Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Apple vous espionne-t-il vraiment ?

Cela n’aura échappé à personne, Apple a enfin sorti la nouvelle version de son système d’exploitation : Big Sur connu aussi sous le nom de macOS 11.

Évidemment, n’écoutant que mon courage, j’ai fait la mise à jour pour voir et bon, ce n’est pas encore ouf, car certaines applications que j’utilise n’ont pas encore été mises à jour par leur développeur pour Big Sur, donc j’ai des petits ralentissements et des petits bugs d’affichage, mais rien de grave.

Toutefois, d’après certains utilisateurs qui comme moi, ont fait la mise à jour, certaines applications sont devenues non fonctionnelles. On pourrait penser à un bug dans macOS Big Sur mais non. Il s’agissait plutôt d’un dysfonctionnement du côté des serveurs OCSP d’Apple.

OCSP ça veut dire Online Certificate Status Protocol, ou en français « Protocole sur le statut des certificats en ligne« . Bref, ça permet de vérifier si l’application que vous lancez sur votre Mac possède un certificat valide fourni par Apple. Si vous êtes déconnecté d’Internet ou si le serveur d’Apple est HS, la validation du certificat sera contournée et l’application pourra quand même se lancer.

Seulement lors de l’arrivée de Big Sur, les serveurs OCSP d’Apple étaient bien accessibles, mais extrêmement lents. Donc le lancement des applications ne pouvait pas se faire dans un délai raisonnable.

Bon, ça, c’était le premier problème. Évidemment, suite à ça, pas mal de monde s’est penché sur la question et d’autres inquiétudes ont commencé à émerger.

Tout d’abord l’accès à OCSP n’est pas chiffré. C’est du pur HTTP, donc cela veut dire que tout ce qui transite entre votre machine et les serveurs d’Apple peut être lu en clair par tous les intermédiaires (un cybercriminel sur votre Wifi, votre FAI, ou la NSA…). Cela dit, la réponse envoyée par Apple suite à cette requête est signée par le serveur, ce qui confirme son authenticité.

Durant ce bad buzz Apple, certains experts ont expliqué que Apple captait un hash permettant d’identifier l’application que vous lancez sur votre ordinateur, et cela à chaque fois que vous la lancez. Et qu’en plus, il y aurait des informations temporelles (dates, heure, FAI, ville, type d’ordinateur que vous possédez…etc.). Donc que cela représenterait un risque pour notre vie privée. Flippant en effet.

Toutefois, tout le monde n’est pas du même avis et après plus de tests, il semblerait que les requêtes OCSP contiennent uniquement des informations sur le certificat de l’application lancée. Il faut savoir que les certificats utilisés par les développeurs ne sont pas uniques. Un dev peut parfaitement signer plusieurs applications avec le même certificat fourni par Apple. Par exemple, le certificat de Thunderbird est le même que celui de Firefox.

D’après Jacopo Jannone, il s’agit d’un malentendu. Selon lui macOS peut effectivement envoyer tout un tas d’informations ainsi que le hash d’un exécutable dans le cas précis où la fonctionnalité de macOS Gatekeeper vérifie si un ticket de notarisation existe sur les serveurs d’Apple lors du tout premier lancement de l’application et uniquement si ce ticket de notarisation n’est pas joint à l’application. Plus d’infos sur le fonctionnement de Gatekeeper.

Mais cela n’a rien à voir avec OCSP. Si vous bloquez OCSP avec firewall ou en éditant votre fichier /etc./hosts, vos applications fonctionneront toujours parfaitement, mais vous baisserez le niveau de sécurité de votre OS.

Donc, voilà pour les conclusions de cette affaire… À savoir que pour le moment, il n’a pas été prouvé qu’Apple envoyait des informations concernant les applications à chaque fois que vous les lancez. Que ce cas arrive uniquement dans le cadre d’une vérification bien précise via Gatekeeper lors d’un premier lancement d’un logiciel non vérifié. Et qu’effectivement, Apple envoie des informations en clair sur les certificats de développement des applications que vous utilisez.

Pour le moment, il y a donc 2 sons de cloche sur cette histoire de hashs envoyés à Apple. J’ai plus tendance à croire l’analyse de Jacopo Jannone (et d’ailleurs Kyle Rankin semble aussi revenir sur son analyse), mais comme à chaque fois avec ce genre d’affaires, laissons passer un peu de temps.

On verra bien.


Travailler dans un groupe d’aéronautique ?

Découvrez les offres d’emploi et de stages de Safran dans la data, le digital, le logiciel et les systèmes d’information

Machine Learning, technologie 3D, systèmes de communication ou encore robotique, vous serez amenés à travailler sur différents projets innovants dans une entreprise qui vous laissera entièrement libre de proposer vos idées et qui vous accompagnera dans vos projets.

Vous pourrez peut être travailler sur notre projet Cassiopée : il s’agit du service que l’on rend aux compagnies aériennes, sur l’analyse de leurs données de détection et de déviation par rapport aux standards opérationnels, à des fins de sécurité aérienne.

Si vous n’avez pas peur d’être ambitieux venez consulter nos postes ouverts




NordVPN à -68% + 3 mois offert pour le Black Friday !

— Article sponsorisé par NordVPN —

Vous connaissez déjà tous NordVPN, que ce soit via leur sponsoring sur YouTube ou des sites Tech, dont le mien, puisque je vous ai déjà présenté le service plusieurs fois. Leurs offres sont généralement très intéressantes et c’est encore le cas pour célébrer le Black Friday 2020. Non seulement vous bénéficierez d’une remise de 68% sur l’abonnement 2 ans (plus des 2/3 du prix), mais en plus vous recevrez 3 mois gratuits.

Si vous n’avez pas encore de VPN installé sur votre ordinateur ou votre mobile, c’est peut-être le moment de franchir le pas sans avoir à débourser trop.

Nord VPN Offre Black Friday 2020

Pour ceux qui n’auraient pas lu mes autres articles sur le sujet, sachez que NordVPN est l’une des meilleures solutions du marché actuellement. Disposant d’une très grande rapidité (plus de 5500 serveurs dans le monde), d’une grande flexibilité (dispo sur toutes les plateformes desktop et mobiles en français), d’un tarif abordable et d’une grande facilité d’utilisation il est adapté à n’importe quel type de profil.

Que vous ayez besoin d’un VPN pour sécuriser votre surf, contourner une censure ou tout simplement accéder au catalogue Netflix, Amazon Prime, Disney+ & co … il fera le travail. Et surtout il le fera de manière proactive (en évitant au mieux les bans d’adresses IPs des plateformes de streaming) et sécurisée (chiffrement des données, double IP, serveurs P2P, réseau Onion … trop de choses pour tout citer, mais vous pouvez tout consulter sur leur site).

Les fonctionnalités Nord VPN

A noter aussi qu’en ce moment il est possible d’ajouter 2 services supplémentaires à cette offre de base.

Le premier c’est le gestionnaire de mots de passe maison, NordPass, qui vous permet de mémoriser et gérer vos mots de passe de manière sécurisée. Vous économiserez 71% sur le prix habituellement proposé. Le second est un service de cloud sécurisé, NordLocker, et là c’est pas moins de 81% d’économies que vous ferez. Ils font partie du groupe NordSec, une suite sécurité.

Au total pour 3,15 € avec 3 mois gratuits, vous aurez un des meilleurs VPN du marché. C’est l’idéal pour tester NordVPN en conditions réelles et voir s’il vous convient.

Encore merci à NordVPN de supporter korben.info en cette période !


Travailler dans un groupe d’aéronautique ?

Découvrez les offres d’emploi et de stages de Safran dans la data, le digital, le logiciel et les systèmes d’information

Machine Learning, technologie 3D, systèmes de communication ou encore robotique, vous serez amenés à travailler sur différents projets innovants dans une entreprise qui vous laissera entièrement libre de proposer vos idées et qui vous accompagnera dans vos projets.

Vous pourrez peut être travailler sur notre projet Cassiopée : il s’agit du service que l’on rend aux compagnies aériennes, sur l’analyse de leurs données de détection et de déviation par rapport aux standards opérationnels, à des fins de sécurité aérienne.

Si vous n’avez pas peur d’être ambitieux venez consulter nos postes ouverts



Réponses notables

  1. Avatar for zorg6 zorg6 says:

    La seule question que je me pose est : Quels sont les systèmes, applications, FAI et gouvernements qui ne nous espionnent pas?

    Je doute fortement que W10, Android, IOS et les applications qui les utilisent ne nous espionnent pas.

    La moindre app Android/IOS abuse des demandes de droits accordés sur l’appareil sur lequel elle s’installe. Aucune app ne devrait avoir le droit d’accéder à l’ID de l’appareil, pour commencer, ne parlons même pas du reste des droits (accès à votre carnet d’adresses, vos e-mails, MSM/MMS, documents).

    Je pense qu’en installant une Linux Debian sur mon PC, je limite la casse.
    Je précise cela, car tout le monde se rappelle du comportement inapproprié de certaines Ubuntu qui espionnaient pour le compte d’Amazon.

    Je crains donc que la question du sujet posée soit particulièrement vaine, je m’étonne qu’on se pose la encore question, je comprends qu’on cherche des preuves techniques pour accuser, mais je dois sans doute être trop pessimiste et désabusé pour imaginer que les GAFAM+équivalents Chinois ne nous espionnent pas par tous les moyens possibles, puisque cela fait partie de leur modèle économique ou politique, suivis en cela par tous les développeurs d’apps, sauf peut-être ceux livrant du FOSS.

    L’Histoire nous a appris que le pouvoir est corrupteur et mène à l’abus.
    “On ne peut dominer innocemment. Tout maître est un rebelle et un conspirateur."
    “Tous les arts ont produit des merveilles : l’art de gouverner n’a produit que des monstres."

    [Louis Antoine de Saint-Just 2.0]

    (Pardon StJust, j’ai modifié ta citation pour la mettre au goût du jour)

Continuer la discussion sur Korben Communauté

1 commentaires supplémentaires dans les réponse

Participants