Cela n’aura échappé à personne, Apple a enfin sorti la nouvelle version de son système d’exploitation : Big Sur connu aussi sous le nom de macOS 11.
Évidemment, n’écoutant que mon courage, j’ai fait la mise à jour pour voir et bon, ce n’est pas encore ouf, car certaines applications que j’utilise n’ont pas encore été mises à jour par leur développeur pour Big Sur, donc j’ai des petits ralentissements et des petits bugs d’affichage, mais rien de grave.
Toutefois, d’après certains utilisateurs qui comme moi, ont fait la mise à jour, certaines applications sont devenues non fonctionnelles. On pourrait penser à un bug dans macOS Big Sur mais non. Il s’agissait plutôt d’un dysfonctionnement du côté des serveurs OCSP d’Apple.
OCSP ça veut dire Online Certificate Status Protocol, ou en français « Protocole sur le statut des certificats en ligne« . Bref, ça permet de vérifier si l’application que vous lancez sur votre Mac possède un certificat valide fourni par Apple. Si vous êtes déconnecté d’Internet ou si le serveur d’Apple est HS, la validation du certificat sera contournée et l’application pourra quand même se lancer.
Seulement lors de l’arrivée de Big Sur, les serveurs OCSP d’Apple étaient bien accessibles, mais extrêmement lents. Donc le lancement des applications ne pouvait pas se faire dans un délai raisonnable.
Bon, ça, c’était le premier problème. Évidemment, suite à ça, pas mal de monde s’est penché sur la question et d’autres inquiétudes ont commencé à émerger.
Tout d’abord l’accès à OCSP n’est pas chiffré. C’est du pur HTTP, donc cela veut dire que tout ce qui transite entre votre machine et les serveurs d’Apple peut être lu en clair par tous les intermédiaires (un cybercriminel sur votre Wifi, votre FAI, ou la NSA…). Cela dit, la réponse envoyée par Apple suite à cette requête est signée par le serveur, ce qui confirme son authenticité.
Durant ce bad buzz Apple, certains experts ont expliqué que Apple captait un hash permettant d’identifier l’application que vous lancez sur votre ordinateur, et cela à chaque fois que vous la lancez. Et qu’en plus, il y aurait des informations temporelles (dates, heure, FAI, ville, type d’ordinateur que vous possédez…etc.). Donc que cela représenterait un risque pour notre vie privée. Flippant en effet.
Toutefois, tout le monde n’est pas du même avis et après plus de tests, il semblerait que les requêtes OCSP contiennent uniquement des informations sur le certificat de l’application lancée. Il faut savoir que les certificats utilisés par les développeurs ne sont pas uniques. Un dev peut parfaitement signer plusieurs applications avec le même certificat fourni par Apple. Par exemple, le certificat de Thunderbird est le même que celui de Firefox.
D’après Jacopo Jannone, il s’agit d’un malentendu. Selon lui macOS peut effectivement envoyer tout un tas d’informations ainsi que le hash d’un exécutable dans le cas précis où la fonctionnalité de macOS Gatekeeper vérifie si un ticket de notarisation existe sur les serveurs d’Apple lors du tout premier lancement de l’application et uniquement si ce ticket de notarisation n’est pas joint à l’application. Plus d’infos sur le fonctionnement de Gatekeeper.
Mais cela n’a rien à voir avec OCSP. Si vous bloquez OCSP avec firewall ou en éditant votre fichier /etc./hosts, vos applications fonctionneront toujours parfaitement, mais vous baisserez le niveau de sécurité de votre OS.
Donc, voilà pour les conclusions de cette affaire… À savoir que pour le moment, il n’a pas été prouvé qu’Apple envoyait des informations concernant les applications à chaque fois que vous les lancez. Que ce cas arrive uniquement dans le cadre d’une vérification bien précise via Gatekeeper lors d’un premier lancement d’un logiciel non vérifié. Et qu’effectivement, Apple envoie des informations en clair sur les certificats de développement des applications que vous utilisez.
Pour le moment, il y a donc 2 sons de cloche sur cette histoire de hashs envoyés à Apple. J’ai plus tendance à croire l’analyse de Jacopo Jannone (et d’ailleurs Kyle Rankin semble aussi revenir sur son analyse), mais comme à chaque fois avec ce genre d’affaires, laissons passer un peu de temps.
On verra bien.