La nouvelle mise à jour Mac ne laisse aucune possibilité aux utilisateurs d'échapper à la collecte de données

• La dernière mise à jour d'Apple, Big Sur, rend une fonctionnalité qui enregistre l'activité de l'appareil pour les applications hors ligne (et en ligne) pratiquement impossible à contourner pour les solutions de Politique de confidentialité .
• La surveillance est un autre exemple des choix de conception d'Apple qui compromettent la confidentialité, malgré les efforts de l'entreprise pour se présenter comme un allié de la Politique de confidentialité .
• Les VPN et autres pare-feu ne peuvent pas contourner cette fonctionnalité.
• Les chercheurs en sécurité suggèrent aux utilisateurs soucieux de leur Politique de confidentialité numérique d’explorer d’autres alternatives open source.

Le 12 novembre, des utilisateurs de Mac se sont plaints de la lenteur de leurs ordinateurs. Cette lenteur a coïncidé avec la sortie deBig Sur, la dernière mise à jour Mac d'Apple.

Après la publication de la mise à jour, une erreur technique a perturbé les serveurs qu'Apple utilise pour les requêtes OCSP, les paquets de données qui vérifient le certificat SSL d'un ordinateur lorsqu'il accède aux applications en ligne.Les appareils Apple s'éteignaient parce que ces requêtes OCSP n'atteignaient T les serveurs Apple.

En y regardant de plus près, certains utilisateurs ont compris pourquoi les appareils échouaient lorsque les serveurs OCSP étaient défaillants : chaque fois qu'un utilisateur ouvre une application (même ONE ligne), cette action est balisée et tracée par les serveurs OCSP d'Apple.

Cette fonctionnalité a été introduite dans la mise à jour Catalina d'Apple, mais certains outils (comme Little Snitch) pouvaient être utilisés pour la contourner. Avec Big Sur, il n'existe désormais aucun moyen pratique pour les utilisateurs Mac lambda de la contourner.

Pomme s'est vantécomme poussantla Politique de confidentialité comme COREde sa mission, peut-être le plus publiquement en rejetant les demandes des forces de l'ordre deouvrir ONEun des iPhones du tireur de San Bernardino, en Californie, après l'attaque de décembre 2015.

Mais ces nouvelles révélations mettent en évidence certaines failles inhérentes à la collecte centralisée de données : il faut faire confiance à Apple pour ne pas partager ces informations (ou pour ne pas être contraint de les révéler à une agence gouvernementale). Dans ce cas, cependant, le cloisonnement des données par Apple via Big Sur n'est peut-être même pas le problème principal, car ces requêtes OCSP sont transmises en clair, ce qui signifie que leur contenu peut être lu par toute partie de surveillance qui les intercepte.

Ainsi, si les utilisateurs de Mac veulent échapper à la surveillance d’Apple, ils devront explorer des alternatives.

La mise à jour Mac permet la journalisation des activités hors ligne

« Sur les versions modernes de macOS, vous ne pouvez tout simplement T allumer votre ordinateur, lancer un éditeur de texte ou un lecteur de livres électroniques et écrire ou lire sans qu'un journal de votre activité soit transmis et stocké », écrit le pirate informatique et chercheur en sécurité Jeffrey Paul dans un article de blog.

Paul a déclaré à CoinDesk dans un e-mail qu'il ne pensait T qu'Apple « avait de mauvaises intentions ici », mais que son objectif était de surveiller les logiciels malveillants et autres logiciels illicites sur ses appareils.

Le problème, cependant, est que ces requêtes OCSP ne sont pas chiffrées et donc « vulnérables à la surveillance passive ». Les données sont donc exposées à la collecte et à l'analyse par des « organisations de surveillance passive à grande échelle » telles que la NSA (Agence de sécurité nationale américaine).

« Il s’agit bien sûr d’une pratique terrible, et même si c’est la norme de l’industrie, Apple devrait le savoir, car ce sont des experts en cryptographie (qui gèrent leur propre autorité de certification et utilisent régulièrement des outils cryptographiques relativement avancés comme les certificats clients et l’épinglage de certificats) », a écrit Paul par e-mail.

La télémétrie est un processus de diagnostic par lequel les serveurs suivent l'utilisation d'un appareil. Les systèmes d'Apple diffusent désormais une « télémétrie involontaire » ouverte, accessible à toute entité connectée aux canaux de communication d'Internet, a expliqué Paul.

« Le véritable risque Politique de confidentialité ici n'est pas qu'Apple collecte ces données. Il est probable qu'il ne le fasse pas, car je pense qu'il s'agit d'une tentative d'Apple pour empêcher les logiciels malveillants de s'exécuter sur sa plateforme. Le problème est que ces données servent de télémétrie *involontaire* à quiconque les écoute, ce qui, aux États-Unis, est le cas de tous les principaux FAI et de l'armée nationale », a-t-il poursuivi.

Ces types de préoccupations ont donné lieu à des arguments contreserveurs centralisés pour le traçage des contactsdans l'Union européenne. Ils ont également encouragéfait pression pour les mixnets, qui mélangent spécifiquement le trafic réseau pour éviter l'observation passive des métadonnées.

Les appareils Apple ont toujours été une sorte de jardin clos. Les applications et logiciels provenant d'éditeurs non vérifiés, par exemple, doivent être approuvés manuellement par les utilisateurs. L'objectif affiché de ces contrôles est de protéger l'utilisateur, maisCory Doctorow récemment souligné à CoinDesk par e-mail, ces contrôles peuvent remplacer l'agence dans certains scénarios (par exemple, lorsque Apple a supprimé des milliers d'applicationsdepuis son app store chinois).

« Je pense que c'est un excellent exemple de ce que Bruce Schneier appelle la "sécurité féodale", a déclaré Doctorow à CoinDesk, en commentant la fonctionnalité d'enregistrement des activités. L'idée que nos systèmes ne nous donnent plus le pouvoir de nous protéger, mais nous obligent plutôt à abandonner notre destin à ONEun des grands seigneurs de guerre technologiques de notre époque (Facebook, Google, Apple, Microsoft, ETC), qui nous protégera… de tous, sauf de T-mêmes. »

Solutions de Politique de confidentialité des données

Pour tous les utilisateurs de Mac qui espèrent échapper à la surveillance, les solutions devront venir de l’extérieur du lieu d’influence d’Apple.

Avant la mise à jour Big Sur pour Mac, les VPN ou les pare-feu comme Little Snitch auraient empêché votre ordinateur de divulguer des informations. Mais Big Sur surpasse tout cela, explique Valdas Petrulis, cofondateur et ingénieur logiciel en chef chez Mysterium Network, un protocole VPN décentralisé.

« MacOS Big Sur (version 11.0) permet au trafic de contourner les routes habituellesrègles de routage et de pare-feu. Ce qui signifie simplement que Petit Vif T pourra ni surveiller ni bloquer cela, et qu'un VPN ne pourra pas non plus vous aider ni vous cacher. macOS a désormais tout simplement interdit cela.

Sean O’Brien, chercheur principal au Digital Security Lab d’ExpressVPN, a déclaré qu’en fin de compte, un VPN n’empêcherait pas Apple de collecter ces données, mais qu’il les protégerait au moins des autres intermédiaires du réseau lorsqu’elles circulent sur Internet.

Il existe un moyen de désactiver cette fonctionnalité, mais Paul a indiqué que seuls les experts de macOS devraient l'essayer. Apple modifie les services système pouvant être désactivés à chaque mise à jour, a précisé Paul, ce qui pourrait donc changer ultérieurement.

« En réalité, la première chose que les consommateurs peuvent faire pour protéger leur Politique de confidentialité lorsqu'ils utilisent des appareils Apple est de *ne jamais* utiliser iCloud et de ne pas utiliser iMessage », a poursuivi Paul. Données iCloud n'est pas chiffré, a-t-il déclaré, permettant « au FBI ou à l'armée américaine de lire l'historique complet des iMessages de presque tout le monde sans jamais toucher l'appareil ».

Des alternatives ?

Selon Paul, le seul moyen d'échapper au panoptique d'Apple ? « Un logiciel open source qui ne vous espionne T . » Auparavant, cela impliquait des outils comme Little Snitch, Tor et les VPN, mais maintenant qu'Apple a une emprise plus stricte sur la Politique de confidentialité des données, ceux qui s'inquiètent sérieusement de leur Politique de confidentialité ne peuvent que changer de fournisseur de matériel et de logiciels.

Peut-être pour témoigner du changement des utilisateurs, Sharmini Ravindran, directrice marketing de Mysterium, a déclaré que le service avait suscité « 8 à 10 fois plus d'intérêt » pour son application Windows que pour sa version Mac.

Bien sûr, Microsoft n’est pas non plus un saint de la Politique de confidentialité, ce qui signifie que le logiciel Linux gratuit et open source, longtemps le choix de la plupart des défenseurs de la Politique de confidentialité , pourrait être le pari le plus sûr.

Mais cela ne fonctionnera que si l'utilisateur Mac moyen se soucie suffisamment de la fonctionnalité de protection de la vie privée. Et s'il s'y intéresse, il faut aussi savoir utiliser les ordinateurs pour démarrer et maintenir Linux. ONEun des principaux arguments de vente d'Apple est sa convivialité, même pour les plus réticents à la technologie, ce qui peut être intéressant étant donné que les technologies de Politique de confidentialité sont parfois source de frictions pour ceux qui ont l'habitude de se connecter à tout avec Face ID.

Mais encore une fois, Apple a égalementa été salué comme un organisme soucieux de la vie privée entreprise, et la perception du publicest en constante évolution.

« Non seulement Apple expose ses clients aux risques liés aux propres dirigeants et aux décisions de l'entreprise, mais elle crée également un risque moral pour les gouvernements, les invitant à contraindre Apple à utiliser (abusivement) cette installation pour nuire – et non aider – ses utilisateurs », a déclaré Doctorow.