La sortie de macOS Big Sur ne s’est pas déroulée comme Apple l’espérait, et plusieurs utilisateurs ont rencontré des problèmes de téléchargement et d’installation. Les serveurs d’Apple n’ont pas tenu le coup et cela a causé des problèmes même sur les versions précédentes de macOS, libérant de nombreux doutes sur la sécurité et la protection de la vie privée.
Suite à la sortie de macOS Big Sur, de nombreux utilisateurs de Mac ont commencé à rencontrer des problèmes lors de l’ouverture d’applications lorsqu’ils sont connectés à Internet, même sur macOS Catalina et versions antérieures. La page d’état d’Apple Systems a attribué la situation à des problèmes avec le service Developer ID et en particulier avec les serveurs OCSP.
Peu de temps après, le chercheur en sécurité Jeffrey Paul a partagé un article de blog intitulé « Votre ordinateur n’est pas le vôtre ». Dans celui-ci, il a soulevé des problèmes de confidentialité et de sécurité concernant les Mac qui « communiquent diverses données aux serveurs OCSP d’Apple ». En bref, Paul a déclaré que le trafic OCSP généré par macOS n’est pas chiffré et pourrait potentiellement être vu par les FAI ou même les entités militaires aux États-Unis :
« Dans les versions modernes de macOS, vous ne pouvez pas simplement allumer votre ordinateur, lancer un éditeur de texte ou un lecteur de livre électronique, et écrire ou lire, sans qu’un journal de votre activité ne soit diffusé et stocké. Il s’avère que dans la version actuelle de macOS, le système d’exploitation envoie à Apple un hachage (identifiant unique) de chaque programme que vous exécutez, lorsque vous l’exécutez. Beaucoup de gens ne s’en sont pas rendu compte, car le processus est silencieux et invisible et fonctionne instantanément et gracieusement lorsque vous êtes hors ligne, mais hier, le serveur est devenu très lent et n’a pas atteint l’objectif rapidement, c’est pourquoi les applications de tout le monde les utilisateurs s’ouvraient lentement si une connexion Internet était active.
Étant donné qu’Apple fait cela en utilisant Internet, le serveur voit votre adresse IP, bien sûr, et sait à quelle heure la demande est arrivée. Une adresse IP permet une géolocalisation grossière, au niveau de la ville et au niveau du FAI, et partage un tableau avec les en-têtes suivants : Date, heure, ordinateur, FAI, ville, état, hachage d’application.
Cela signifie qu’Apple sait quand vous êtes chez vous. Lorsque vous êtes au travail. Quelles applications ouvrez-vous dans les différents endroits et à quelle fréquence. Ils savent quand vous ouvrez Premiere chez un ami sur leur Wi-Fi et ils savent quand vous ouvrez le navigateur Tor dans un hôtel lors d’un voyage dans une autre ville.
Les requêtes OCSP ne sont pas cryptées et ce n’est pas seulement Apple qui a accès aux données – ces requêtes sont transmises en clair. Toute personne qui peut voir le réseau peut les voir, y compris votre FAI et toute personne ayant connecté ses câbles. »
Paul a ensuite ajouté que ce système avait probablement été supprimé avec macOS Big Sur.
À la suite de ces allégations, Apple a répondu au problème en mettant à jour son document d’assistance « Safe Open Apps on Mac » et en ajoutant de nouvelles informations sur la protection de la vie privée :
« macOS a été conçu pour protéger les utilisateurs et leurs données tout en respectant la confidentialité.
Gatekeeper effectue des vérifications en ligne pour voir si une application contient des logiciels malveillants connus et si le certificat de signature du développeur a été révoqué. Nous n’avons jamais combiné les données de ces contrôles avec des informations sur les utilisateurs Apple ou leurs appareils. Nous n’utilisons pas les données de ces contrôles pour savoir ce que les utilisateurs individuels démarrent ou font sur leurs appareils.
L’authentification vérifie si l’application contient des logiciels malveillants connus à l’aide d’une connexion cryptée résistante à tout problème côté serveur.
Ces contrôles de sécurité n’ont jamais inclus l’identifiant Apple de l’utilisateur ou l’identité de son appareil. Pour protéger davantage la confidentialité, nous avons cessé de consigner les adresses IP associées aux vérifications de certificat d’ID de développeur et veillerons à ce que toutes les adresses IP collectées soient supprimées des journaux. »
Apple précise que les données spécifiques à l’utilisateur ne sont pas collectées lors du contrôle de sécurité et qu’elle prévoit de supprimer toutes les informations IP des journaux. De plus, la société prévoit d’introduire plusieurs changements dans le système dans les mois à venir :
- Un nouveau protocole chiffré pour les vérifications de révocation des certificats d’ID développeur
- Protections supplémentaires contre les pannes de serveur
- Une nouvelle option pour les utilisateurs qui pourront renoncer à ces protections de sécurité
Et vous, avez-vous toujours des problèmes de mise à jour vers macOS Big Sur ?
