La semaine dernière, les utilisateurs de macOS ont remarqué que tenter d'ouvrir des applications non Apple tout en étant connecté à Internet entraînait de longs retards, si les applications s'ouvraient du tout . Les interruptions ont été causées par un service de sécurité macOS qui tentait d'atteindre le serveur OCSP (Online Certificate Status Protocol) d'Apple, devenu inaccessible en raison d'erreurs internes. Lorsque les chercheurs en sécurité ont examiné le contenu des requêtes OCSP, ils ont constaté que ces requêtes contenaient un hachage du certificat du développeur pour l'application en cours d'exécution, qui était utilisé par Apple dans les contrôles de sécurité. [1] Le certificat de développeur contient une description de l'individu, de l'entreprise ou de l'organisation qui a codé l'application (par exemple Adobe ou Tor Project ), et révèle ainsi à Apple qu'une application de ce développeur a été ouverte.
De plus, les requêtes OCSP ne sont pas chiffrées. Cela signifie que tout auditeur passif apprend également quelle application un utilisateur macOS ouvre et quand. [2] Ceux qui ont cette capacité d'attaque incluent tout fournisseur de services en amont de l'utilisateur; Akamai, le FAI hébergeant le service OCSP d'Apple; ou tout autre pirate informatique sur le même réseau que vous lorsque vous vous connectez, par exemple, au WiFi de votre café local. Une explication détaillée peut être trouvée dans cet article .
Une partie de la préoccupation qui accompagnait cette fuite de confidentialité était l' exclusion des applications de l'espace utilisateur comme LittleSnitch de la capacité de détecter ou de bloquer ce trafic. Même si la modification du trafic vers les services de sécurité essentiels sur macOS présente un risque, nous encourageons Apple à permettre aux utilisateurs expérimentés de choisir des applications de confiance pour contrôler où leur trafic est envoyé.
Apple a rapidement annoncé un nouveau protocole chiffré pour vérifier les certificats de développeur et qu'ils permettraient aux utilisateurs de se désengager des contrôles de sécurité. Cependant, ces changements ne seront pas déployés avant l'année prochaine. Développer un nouveau protocole et l'implémenter dans un logiciel n'est pas un processus du jour au lendemain, il serait donc injuste de contraindre Apple à une norme impossible.
Mais pourquoi Apple n'a-t-il pas simplement désactivé les requêtes OCSP pour le moment? Pour répondre à cette question, nous devons discuter de ce que fait réellement la vérification du certificat de développeur OCSP. Il empêche l'exécution de logiciels indésirables ou malveillants sur les machines macOS. Si Apple détecte qu'un développeur a expédié un logiciel malveillant (par le vol de clés de signature ou par malveillance), Apple peut révoquer le certificat de ce développeur. Lorsque macOS ouvrira ensuite cette application, le serveur OCSP d'Apple répondra à la demande (via un service système appelé «trustd») selon laquelle le développeur n'est plus digne de confiance. Ainsi, l'application ne s'ouvre pas, empêchant ainsi l'exécution du malware.
Corriger cette fuite de confidentialité, tout en maintenant la sécurité des applications en vérifiant les révocations de certificat de développeur via OCSP, n'est pas aussi simple que de corriger un bogue ordinaire dans le code. Il s'agit d'un bogue structurel , il nécessite donc des corrections structurelles. Dans ce cas, Apple est confronté à un équilibre entre la confidentialité et la sécurité des utilisateurs. On peut critiquer qu'ils n'ont pas donné aux utilisateurs la possibilité de peser le dilemme par eux-mêmes, et ont simplement pris la décision à leur place. C'est une critique valable. Mais la réponse inévitable est tout aussi valable: que les utilisateurs ne devraient pas être obligés de comprendre un sujet difficile et ses compromis sous-jacents simplement pour utiliser leurs machines.
Apple a fait un choix difficile pour préserver la sécurité des utilisateurs, mais au péril de leurs utilisateurs plus axés sur la confidentialité. Les utilisateurs de macOS qui comprennent les risques et préfèrent la confidentialité peuvent prendre des mesures pourbloquer les requêtes OCSP . Nous recommandons aux utilisateurs qui font cela de définir un rappel pour eux-mêmes de restaurer ces requêtes OCSP une fois qu'Apple ajoute la possibilité de les chiffrer.
[1] Les rapports initiaux de l'échec prétendaient qu'Apple recevait des hachages de l'application elle-même, ce qui aurait été encore pire, si c'était vrai.
[2] Des sociétés telles qu'Adobe développent de nombreuses applications différentes, de sorte qu'un attaquant pourrait établir que l'application en cours d'ouverture fait partie de l'ensemble des applications qu'Adobe a signées pour macOS. Tor , en revanche, développe presque exclusivement une seule application pour les utilisateurs finaux: le navigateur Tor . Ainsi, un attaquant observant le certificat de développeur Tor sera en mesure de déterminer que le navigateur Tor est en cours d'ouverture, même si l'utilisateur prend des mesures pour masquer son trafic dans l'application .
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2020/11/macos-leaks-application-usage-forces-apple-make-hard-decisions le Wed, 18 Nov 2020 19:38:36 +0000.