Le 12 novembre, les utilisateurs de Mac se sont plaints de la lenteur de leur ordinateur. Cette lenteur a coïncidé avec la sortie de Big Sur, la dernière mise à jour Mac d'Apple. Dans le même temps, un problème a cassé les serveurs qu'Apple utilise pour les requêtes OCSP, les paquets de données qui vérifient le certificat SSL d'un ordinateur lorsqu'il accède aux applications en ligne.
Chaque fois qu'un utilisateur ouvre une application (même hors ligne), cette action est signalée et suivie par les serveurs OCSP d'Apple. Cette fonctionnalité a été introduite dans la mise à jour Catalina d'Apple, mais certains outils (comme Little Snitch) pourraient être utilisés pour la contourner.
Maintenant, avec Big Sur, il n'y a aucun moyen pratique pour les propriétaires de Mac de contrer cette fonctionnalité. Pomme (Actions Apple avec ticker: AAPL) a toujours dit que la vie privée est au cœur de sa mission, mais ces nouvelles révélations mettent en lumière certaines failles dans la collecte de données.
De plus, la collecte de données d'Apple avec Big Sur n'est peut-être même pas le principal problème, car ces requêtes OCSP sont transmises en clair, ce qui signifie que le contenu peut être lu par toute partie qui l'intercepte.
La mise à jour Mac permet l'enregistrement d'activité hors ligne
"Dans les versions modernes de macOS, vous ne pouvez tout simplement pas allumer votre ordinateur, démarrer un éditeur de texte et écrire ou lire sans qu'un journal de votre activité ne soit envoyé et stocké", a écrit Jeffrey, un hacker et chercheur en sécurité. Paul.
Il a expliqué qu'il ne pense pas que "Apple a de mauvaises intentions", mais que son objectif est de surveiller les logiciels malveillants et autres logiciels illicites sur ses appareils. Le problème est que ces requêtes OCSP ne sont pas chiffrées et donc "vulnérables à la surveillance passive".
Cela laisse les données ouvertes à la collecte et à l'analyse par des «organisations de surveillance passive à grande échelle». Ce type de préoccupation a conduit à des opinions contre les serveurs de suivi des contacts centralisés dans l'UE.
Solutions de protection des données
Pour tous les utilisateurs de Mac souhaitant échapper à la surveillance, des solutions seront recherchées hors de portée d'Apple. «MacOS Big Sur (version 11.0) permet au trafic de contourner les règles normales de routage et de pare-feu.
Ce qui signifie simplement que Little Snitch ne pourra pas le surveiller et le bloquer, et même un VPN ne peut pas vous aider ou vous cacher. MacOS l'a maintenant simplement interdit. " Sean O'Brien, chercheur principal au Digital Security Lab d'ExpressVPN, a déclaré qu'en fin de compte, un VPN "n'empêchera pas Apple de collecter ces données, mais il protégera au moins les utilisateurs des autres intermédiaires de réseau".
Il existe un moyen de désactiver la fonctionnalité, bien que Paul ait déclaré que seuls les experts MacOS devraient l'essayer. «En réalité, cependant, la première chose que les consommateurs peuvent faire pour protéger leur vie privée lorsqu'ils utilisent des appareils Apple est de ne jamais utiliser iCloud et de ne pas utiliser iMessage», a poursuivi Paul. Les données d'ICloud ne sont pas cryptées, a-t-il déclaré.
