C’est ici. C’est arrivé. Vous avez remarqué ?
Je parle, bien sûr, du monde que Richard Stallman a prédit en 1997. Celui dont Cory Doctorow nous a également mis en garde.
Sur les versions modernes de macOS, vous ne pouvez tout simplement pas allumer votre ordinateur, lancer un éditeur de texte, un lecteur de livres électroniques, écrire ou lire sans qu’un journal de votre activité soit transmis et stocké.
Il s’avère que dans la version actuelle de macOS, le système d’exploitation envoie à Apple un hachage (identifiant unique) de chaque programme que vous exécutez, lorsque vous l’exécutez. Beaucoup de gens ne s’en sont pas rendu compte, car c’est silencieux, invisible et ça échoue instantanément et élégamment lorsque vous êtes hors ligne, mais aujourd’hui le serveur est devenu vraiment lent ce qui n’a pas permis d’atteindre le chemin de code rapide, et les applications de tout le monde ont échoué à s’ouvrir si elles étaient connectées à Internet.
Comme cela utilise internet, le serveur voit votre adresse IP, bien sûr, et sait à quelle heure la demande est arrivée. Une adresse IP permet une géolocalisation grossière, au niveau de la ville ainsi qu’au niveau du fournisseur d’accès, et permet d’obtenir un tableau qui comporte les rubriques suivantes :
Date, heure, ordinateur, FAI, ville, état, hachage d'application
Apple (ou n’importe qui d’autre) peut, bien sûr, calculer ces hachages pour des programmes courants : tout ce qui se trouve dans l’App Store, le Creative Cloud, le navigateur Tor, les outils de craquage ou de rétro-ingénierie, peu importe.
Cela signifie qu’Apple sait lorsque vous êtes à la maison. Quand vous êtes au travail. Quelles applications vous ouvrez, et à quelle fréquence. Ils savent quand vous ouvrez Premiere chez un ami sur leur Wi-Fi, et ils savent quand vous ouvrez Tor Browser dans un hôtel lors d’un voyage dans une autre ville.
“Qui s’en soucie ?” Je vous entends demander.
Eh bien, il n’y a pas qu’Apple. Cette information ne reste pas avec eux :
Ces demandes OCSP sont transmises en clair, non cryptées. Tous ceux qui peuvent voir le réseau peuvent les voir, y compris votre fournisseur d’accès Internet et tous ceux qui y ont branché leurs câbles..
Ces demandes vont à un CDN tiers géré par une autre société, Akamai.
Depuis octobre 2012, Apple est partenaire du programme d’espionnage PRISM de la communauté du renseignement militaire américain,, qui accorde à la police fédérale et à l’armée américaines un accès illimité à ces données sans mandat, chaque fois qu’elles le demandent. Au cours du premier semestre 2019, ils l’ont fait plus de 18 000 fois, et plus de 17 500 fois au cours du second semestre 2019.
Ces données constituent une véritable mine de renseignements sur votre vie et vos habitudes, et permettent à celui qui les possède d’identifier vos mouvements et vos activités. Pour certaines personnes, cela peut même constituer un danger physique.
Jusqu’à présent, il était possible de bloquer ce genre de choses sur votre ac en utilisant un programme appelé Little Snitch (en fait, c’est d’ailleurs la seule chose qui me permet de continuer à utiliser MacOS à ce stade). Dans la configuration par défaut, il permet toutes ces communications entre ordinateurs, mais vous pouvez désactiver ces règles par défaut et continuer à approuver ou à refuser chacune de ces connexions, et votre ordinateur continuera à bien fonctionner sans vous dénoncer auprès d’Apple.
La version de macOS qui est sortie aujourd’hui, 11.0, également connue sous le nom de Big Sur, a de nouvelles API qui empêchent Little Snitch de fonctionner de la même manière. Les nouvelles API ne permettent pas à Little Snitch d’inspecter ou de bloquer les processus au niveau du système d’exploitation. De plus, les nouvelles règles de MacOS 11 entravent même les VPN, de sorte que les applications d’Apple les contournent tout simplement..
@patrickwardle Nous fait savoir que trustd
, le démon responsable de ces requêtes, se trouve dans la nouvelle ContentFilterExclusionList
dans macOS 11, ce qui signifie qu’il ne peut être bloqué par aucun pare-feu ou VPN contrôlé par l’utilisateur. Dans sa capture d’écran, il montre également que CommCenter (utilisé pour passer des appels téléphoniques depuis votre Mac) et Maps vont également fuir au-delà de votre pare-feu/VPN, compromettant potentiellement votre trafic vocal et vos informations de localisation futures/prévues.
Ces nouveaux macs en silicium brillant qu’Apple vient d’annoncer, trois fois plus rapides et 50 % d’autonomie en plus ? Ils ne fonctionneront plus sous aucun OS avant Big Sur.
Ces machines sont les premiers ordinateurs à usage général où vous devez faire un choix exclusif : vous pouvez avoir une machine rapide et efficace, ou vous pouvez avoir une machine privée. À moins d’utiliser un dispositif de filtrage de réseau externe, comme un routeur de voyage ou VPN que vous pouvez totalement contrôler, il n’y aura aucun moyen de démarrer un système d’exploitation sur les nouveaux Apple Silicon Macs qui ne téléphoneront pas à la maison, et vous ne pourrez pas modifier le système d’exploitation pour l’empêcher (ou alors ils ne démarreront pas du tout, en raison des protections cryptographiques matérielles).
Mise à jour, 2020-11-13 07:20 UTC: Il vient à mon attention qu’il est possible de désactiver les protections au démarrage et de modifier le Signed System Volume (SSV) sur les Apple Silicon Macs, via l’outil bputil tool. J’en ai un en commande, je vais enquêter et faire un rapport sur ce blog. Si je comprends bien, cela ne permettrait toujours que le démarrage de macOS signé Apple, même si certains processus système douteux sont supprimés ou désactivés. Plus de données à venir lorsque j’aurai le système en main.
Votre ordinateur sert désormais un maître distant, qui a décidé qu’il a le droit de vous espionner. Si vous avez le portable à plus haute def le plus performant du monde,, vous ne pouvez pas éteindre ceci.
Ne pensons pas trop à ça pour l’instant à propos du fait supplémentaire qu’Apple peut, via ces contrôles de certificats en ligne, vous empêcher de lancer toute application dont elle (ou son gouvernement) demande la censure.
Le jour dont Stallman et Doctorow nous ont mis en garde est arrivé cette semaine. Ce fut un processus lent et progressif, mais nous y sommes enfin arrivés. Vous ne recevrez pas d’autres alertes.
Par ailleurs, Apple a discrètement mis en veilleuse la cryptographie de bout en bout de iMessage. Actuellement, l’iOS moderne vous demandera votre identifiant Apple lors de l’installation et activera automatiquement iCloud et iCloud Backup. La sauvegarde iCloud n’est pas cryptée de bout en bout : elle crypte la sauvegarde de votre appareil sur des clés Apple. Chaque appareil dont la fonction de sauvegarde iCloud est activée (elle est activée par défaut) sauvegarde l’historique complet d’iMessage sur Apple, ainsi que les clés secrètes d’iMessage de l’appareil, chaque nuit lorsqu’il est branché. Apple peut décrypter et lire ces informations sans jamais toucher l’appareil. Même si vous avez désactivé iCloud et/ou iCloud Backup : il est probable que la personne avec laquelle vous échangez des iMessages ne le fasse pas et que votre conversation soit téléchargée vers Apple (et, via PRISM, librement accessible à la communauté du renseignement militaire américain, au FBI, et à al- sans mandat ni cause probable).
Update, 2020-11-14 05:10 UTC: Il y a maintenant une FAQ.
Q: Cela fait-il partie de macOS analytics ? Est-ce que cela se produit encore même si j’ai désactivé analytics ?
A: Cela n’a rien à voir avec analytics. Il semblerait que cela fasse partie des efforts d’Apple pour lutter contre les logiciels malveillants (et peut-être contre le piratage), et que cela se produit sur tous les macs utilisant les versions concernées du système d’exploitation, indépendamment de tout paramètre d’analyse. Il n’y a aucun paramètre utilisateur dans le système d’exploitation pour désactiver ce comportement.
Q: Quand cela a-t-il commencé ?
A: Cela se produit depuis au moins depuis macOS Catalina (10.15.x, publié le 7 octobre 2019). Ça n’a pas seulement commencé avec la sortie de Big Sur hier, ça se passe en silence depuis au moins un an. Selon Jeff Johnson de Lap Cat Software, cela a commencé avec macOS Mojave, qui est sorti le 24 septembre 2018.
Chaque nouvelle version de macOS qui sort, je l’installe sur une machine vierge et neuve, j’éteins analytics et ne me connecte à rien (pas d’iCloud, pas d’App Store, pas de FaceTime, pas d’iMessage) et j’utilise un dispositif externe pour surveiller tout le trafic réseau qui sort de la machine. Les dernières versions de macOS ont été assez bruyantes, même lorsque vous n’utilisez aucun service Apple. Il y a eu quelques problèmes de confidentialité/traçage dans Mojave (10.14.x), mais je ne me souviens pas si ce problème spécifique d’OCSP existait alors ou non. Je n’ai pas encore testé Big Sur (restez en contact pour avoir des nouvelles), et les inquiétudes concernant les pare-feux des utilisateurs comme Little Snitch et les applications Apple qui les contournent ainsi que les VPN proviennent de rapports de ceux qui l’ont fait. J’imagine que j’aurai une longue liste de problèmes avec Big Sur lorsque
je l’installerai sur une machine de test cette semaine, car ça vient juste de sortir hier et je n’utilise pas mes bêtas de test à durée limitée qui sont en flux, mais seulement des logiciels déjà sortis.
Q: Comment puis-je protéger ma vie privée ?
A: Cela varie. Il y a une tonne de trafic qui sort de votre mac et qui parle à Apple, et si vous vous souciez de votre vie privée, vous pouvez commencer par éteindre les choses pour lesquelles il y a des boutons : désactiver et se déconnecter de iCloud, désactiver et se déconnecter de iMessage, désactiver et se déconnecter de FaceTime. Assurez-vous que les services de localisation sont désactivés sur votre ordinateur, votre iPhone et votre iPad. Ce sont les grandes fuites de suivi auxquelles vous avez déjà choisi de participer, et il y a une solution qui ne pourrait pas être plus simple : éteignez.
Quant à la question de l’OCSP, je crois (mais je n’ai pas testé !) que
echo 127.0.0.1 ocsp.apple.com | sudo tee -a /etc/hosts
Pour l’instant ça marchera, pour cette question spécifique. Je bloque ce trafic en utilisant Little Snitch, qui fonctionne toujours correctement à partir de 10.15.x (Catalina). (Vous devez désactiver toutes les règles d’autorisation par défaut de Little Snitch pour les “Services macOS” et les “Services iCloud” afin d’obtenir des alertes lorsque macOS tente de parler à Apple, car Little Snitch les autorise par défaut)..)
Si vous avez un Mac Intel (ce qui est le cas de presque tout le monde en ce moment), ne vous inquiétez pas trop des changements de système d’exploitation. Si vous êtes prêt à vous salir les mains et à modifier certains paramètres, vous pourrez probablement toujours modifier tous les systèmes d’exploitation qu’Apple a déjà fournis pour votre machine. (C’est particulièrement vrai pour les mac intel un peu plus anciens qui ne possèdent pas la puce de sécurité T2, et il est probable que même les intel macs T2 seront toujours autorisés à désactiver toute la sécurité de démarrage (et donc à modifier le système d’exploitation) si l’utilisateur le souhaite, ce qui est le cas aujourd’hui).
Les nouveaux macs ARM64 (“Apple Silicon”) qui ont été annoncé cette semaine sont la raison pour laquelle je tire la sonnette d’alarme : il reste à voir s’il sera possible pour les utilisateurs de modifier le système d’exploitation de ces systèmes. Sur les autres systèmes ARM d’Apple (iPad, iPhone, Apple TV, Watch), il est interdit de désactiver certaines parties du système d’exploitation par des moyens cryptographiques. Dans la configuration par défaut de ces nouveaux macs ARM, il est probable que cela sera également interdit, même si l’on espère que les utilisateurs qui le souhaitent pourront désactiver certaines des protections de sécurité et modifier le système. J’espère que bputil(1) utility
permettra de désactiver les contrôles d’intégrité du volume système sur les nouveaux macs, ce qui nous permettra de désactiver certains services système au démarrage, sans désactiver toutes les fonctions de sécurité de la plate-forme. De plus amples informations seront fournies lorsque j’aurai le nouveau matériel M1 en main ce mois-ci et que j’aurai les faits.
Q: Si vous n’aimez pas Apple ou si vous ne faites pas confiance à son système d’exploitation, pourquoi l’utilisez-vous ? Pourquoi avez-vous dit que vous acheteriez un des nouveaux macs ARM ?
A: La réponse est simple : sans le matériel et les logiciels en main, je ne peux pas parler avec autorité de ce qui pourrait être fait ou ne pas être fait, ni des mesures que l’on pourrait prendre pour atténuer les problèmes relatifs à la protection de la vie privée. La réponse à cette question est que j’ai plus de 20 ordinateurs qui comprennent environ 6 architectures de processeur différentes et que j’utilise tous les systèmes d’exploitation dont vous avez entendu parler et même certains de ceux que vous n’avez probablement pas. Par exemple, ici dans mon laboratoire, j’ai des macs 68k (16 bit, presque 32 bit (shoutout à mon IIcx), et 32 bit clean), des macs PowerPC, des macs 32 bit Intel, des macs 64 bit Intel (avec et sans la puce de sécurité T2), et je serais un vrai flemmard si je ne piratais pas au moins un peu un mac ARM64.
Q: Pourquoi Apple nous espionne ?
A: Je ne crois pas que cela ait été explicitement conçu comme de la télémétrie, mais il se trouve que cela peut servir incroyablement bien à cette fin. L’explication simple (supposons qu’il n’y ait pas de malveillance) est que cela fait partie des efforts d’Apple pour prévenir les logiciels malveillants et assurer la sécurité de la plate-forme sur MacOS. En outre, le trafic OCSP généré par macOS n’est pas crypté, ce qui en fait un outil parfait pour les opérations de surveillance militaire (qui surveillent passivement tous les principaux fournisseurs d’accès Internet et les réseaux fédérateurs) pour utiliser à des fins de télémétrie, qu’il s’agisse qu’Apple ait prévu que ce soit une fonction conçue.
Cependant : Apple a récemment mis à jour la cryptographie d’iMessage avec une mise à jour de l’iOS qui a introduit la sauvegarde iCloud, et ne l’a l’a pas corrigée pour que le FBI puisse continuer à lire toutes les données sur votre téléphone..
Comme le dit le célèbre dicton de Goldfinger : “Une fois, c’est le hasard. Deux fois, c’est une coïncidence. La troisième fois, c’est une action ennemie.” Il y a eu un un nombre limité et restreint de fois où Apple (qui emploie de nombreux assistants en cryptographie) a pu dire “oops désolé c’était un accident” que son logiciel ait transmis des textes en clair ou des clés de cryptage hors de l’appareil et vers le réseau/Apple et est resté crédible dans ses explications.
La dernière fois que j’ai signalé à Apple un problème de transmission de texte en clair sur le réseau en 2005, ils l’ont réparé promptement, et ce uniquement pour les recherches de mots dans le dictionnaire. Peu de temps après, ils ont introduit App Transport Security pour aider les développeurs d’applications tierces à ne plus foutre en l’air leur utilisation de la cryptographie réseau, et ont rendu beaucoup plus difficile pour ces mêmes développeurs d’applications de faire des requêtes non cryptées dans les applications App Store. Je trouve assez étrange de voir Apple faire des requêtes OCSP en clair, même si c’est la norme du secteur industriel.
Si Apple se soucie vraiment de la vie privée des utilisateurs, ils devraient examiner attentivement chaque paquet qui sort d’un Mac sur une nouvelle installation avant de lancer un nouveau système d’exploitation. C’est ce que nous faisons. Le plus long il ne font rien, sur le respect de la vie privée des utilisateurs seront crédibles.
Q: Pourquoi criez-vous au loup ? Ne savez-vous pas que l’OCSP sert uniquement à prévenir les logiciels malveillants et à assurer la sécurité du système d’exploitation, et qu’il ne s’agit pas d’un système de télémétrie ?
A: L’effet secondaire est qu’il fonctionne comme une télémétrie, quelle que soit l’intention initiale de l’OCSP. De plus, même si les réponses de l’OCSP sont signées, il est à la limite de la négligence que les demandes de l’OCSP elles-mêmes ne soient pas cryptées, ce qui permet à n’importe qui sur le réseau (y compris la communauté du renseignement militaire américain) de voir quelles applications vous lancez et quand.
Beaucoup de choses fonctionnent comme de la télémétrie, même si ce n’était pas prévu à l’origine. Les services de renseignement qui espionnent tout le monde peuvent en tirer profit quand et où cela se produit, quelle que soit l’intention du concepteur.
Il ne vaut pas la peine de mettre tout le monde dans une société sous surveillance constante pour vaincre, par exemple, le terrorisme violent, et il ne vaut pas la peine de mettre tout le monde sur une plateforme sous la même surveillance pour vaincre les logiciels malveillants. Vous jetez le bébé avec l’eau du bain lorsque, dans votre effort pour produire une plateforme sécurisée, vous produisez une plateforme qui est intrinsèquement peu sûre en raison d’un manque de vie privée
Q: Ils ont mis en place le cryptage de bout en bout sur iMessage ! WTF?!
A: Ouaip. Plus de détails techniques dans mes commentaires HN ici et ici.
TL;DR: Ils en disent même autant sur leur site web ; depuis https://support.apple.com/en-us/HT202303:
Messages in iCloud also uses end-to-end encryption. If you have iCloud Backup turned on, your backup includes a copy of the key protecting your Messages. This ensures you can recover your Messages if you lose access to iCloud Keychain and your trusted devices. When you turn off iCloud Backup, a new key is generated on your device to protect future messages and isn’t stored by Apple.
(emphasis mine)
Notez que la sauvegarde iCloud elle-même n’est pas chiffrée de bout en bout, ce qui entraîne un problème de séquestre pour la clé d’iMessage qui permet de sécuriser le chiffrement de bout en bout d’iMessage. Il y a une section sur cette page web qui énumère les éléments qui sont cryptés de bout en bout, et la sauvegarde iCloud n’y figure pas.
Même pas vos photos iCloud. Les administrateurs systèmes d’Apple (ainsi que l’armée et les fédéraux américains) peuvent voir tous vos nudes dans iCloud ou iMessage.
Jeffrey Paul is a hacker and security researcher living in Berlin and the founder of EEQJ, a consulting and research organization.