téléchargements...)
j'en profite pour pour obtenir ma clé de chiffrement OCSP et je finis mon instal
en exploit, je vérifie mes certificats en chiffrant mes communications
Et même si c'est en clair:
entre le risque d'une seule communication en clair à l'instal pour obtenir la clé et le risque permanent de multiples communications en clair que préférez vous ??
Clt