AccueilActualités informatiquemacOS : les apps continuent de téléphoner à la maison

macOS : les apps continuent de téléphoner à la maison

Il y a un peu plus d’un an et demi, une simple erreur de serveur chez Apple a provoqué la paralysie de nombreux Macs dans le monde entier. Il a été révélé à cette occasion que les applications macOS interrogeaient étonnamment souvent un serveur de certificats pour empêcher l’exécution de logiciels malveillants – et ce de manière non cryptée. Apple a toujours souligné que la vérification ne contenait ni l’identifiant Apple de l’utilisateur ni « l’identité de votre appareil » – mais que les adresses IP arrivaient. Après l’émergence de critiques, le groupe a promis de procéder à des modifications afin que le problème ne se reproduise plus – et voulait également mettre en place une possibilité de désactivation.

Sommaire

Depuis, Apple n’a toutefois pas précisé quelles mesures promises avaient été effectivement mises en œuvre. Et : un bouton de désactivation pour l’interrogation du serveur OCSP (Online Certificate Status Protocol) manque toujours dans la dernière version macOS Monterey. Le développeur et auteur Mac i Howard Oakley, qui suit le sujet depuis le début, considère qu’il y a toujours un problème de protection des données. Mais Apple a tout de même apporté quelques améliorations.

Auparavant, le certificat était demandé à chaque ouverture d’une application. Comme OCSP n’était pas crypté, il était possible qu’une personne se trouvant sur le même réseau ou sur le chemin du serveur d’Apple puisse voir quelles applications l’utilisateur exécutait. Selon les tests d’Oakley, OCSP fonctionne désormais via TLS/HTTPS et non plus via HTTP pur et non crypté comme auparavant. On ne sait pas si cela s’applique également aux anciennes versions de macOS ou seulement à Monterey.

Le développeur Jeff Johnson a également découvert qu’Apple avait amélioré la mise en cache des certificats. Au lieu d’être supprimés au bout de cinq minutes, ils le sont désormais au bout de 12 heures. Cela signifie qu’il n’y a plus de demande à chaque ouverture d’une application si celle-ci a déjà été ouverte une demi-journée. Dans la pratique, il y a tout de même encore des demandes quotidiennes – ce qui devrait toutefois être judicieux en termes de protection contre les logiciels malveillants.

La dernière promesse d’Apple, un nouveau réglage du système permettant de se débarrasser complètement des contrôles OCSP, n’a pas encore été mise en œuvre. Jusqu’à présent, on ne peut donc qu’essayer de bloquer les requêtes. Oakley a expliqué comment faire dans son blog.

Plus d'articles