Votre Mac appelle-t-il vraiment Apple à chaque fois que vous lancez une application? C’est l’allégation qui a circulé après le 12 octobre 2020, lorsqu’un serveur Apple est devenu lent et que les Mac modernes ont mis beaucoup de temps à ouvrir des applications. Nous expliquerons ce qui se passe.
Info: cela s’applique à la fois à macOS Big Sur et macOS Catalina. Le ralentissement et les problèmes de confidentialité associés ne sont pas nouveaux dans macOS Big Sur.
Table des matières
Pourquoi les applications Mac sont signées avec des certificats de développeur
Sur un Mac, les applications que vous téléchargez, que ce soit à partir du Mac App Store ou du Web, sont signées avec un certificat de développeur. Chaque fois que vous lancez une application, il vérifie l’application pour vérifier qu’elle a été signée par un développeur légitime et qu’elle n’a pas été falsifiée. Cela vous protège des logiciels malveillants.
Par exemple, lorsque Mozilla crée Firefox, il compile un fichier d’application Firefox puis le signe avec le certificat de développeur de Mozilla. C’est la manière de Mozilla de prouver que le fichier est légitime et créé par Mozilla. Si le fichier d’application est falsifié par la suite, votre Mac remarquera la différence.
Ces certificats ne sont valables que pendant un certain laps de temps – peut-être quelques années – mais ils peuvent être «révoqués» tôt. Par exemple, si Apple découvre qu’un développeur utilise son certificat pour signer des applications malveillantes, Apple révoque alors le certificat. Les Mac ne chargeront pas les applications avec ce certificat révoqué.
OCSP a expliqué: Pourquoi votre Mac Phone Home?
Mais attendez – comment votre Mac sait-il si Apple a révoqué un certificat associé à une application sur votre Mac? Pour vérifier, votre Mac utilise quelque chose appelé le protocole d’état du certificat en ligne, ou OCSP; il est également utilisé par les navigateurs Web pour vérifier les certificats de sites Web lorsque vous naviguez.
Lorsque vous lancez une application, votre Mac envoie des informations sur son certificat à un serveur Apple sur ocsp.apple.com. Votre Mac demande à ce serveur Apple si le certificat a été révoqué. Si ce n’est pas le cas, votre Mac lance l’application. Si le certificat a été révoqué, votre Mac ne lancera pas l’application.
Cela se produit-il chaque fois que vous lancez une application?
Votre Mac se souvient de ces réponses pendant un certain temps. Le 12 novembre 2020, les réponses ont été mises en cache pendant cinq minutes; En d’autres termes, si vous lancez une application, la fermez et la relancez quatre minutes plus tard, votre Mac n’aurait pas à demander à Apple le certificat une deuxième fois. Cependant, si vous lancez une application, la fermez et la lancez six minutes plus tard, votre Mac devra à nouveau demander aux serveurs d’Apple.
Pour une raison quelconque – peut-être en raison des changements apportés à macOS Big Sur – le serveur d’Apple a été submergé et est devenu très lent le 12 novembre 2020. Les réponses ont considérablement ralenti et les applications ont mis beaucoup de temps à se charger alors que les Mac attendaient patiemment une réponse de la lenteur d’Apple. serveur.
Après cet événement, le serveur OSCP d’Apple dit désormais aux Mac de se souvenir des réponses de validité des certificats pendant 12 heures. Votre Mac téléphonera à la maison et vous demandera un certificat chaque fois que vous lancerez une application, sauf si vous avez reçu une réponse au cours des 12 dernières heures, auquel cas il n’en aura pas besoin. (Les informations sur les périodes ici proviennent d’un développeur d’applications indépendant Jeff Johnson.)
Et si un Mac est hors ligne?
La vérification OCSP est conçue pour échouer avec grâce. Si vous êtes hors ligne, votre Mac ignorera silencieusement la vérification et lancera normalement les applications.
Il en va de même si votre Mac ne peut pas atteindre le serveur ocsp.apple.com, peut-être parce que l’adresse du serveur a été bloquée sur votre réseau au niveau du routeur. Si votre Mac ne peut pas contacter le serveur, il ignore la vérification et lance immédiatement l’application.
Le problème du 12 novembre 2020 était que si les Mac pouvaient atteindre le serveur d’Apple, le serveur lui-même était lent. Mais plutôt que d’échouer silencieusement et de lancer une application, les Mac ont attendu longtemps une réponse. Si le serveur avait été complètement arrêté, personne ne l’aurait remarqué.
Quel est le risque de confidentialité? Qu’apprend Apple?
Les gens ont soulevé ici plusieurs problèmes de confidentialité. Ils sont énoncés dans le pirate informatique et le chercheur en sécurité Le point de vue de Jeffrey Paul sur la situation.
Les certificats sont associés aux applications: lorsque votre Mac contacte le serveur OCSP, il demande un certificat qui est probablement associé à une application, ou peut-être à une poignée d’applications. Techniquement, votre Mac n’indique pas à Apple quelle application vous avez lancée. Par exemple, si vous lancez Firefox, Apple apprend simplement que vous avez lancé une application créée par Mozilla. Cela pourrait être Firefox ou Thunderbird, mais Apple ne sait pas lesquels. Cependant, si vous lancez une application signée par le projet Tor, Apple peut avoir une assez bonne idée que vous avez ouvert le navigateur Tor.
Les demandes sont associées à des adresses IP et à des heures: ces demandes peuvent bien sûr être associées à une date et une heure ainsi qu’à votre adresse IP. C’est ainsi que fonctionne Internet. Votre adresse IP est associée à une certaine ville et état. Chaque demande OCSP indique à Apple le développeur qui a créé l’application que vous lancez, votre emplacement général, ainsi que la date et l’heure auxquelles vous avez lancé l’application.
Le manque de cryptage signifie que la surveillance est possible: le protocole OCSP n’est pas crypté. Non seulement Apple obtient ces informations, mais toute personne au milieu peut également voir ces informations. Votre fournisseur de services Internet, l’administrateur réseau de votre lieu de travail ou même une agence d’espionnage surveillant le trafic Internet pourraient espionner le trafic OSCP entre vous et Apple et apprendre tous ces détails. Ces demandes passent également par un tiers réseau de distribution de contenu (CDN) nommé Akamai. Cela les accélère, mais ajoute un autre intermédiaire qui pourrait techniquement fouiner.
Info: votre Mac n’indique pas à Apple quelle application vous lancez. Au lieu de cela, votre Mac indique simplement à Apple quel développeur a créé l’application que vous lancez. Bien sûr, de nombreux développeurs ne créent qu’une seule application. Cette distinction technique ne signifie souvent pas grand-chose.
(N’oubliez pas: avec la modification du comportement de mise en cache, votre Mac ne demande plus à Apple chaque fois que vous lancez une application. Il ne le fait que toutes les 12 heures au lieu de toutes les 5 minutes.)
Pourquoi votre Mac fait-il cela?
Comme vous vous en doutez, tout est question de sécurité. Le Mac est une plate-forme plus ouverte que l’iPad et l’iPhone. Vous pouvez télécharger des applications de n’importe où, même en dehors du Mac App Store d’Apple.
Pour protéger le Mac contre les logiciels malveillants – et oui, les logiciels malveillants Mac sont devenus plus courants – Apple a mis en œuvre ce contrôle de sécurité. Si un certificat utilisé pour signer une application est révoqué, votre Mac peut immédiatement entrer en action et refuser d’ouvrir cette application. Cela donne à Apple le pouvoir d’empêcher les Mac de lancer des applications malveillantes connues.
Pouvez-vous bloquer les contrôles OCSP?
Ces vérifications OCSP sont conçues pour échouer rapidement et silencieusement lorsqu’un Mac est hors ligne ou ne peut pas contacter le serveur ocsp.apple.com.
Cela les rend faciles à bloquer: empêchez simplement votre Mac de se connecter à ocsp.apple.com. Par exemple, vous pouvez souvent bloquer cette adresse sur votre routeur, empêchant ainsi tous les appareils de votre réseau de s’y connecter.
Malheureusement, il semble que Big Sur ne laisse plus les pare-feu de niveau logiciel sur le Mac empêchent le processus trustd intégré du Mac d’accéder à des serveurs distants comme celui-ci.
Avertissement: si vous bloquez le serveur ocsp.apple.com, votre Mac ne remarquera pas quand Apple a révoqué le certificat de développeur d’une application. Vous choisissez de désactiver une fonction de sécurité et cela pourrait mettre votre Mac en danger.
Que dit Apple et que promet de changer?
Apple semble avoir entendu les critiques. Le 16 novembre 2020, la société a ajouté des informations sur «Protections de la confidentialité» pour Gatekeeper sur son site Internet.
Premièrement, Apple affirme n’avoir jamais combiné les données de ces vérifications de certificats ou de logiciels malveillants avec d’autres données qu’Apple connaît de vous. La société promet de ne pas utiliser ces informations pour suivre les applications que les individus lancent sur leur Mac.
Deuxièmement, Apple insiste sur le fait que ces vérifications de certificats ne sont pas associées à votre identifiant Apple ou à des informations spécifiques à l’appareil au-delà de votre adresse IP. Apple dit qu’il a cessé de consigner les adresses IP associées à ces demandes et les supprimera des journaux d’Apple.
Au cours de l’année prochaine – en d’autres termes, d’ici la fin de 2021 – Apple a annoncé qu’elle apportera ces changements:
Remplacer OCSP par un protocole chiffré: Apple a annoncé qu’il créera un nouveau protocole chiffré pour remplacer le système OCSP non chiffré pour la vérification des certificats de développeur. Cela empêchera quiconque au milieu de fouiner.
Arrêtez les ralentissements: Apple promet également de «solides protections contre les pannes de serveur» – en d’autres termes, les applications ne seront pas lentes à se charger car un serveur a de nouveau ralenti.
Offrez le choix aux utilisateurs: Apple affirme que les utilisateurs de Mac pourront désactiver ces protections de sécurité et empêcher leur Mac de vérifier les certificats de développeur révoqués.
Dans l’ensemble, ces changements élimineront divers problèmes – les tiers ne peuvent plus fouiner au milieu. Les Mac continueront d’envoyer les informations Apple qu’ils peuvent utiliser pour suivre les applications que vous ouvrez, mais Apple promet de ne pas associer ces informations à vous. Les ralentissements devraient être éliminés car Apple corrige également le problème de performances.
Quel sera ce meilleur protocole? Eh bien, Apple n’a pas encore dit par quoi il remplacera OCSP. En tant que chercheur en sécurité Scott Helme notes, quelque chose comme CRLite pourrait aider à enfiler l’aiguille ici. Imaginez si votre Mac pouvait télécharger un seul fichier d’Apple et le mettre à jour régulièrement. Le fichier contiendrait une liste compressée de toutes les révocations de certificats. Chaque fois que vous lancez une application, votre Mac peut vérifier le fichier, éliminant ainsi les vérifications du réseau et les problèmes de confidentialité.
Votre Mac envoie parfois des hachages d’applications à Apple
À propos, votre Mac envoie parfois des hachages des applications que vous ouvrez aux serveurs d’Apple. Ceci est différent des contrôles de signature OCSP. Au lieu de cela, cela a à voir avec Gatekeeper notarisation.
Les développeurs peuvent télécharger des applications sur Apple, qui les vérifie pour les logiciels malveillants, puis les «certifie» si elles semblent sûres. Ces informations de ticket de notarisation peuvent être «agrafées» à l’application. Si un développeur n’agrafe pas les informations du ticket dans le fichier de l’application, votre Mac vérifiera auprès des serveurs d’Apple la première fois que vous lancerez cette application.
Cela ne se produit que la première fois que vous lancez une version donnée d’une application, pas à chaque fois qu’elle s’ouvre. Et le contrôle en ligne peut être éliminé par le développeur grâce à l’agrafage.
Les Mac ne sont pas uniques ici. Par exemple, les PC Windows 10 téléchargent souvent des données sur les applications que vous téléchargez sur le service SmartScreen de Microsoft pour rechercher les logiciels malveillants. Les programmes antivirus et autres applications de sécurité peuvent également télécharger des informations sur les applications suspectes à la société de sécurité.