Le lancement de Big Sur n’est décidément pas de tout repos. Apple a déjà reconnu ses torts sur le contrôle du lancement des applications tierces. Ces dernières sont en outre soumises à de nouvelles limitations… auxquelles les applications maison peuvent échapper. Le problème, soulevé pendant la bêta, n’a pas été corrigé.
Mais que se passe-t-il avec Big Sur ? Apple n’a de cesse de parler de sécurité, mais le message devient moins net quand la communication se heurte à la pratique.
On a déjà vu récemment comment des applications tierces avaient été dans l’incapacité de se lancer à cause d’un problème interne avec certains serveurs de l’entreprise. Ils étaient en charge de vérifier l’authenticité des certificats des développeurs via OCSP. Ne répondant pas aux requêtes, ils ont laissé les applications dans un état imprévu. Le problème a duré moins d’une heure, mais a été particulièrement visible et a largement attiré l’attention.
Apple a fait amende honorable. Reconnaissant que les adresses IP étaient collectées et que les échanges étaient de plus non chiffrés, elle a annoncé la suppression de ces informations et a promis une connexion sécurisée, ainsi que d’autres efforts. Des promesses à vérifier, car le chiffrement ne sera mis en place que dans le courant de l’année prochaine.
L’attention se tourne désormais vers un autre problème, lié à la disparition des anciennes extensions du noyau. Or, la solution de remplacement impose certaines limites… qu'outrepassent les propres applications d’Apple, avec un comportement que certains chercheurs pointent comme une possible porte d’entrée aux malwares. Explications.
L’adieu aux kexts
Le système d’Apple proposait depuis très longtemps des extensions au noyau nommées kexts, contraction de « kernel extensions ». Elles permettaient l’accès à des fonctions de très bas niveau. Ce que l’entreprise n’a plus voulu il y a quelques années.
Pour High Sierra, premier serrage de vis : les kernel extensions étaient bloquées par défaut. Ce qui supposait que l’on pouvait donc les réactiver. Des applications comme Little Snitch avaient besoin de cette manipulation pour être pleinement fonctionnelles. Avec Catalina, Apple a proposé sa solution de remplacement : DriverKit. Comme Microsoft plusieurs années avant, l’éditeur souhaitait que les développements se fassent en espace utilisateur, et non plus en espace noyau.
Le choix est légitime d’un point de vue sécurité : un processus ayant accès au noyau a des privilèges nettement supérieurs à un autre en espace utilisateur, où les règles très strictes l’empêchent normalement de faire des dégâts trop sérieux. D’un point de vue purement fonctionnel en revanche, il s’agissait d’une perte sèche, car DriverKit n’offrait pas les mêmes capacités. Et il fallait faire avec, car Apple l’avait annoncé, Big Sur interdirait purement et simplement les kexts.
Maintenant que le système est là, les applications doivent faire avec.
Un sérieux problème découvert il y a un mois et demi
Objective Development, société éditrice de Little Snitch, a cependant découvert un sérieux souci pendant la bêta de Big Sur, comme elle l'explique dans un billet publié mardi.
Les pare-feux et VPN, notamment, avaient l’obligation désormais de passer par le Network Extension Framework, conçu avec DriverKit et devant donc permettre à ce type d’applications de continuer à fonctionner, mais en espace utilisateur. Une API spécifique était disponible pour les filtres. Or, l’entreprise a découvert que des services Apple contournaient ce mécanisme.
Le 1er juillet, Objective Development a fait remonter le bug à Apple : le processus de téléchargement des mises à jour échappait aux règles édictées par le pare-feu. Trois mois plus tard, il fallait se rendre à l’évidence : il ne s’agissait pas d’un processus isolé. Ainsi, l’App Store, Maps ou encore FaceTime avaient le même comportement. En tout, 56 applications, constituant une liste qui n’a depuis de cesse de faire parler d’elle. Ces trouvailles ont été à nouveau communiquées à Apple, le 1er octobre.
Objective Development ne remet pas en cause l’idée que certains processus soient essentiels à la sécurité de la machine. « Mais cacher ces connexions complètement à l’utilisateur n’a aucun sens. Cela contredit l’idée de transparence et d’un système digne de confiance, et affaiblit la confiance de l’utilisateur en ce système », pointe l’entreprise.
Comme nous l’avions souligné pour les mécanismes de sécurité liés à OCSP, Objective Development pointe l’importance cruciale du choix. Dans son Little Snitch, l’utilisateur est libre par exemple de bloquer toutes les connexions, au point de rendre la machine inutilisable en réseau, local ou Internet. Cette liberté est accompagnée de messages d’avertissement, de règles par défaut et d’autres mécanismes pour que le choix soit aussi éclairé que possible. Apple a même annoncé que les utilisateurs pourraient dans le courant de l’année prochaine désactiver la vérification des certificats.
Le risque d’un comportement détourné par les malwares
La question qui se pose maintenant est de savoir si ces droits octroyés aux applications et services internes pourraient être détournés par du code malveillant.
On s’étonne qu’Apple, d’ordinaire vigilante, ne se soit pas posé la question plus tôt, ou du moins n’ait pas choisi d’en parler. La firme est la première à s’insurger quand on lui demande de percer des portes dérobées dans ses propres défenses, comme elle l’avait fait face au FBI après la tuerie de San Bernardino.
Plusieurs chercheurs en sécurité se sont emparés de la question, notamment Patrick Wardle. Il y a quelques jours, il tweetait ainsi sur le sujet, se demandant si ce passe-droit pouvait être utilisé par un malware pour exécuter son code en passant inaperçu. La réponse est oui.
D’après ses propres tests, captures à l’appui, il a montré qu’un processus pouvait récupérer un niveau semblable de privilège, tout en échappant au pare-feu. Une conséquence logique, puisque les 56 applications de la fameuse liste ont une activité qui ne peut être bloquée par les applications tierces. Un autre chercheur, Wojciech Reguła, est arrivé aux mêmes conclusions, lui aussi expliquant que la manipulation était aisée.
Apple aurait reconnu qu’il s’agissait d’un « bug »
On entre maintenant dans une zone mystérieuse. Plusieurs chercheurs ont vu passer un message expliquant qu’Apple aurait reconnu qu’il s’agirait d’un bug. Les tweets en question ont depuis été effacés. Reste des réponses à un certain Russ Bishop, dont le compte Twitter est privé et montre une pomme dans la « bio ». Or, on trouve très facilement sur LinkedIn un Russell Bishop, ingénieur chez Apple depuis juillet 2016. L'employé en a peut-être trop dit, avant de se rétracter.
Le consensus parmi les chercheurs semble être qu'Apple va donc réagir. Mais ils se posent également la question : comment pourrait-il s’agir d’un bug ? Le fonctionnement de cette liste d’applications repose très clairement sur un mécanisme d’exclusion. En clair, elles échappent volontairement à un processus auquel sont soumis les éditeurs tiers. D’autant plus que ce « bug » a été signalé à plusieurs reprises il y a plus d'un mois.
Qu’Apple réagisse devant la tempête semble acquis : la société ne peut laisser cette situation perdurer, surtout avec une communication axée sur la sécurité et la vie privée. Le problème est bien pire qu’avec la vérification des certificats via OCSP, car la liste d’exclusions peut être détournée par des logiciels malveillants, avec les conséquences que l’on imagine.
On attend donc une réaction officielle d’Apple, qui n’a pour l’instant répondu à aucune requête de la presse américaine. La situation mérite une explication, et même si l’entreprise s’en sort avec une pirouette en insistant sur l’idée de « bug », les communications des applications internes doivent revenir à leur état antérieur : vérifiables et blocables par les pare-feux.
Commentaires (41)
#1
Bon ben je suis content d’être sur ma Debian. Au moins pas de porte dérobée installée par défaut avec. ;-)
#2
Les grandes entreprises de la tech travaillent pour vous. Pour une fois le “ce n’est pas un bug c’est une feature” ne marche pas.
#2.1
” We’re Only in It for the Money. “
#3
Même plus besoin de configurer de split tunneling dans le VPN
#4
L’article se penche sur la relation entre les applications Apple et le pare-feux. Mais il n’est pas vraiment expliqué la relation entre ces mêmes applications et un VPN (il n’y a qu’à chercher VPN dans le texte de l’article).
Concrètement, de quoi s’agit-il ? Imaginons que l’IP de mon FAI = “toto” et que ProtonVPN, NordVPN (ou autre) me fournisse une IP = “dummy”. Puis, l’application Plans se connecte aux serveurs d’Apple. Est-on en train de dire que côté Apple, ils verront une connexion entrante depuis l’IP “toto” au lieu de l’IP “dummy” ? Est-ce de cela dont il s’agit ? L’article ne le dit pas.
Merci.
#5
C’est ce que j’ai compris pour ma part. Les applications Apple n’utilisent pas le VPN et sortent directement sur Internet.
#5.1
Si c’est bien ça, effectivement c’est pas acceptable.
#6
L’employer doit être en train de nager parmi les poissons, avec des Mac Intel attachés aux chevilles
#7
si c’est les derniers Mac Pro, il est pas près de remonter à la surface
#8
Ça dépend, avec ou sans les roulettes ?
Pour le reste, je pense que je vais attendre avant de passer à Big Sur, étant utilisateur de Little Snitch et également du VPN de mon taf (Pulse Secure, que je te hais)…
J’ai l’avantage de ne pas avoir un Mac officiellement compatible (de 2012, des patch existent), donc il ne m’enquiquinera pas à vouloir passer à cette version ! Ce qui est marrant, c’est qu’il veut que je fasse la mise à jour de GarageBand, mais il me dit ensuite que c’est uniquement compatible Big Sur… Au point leur système
#9
Je n’ai pas trouvé pourquoi ce drôle de nom “Big Sur” ? à chaque fois, ça me donne une envie d’hamburger de chez McDo
Et “Sur”, avec mon accent franglais, ça me fait penser à Sour, ce qui n’est pas non plus une bonne idée de nom
#9.1
https://fr.wikipedia.org/wiki/Big_Sur
C’est dans la lignée des noms précédents : une région de Californie
#10
Les deux ont besoin d’intercepter le paquet IP, quoi qu’elles en fassent après.
Du coup, elles ont le même problème pour fonctionner: elles ne peuvent pas l’intercepter d’après leur bug.
#11
Comme d’habitude, et depuis fort longtemps, ce nouvel OS de chez Apple est plein de bogues et/ou fonctionnalités (?) foireuses.
Je ne condamne pas l’évolution et le progrès en soit, mais le manque évident de sérieux dans le contrôle qualité avant mise en production.
Je comprends bien que les développeurs d’Apple soient sous contrainte temporelle avant la sortie effective sur le marché d’un nouvel OS, mais ça ne fait pas très sérieux de la part d’une entreprise qui se targue d’être au summum de l’état de l’art en matière d’informatique. Et je ne parle pas du message fortement négatif que renvoie l’entreprise vers ses utilisateurs ou inconditionnels.
Comme à l’accoutumée, il est donc urgent d’attendre la version .01 ou même .02 de Big Sur pour avoir un système à peu près fiable et stable … Et c’est bien dommage !
#12
Faire confiance à un OS et un logiciel VPN pour un VPN., c’est idiot. Si quelqu’un veut un VPN, il doit avoir une machine dédiée au VPN.
Sinon, il faut:
Là, ce n’est pas un bug, on peut s’attendre à ce que l’espace utilisateur ne puisse pas modifier le comportement du système complet: un utilisateur peu monter son VPN et un autre utilisateur de la machine monter le sien (en même temps).
#12.1
Oui je me faisais un peu la même remarque.
#12.2
Et sur ta machine dédiée au VPN, tu n’es pas aussi obligé de faire confiance à tout ça ?
#13
S’il n’est pas trop manchot, il devrait pouvoir s’en sortir
#14
Et donc l’employé qui télétravaille sur un mac, il fait quoi concrètement ?
#15
Oui, mais mon activité est sur d’autres machines dans ce cas et dans ce cas je suis sûr que la confidentialité des échanges : la sécurité/confidentialité du VPN n’est pas remise en cause, simplement l’activité qu’on a sur un machine qui exécute un VPN peut passer hors VPN.
#16
Quand on télétravaille, le VPN est généralement ciblé:
Donc il fait comme tout le monde et comme avant. Ca n’est pas compromis, la situation n’a pas changé dans ce cas (et c’est la même quelque soit l’OS y compris Linux)
#17
Quoi ? BUG sure n’est pas transparent ? Mais quelle surprise ? Comme ont-ils pu tromper votre vigilance ?
Moi j’aimerais savoir si BUG Sure apporte (enfin) l’écriture sur NTFS en natif. Parce que payer 2000€ des machines qui ont 15 ans de retard côté support, 10 ans de retard côté interface, et qui vous enferment dans une niche comme un toutou docile, ce n’est plus de l’inconscience ou de la bêtise : c’est du masochisme pur et simple.
Mais c’est bien à l’image de l’époque : consommer par paresse, parce qu’on refuse d’apprendre les bases de l’informatique, et qu’on préfère mater netflix sur smartphone en 5G.
PS : j’aimerais aussi savoir si la lenteur des vieux mac est “provoquée” (comme cela a été le cas pour les iphone en baissant la fréquence dans le dos des usagers) ou naturelle. Parce que quand je vois un mac en i5 avec 16Go de RAM, aussi lent qu’un P4 avec 512Mo, je dis ouvertement que quelqu’un se fout de la gueule d’autrui. Je précise avoir vérifié évidemment la liste des processus, et que même au “repos”, ça reste une cata, alors que la charge processeur est minimale.
Bref, c’est bien beau les lois sur l’obsolescence programmée. Mais on fait quoi si on ne peut pas prouver indéniablement que le fabricant se fout de votre gueule ?
C’est juste une question…
#18
Bonjour à tous,
Contrairement à la plupart d’entre vous, je suis un utilisateur lambda, et suis consterné par les pratiques des trois OS orientés grand public.
Je serais bien passé à Linux pour éviter le siphonage de mes données (malgré les extensions), mais ce système est trop compliqué pour moi.
Auriez-vous des suggestions ou des conseils pour, sinon supprimer, du moins limiter au maximum la captation de ma data?
Bonne journée :)
#19
C’est quoi les 3 OS orientés grand public ? Je vois bien Windows et MacOS mais quel est le troisième ?
Concernant Linux, la partie la plus compliqué est l’installation (comme un Windows si tu n’achètes pas un PC avec Windows pré-installé). L’utilisation de Linux, si tu as juste des besoins lambda (bureautique, navigation internet, mail) n’est guère plus compliqué que si tu passes de Windows à Mac.
Après, comme pour tout nouvel environnement il faut un temps d’adaptation. Mais il existe beaucoup de distribution Linux pour utilisateur Lambda (à commencer par Ubuntu).
#19.1
l’installation de linux compliquée ?
sur un ordi avec des composants qui viennent de sortir à la rigueur, mais si les composants ont 6 mois ou plus c’est quand même rare d’avoir des problèmes.
si c’est pour une machine qui date de 2019 ou avant, ubuntu lts 20.04 n’aura aucun problème à s’installer, il suffit de suivre la procédure du site pour se faire une clef usb bootable (ou un dvd peu importe), ensuite booter sur la clef (là ça peut dépendre des bios/uefi c’est peut-être pas la même manip partout) et ensuite de laisser faire et répondre aux 3 questions (langue/fuseau horaire, clavier, nom du compte qui sera “root” …) et c’est fini
je parle d’ubuntu car c’est l’une des plus connue pour être “user friendly” qui se débrouille bien pour récupérer les pilotes même “non libres” (ce qui est moins confortable sur une debian)
Marc si tu veux de l’aide un peu plus pointue que mon commentaire pour une install, je pense que tu aura plein de réponses sur le forum d’impact hardware (et tu pourra y décrire tes besoins plus en détail ;) )
#19.2
Il faut arrêter de penser que n’importe qui est capable d’installer un OS sans galérer. Installer un OS est compliqué.
La majorité de mes collègues et connaissances seraient incapables d’installer ubuntu sans galérer, même avec un tuto, alors qu’ils savent tous utiliser un PC. Y a beaucoup trop d’informations nouvelles (partitions, transfert de données, double boot, uefi/bios,…) à devoir gérer pour un néophyte pour que soit simple à réaliser.
C’est faisable pour un néophyte, mais la plupart vont galérer.
#20
Bah pour ça t’es obligé de faire confiance dans la machine dédiée.
Qu’est-ce qui te dis qu’elle ne fuite pas des choses sur Internet directement elle aussi ?
(Ou alors, j’ai peut-être mal compris et ce que tu proposes, c’est d’avoir une machine pour faire du VPN et d’autres pas de VPN du tout ?)
#20.1
je pense que ce qu’il veut dire, c’est que si on a un vpn “matériel” (un truc dédié quoi) TOUT ce qui va arriver sur un de ses port réseau va se faire “vpn-iser” de l’autre coté, il pourra pas y avoir une appli sur l’ordi qui utilise le vpn qui passe outre
y’aura pas de filtrage “toi t’es l’appli A, tu passe par le vpn, toit t’es l’appli B, ok tu passe sans vpn”
(c’est comme ça que je comprend son message en tout cas)
edit : grillé
#21
L’implémentation d’un VPN est relativement simple: une carté réseau/un filtre réseau dédié, et une config de l’OS pour que certains flux réseaux passent par le VPN.
Si certains flux réseaux de l’OS ne passent par ce VPN parce que le système est “en dessous” de la couche laissée aux VPN, cela laisse la porte à d’autres services. Donc si tu utilises ces services précisément, tu ne passes pas par le VPN.
Si tu fais une machine dédiée au VPN avec ton implémentation VPN en laquelle tu crois, et que tu n’utilises rien d’autre sur cette machine dédié, aucun problème ne se pose.
Apple n’est pas nouveau dans le “je fais le réseau comme ça me chante” - Apple en entreprise, c’est une plaie. Ils font ce qu’ils veulent, sans se soucier des proxy notamment ou des protocoles standards.
#22
Les OS ne font pas de siphonage des données. En tout cas, aucun rapport si on compare à ce que peuvent faire les fournisseurs de mails, les sites liés à de la pub, et les sites qui exploitent les cookies. Sans parler de ce qu’on laisse de nous sur les forums, facebook, twitter, …
Linux ne sers à rien pour se protéger du “siphonage de données”, c’est les pratiques qu’on a qui font la majorité du boulot.
#22.1
Faux !
Linux n’envoie pas des informations de «télémétrie» par défaut sans que l’utilisateur puisse s’y opposer.
#23
tabt qu’on oublie pas de cocher la case au démarrage d’ubuntu ou autre c’est assez vrai
#24
marrant que les boite IT veulent supprimer des pan entier de code dans le noyau et empecher de le faire alors que sous linux, c’est un peu plus cool, voir l’inverse de la politique comme l’integration de wireguard au noyau vu recement ou l’ajout d’outil pour bien verifier que c’est pas un module malveillant qui se pointe.
#25
Il veut sans doute parler d’Android.
#26
Enfin y a pas grand chose dans ces données comparé à ce qu’il y a dans nos recherches google, notre utilisation de facebook et autres.
La télémétrie remonte surtout la config, les infos sur les applis qui plantent, les alertes signalées de l’antivirus.
Se mettre en connexion limitée empêche la télémétrie de remonter d’ailleurs.
Et de toutes façon, j’active la télémétrie sur linux, dès fois que quelqu’un analyse réellement l’utilisation des packages. Mais je n’y crois même pas.
Et si je peux comprendre qu’on face confiance à Linux (le noyau), je ne comprends pas que l’on fasse plus confiance à un PC avec une distro Linux (donc des milliers de potentielles mauvaises volonté…) qu’à un PC sous Windows /MacOS (une seule politique + les quelques logiciels installés).
Je crains plus les “CCleaner”, les antivirus gratuits, les aggrégateurs de réseau sociaux que Windows lui-même.
#27
Chacun ses capacités de compréhension, pour moi les distributions Linux «majeurs» se font avec justement les bonnes volonté, c’est souvent du bénévolat.
À l’inverse on trouvera plus de «mauvaise volonté» du côté des millierss de salarié d’une énorme boîte pour qui l’éthique est juste un mot marketing à destination des neuneus.
Qu’il faille avoir plus de crainte de tout ce que tu décris que de Windows se comprends, mais il faut voir que cela est souvent inutile sous Linux.
#28
Je distingue bien le noyau Linux des outils qu’on peut y mettre. Le noyau a tout un processus de revue qui fait que le code est lu normalement par plus d’un personne.
Les grandes distro font une revue des principaux logiciels, pas de toute leur bibliothèque.
Ce n’est absolument pas le cas d’autres projets. Et je passe les outils bancals, les scripts mal fichus glânés sur le net qui sont parfois utilisés directement en prod sans vérification, se retrouvent dans des procédures d’install de logiciels opensource (perso: kettle) et qui se lancent en root ET modifient des droits ou créent des utilisateurs quasi root juste pour eux…
Opensource est différent de digne de confiance.
Hidden backdoors are here to stay
Celle-ci était plus que suspecte
Celle-ci encore pire et avait plusieurs années
#28.1
Du coup tu parles d’outils en dehors des dépôts des distributions, faut pas s’étonner si effectivement ils font des trucs a l’arrache.
Maintenant perso j’ai pas vu de package intégré dans debian qui tourne en root sans bonne raison de le faire.
Comme dit plus haut, les packages sont gérés souvent par des volontaires qui sont là pour le bien de leur distrib, par pour se faire du fric en planquant des mouchards. Sous windows, exécuter des binaires que personne peut contrôler, perso j’ai nettement moins confiance. Après chacun son avis.
#29
Disons que je ne donne pas une confiance aveugle à l’opensource. Tout comme sous Windows je n’utilise que très peu d’installers, j’utilise plutôt des logiciels distribués en zip.
Et surtout, je tiens à souligner que les fuites les plus grosses font rarement partie du système, plutôt des logiciels tiers.
Ce type de situation n’est pas nouveau, à l’époque de XP les firewall tiers ne pouvaient pas fonctionner avant que certaines parties du système - dont le réseau - avaient démarré,
Faire confiance à un package VPN qu’on installe sur le système nécessite aussi de savoir comment le système fonctionne, ainsi que le VPN - pour savoir ce qu’il protège. Dans la logique actuelle des SNAP et autres conteneurs, il devient difficile d’être assez bas dans le système pour faire un VPN ou un firewall sans services du noyau.
#30
oui, bon, je vais donc préciser/nuancer mon propos :
pour faire une install vide sans rien garder (pas de dual boot, pas de transfert de données) ajuster la langue et laisser le reste par défaut (pour le partitionnement du système par exemple) reste simple et fonctionne très bien (ni plus ni moins compliqué que windows en tout cas)
multiboot c’est effectivement pas une notion évidente pour un néophyte.
la migration de données est toujours une galère, que ce soit d’un ancien pc windows vers un nouveau toujours sous windows, ou d’un pc windows vers une install fraîche de linux
si on utilise des “synchro cloud” du genre les favoris de chrome, bah que le système cible soit windows ou linux une fois reconnecté à chrome on récupère tout de la même manière, c’est ni plus ni moins compliqué
#30.1
On est d’accord, une installation sur un PC neuf (ou sur lequel on va tout écraser) avec toutes les options par défaut, c’est effectivement à la portée d’un néophyte.