Depuis la sortie de macOS Big Sur le 12 novembre, Apple a subi des réactions négatives en raison de sa décision d’autoriser les applications Apple par défaut à communiquer avec ses serveurs d’une manière qui contourne les pare-feu tiers et les réseaux privés virtuels lorsque le kill-switch est activé.

macOS est généralement considéré comme une plate-forme meilleure pour la confidentialité et la sécurité des données des consommateurs.Il semble donc contre-productif que le système d’exploitation mis à jour d’Apple renvoie une télémétrie invasive de telle sorte qu’elle affecte potentiellement les utilisateurs de VPN.

La possibilité pour les consommateurs de cacher leur position aux services en ligne (y compris les propres applications d’Apple) est importante pour un grand nombre de personnes qui apprécient la confidentialité.

Pour qu’un VPN soit en mesure de fournir cette confidentialité, il est essentiel que les données utilisateur identifiables ne puissent pas être récoltées en dehors du tunnel VPN à n’importe quel stade de la mise en réseau. Malheureusement, les changements déployés dans Big Sur peuvent permettre à ce type de suivi de se produire dans certaines circonstances, ce qui suscite des inquiétudes quant à l’utilisation des VPN sur Big Sur.

Big Sur: une mise à jour problématique

Le problème tourne autour de la décision d’Apple de contourner les règles de pare-feu définies par l’utilisateur dans Big Sur. Cela permet à Apple de collecter des informations auprès des utilisateurs de Mac lorsqu’ils utilisent certaines applications Apple.

Publicité

Ceci est préoccupant car cela crée théoriquement une piste de données qui pourrait être exploitée pour déterminer quels programmes ont été utilisés, quand et où. Avec ces données sur les serveurs d’Apple, l’entreprise ou même le gouvernement pourrait y accéder à l’aide d’un mandat.

C’est exactement le type de suivi que les utilisateurs de VPN cherchent à empêcher et l’idée que Big Sur contourne délibérément la capacité d’empêcher le suivi soulève de sérieuses préoccupations. Andy Yen, fondateur et PDG de ProtonVPN, a expliqué la situation à ProPrivacy:

Empêcher les pare-feu tiers de bloquer les propres applications et la télémétrie d’Apple dans Big Sur est une décision hostile aux utilisateurs, ce qui rend beaucoup plus difficile pour eux de contrôler la façon dont leurs données sont collectées.

Andy Yen

Tous les clients VPN ne sont pas affectés

La bonne nouvelle est que les mises à jour implémentées dans Big Sur n’affectent pas tous les pare-feu VPN. De nombreux VPN fiables implémentent leurs applications VPN Mac de telle sorte que toutes les données passent par le tunnel VPN même lorsque le kill-switch est activé.

ExpressVPN a déclaré à ProPrivacy que les utilisateurs de Mac n’avaient pas à s’inquiéter des données collectées par les applications Apple en dehors du tunnel VPN:

Nous avons étudié cette question de manière approfondie et pouvons confirmer que les applications Apple ne sont pas en mesure de contourner l’application ExpressVPN pour macOS et d’envoyer des données en dehors du tunnel VPN. Le problème affecte principalement les applications VPN qui utilisent certaines API de macOS dans son cadre d’extension réseau, ce qu’ExpressVPN n’utilise pas.

ExpressVPN

Malgré cela, ExpressVPN nous a dit qu’ils étaient très préoccupés par la décision d’Apple d’exempter ses propres applications des règles de mise en réseau définies par l’utilisateur:

Nous partageons la préoccupation générale de l’industrie de la sécurité numérique selon laquelle ces changements d’Apple risquent d’avoir un impact négatif sur la confidentialité et la sécurité des utilisateurs. Lorsque les utilisateurs utilisent des VPN, des pare-feu et d’autres outils similaires, ils ont parfaitement le droit de s’attendre à ce qu’Apple ne privilégie pas leur propre trafic et contournera ces protections.

Testé

Andy Yen, PDG de ProtonVPN, nous a également informés que le VPN avait minutieusement testé le problème pour s’assurer que son client Mac n’est pas affecté:

Lorsque nous avons pris conscience du problème, nous avons immédiatement exécuté une batterie de tests sur notre application Mac, interceptant toutes les connexions entrant et sortant d’une machine de banc d’essai pour une analyse au niveau des paquets. Après une longue période de tests, nous avons été convaincus qu’aucun paquet ne pouvait entrer ou sortir de la machine du banc d’essai en dehors de l’interface VPN si le kill-switch était activé.

Selon Yen, l’application ProtonVPN pour macOS n’est pas affectée par le problème causé par Big Sur car le kill-switch utilise le filtre de paquets macOS (PF) pour garantir que les connexions ne sont pas possibles en dehors du tunnel VPN. Yen a expliqué:

Le PF fonctionne à un niveau inférieur à celui de nombreux pare-feu au niveau des applications, y compris ceux utilisés par Little Snitch et certaines autres applications VPN. Celles-ci s’appuient sur les extensions réseau NEFilterDataProvider et NEAppProxyProvider pour implémenter leurs règles de pare-feu, et ce sont ces extensions réseau qu’Apple a contournées dans Big Sur pour empêcher ses propres services d’être bloqués.

Le fournisseur de VPN suédois PrivateVPN nous a également confirmé qu’il n’était pas affecté par les changements à Big Sur:

Nous utilisons le filtre de paquets (PFCTL), qui est intégré à macOS. Cela signifie que tous les paquets d’application (trafic) ne seront pas exclus de notre pare-feu (kill-switch).

Il en va de même pour le fournisseur américain Private Internet Access, qui nous a dit:

Le problème affecte uniquement les VPN et les pare-feu utilisant les API NetworkExtension sur macOS. PIA Desktop utilise un périphérique utun et n’est pas affecté.

Mullvad a également informé ProPivacy que son application Mac avait été testée. Il utilise PF pour acheminer avec succès tout le trafic à l’intérieur du tunnel VPN:

Nous avons connecté l’appareil macOS à Internet via une autre machine sur laquelle nous pouvions surveiller tout le trafic réseau vers et depuis l’appareil macOS. Ensuite, nous avons sécurisé l’application sur l’appareil. Nous avons commencé à utiliser des applications Apple et nous n’avons pas pu observer de trafic réseau qui n’était pas chiffré et se dirigeait vers notre serveur VPN.

Alors que les tests de Mullvad ont révélé que l’application VPN fonctionnait comme il se doit, le fournisseur n’a pas tardé à souligner que:

Personne ne peut garantir une sécurité à 100%. Ce n’est pas possible. Pourtant, des bogues inconnus dans le système d’exploitation ou notre logiciel VPN pourraient théoriquement apparaître à tout moment, fournissant un vecteur d’attaque ou provoquant une fuite. Mais nous faisons de notre mieux pour éviter que cela ne se produise de manière proactive en évaluant soigneusement la façon dont nous mettons en œuvre nos mesures de sécurité et les API du système d’exploitation sur lesquelles s’appuyer.

Besoin de connaître des informations

D’autres fournisseurs de VPN, notamment CyberGhost et Surfshark, nous ont informés qu’ils étaient conscients des problèmes résultant des modifications apportées à Big Sur. Ces fournisseurs VPN étudient actuellement pour voir s’ils doivent apporter des modifications à la mise en œuvre de leurs clients VPN macOS. Un porte-parole de Surfshark nous a dit:

Surfshark teste actuellement l’impact des changements Apple introduits dans Big Sur et apportera des adaptations si nécessaire.

Ce que nous savons des tests effectués par les principaux fournisseurs de VPN, c’est que le problème de fuite de données affecte négativement les clients VPN macOS qui utilisent des API macOS spécifiques. Par conséquent, tous les VPN qui utilisent les extensions réseau NEFilterDataProvider et NEAppProxyProvider pourraient être affectés.

Chez ProPrivacy, nous sommes conscients que cela soulève des inquiétudes pour les utilisateurs de VPN, qui souhaitent savoir quels VPN sont et ne sont pas affectés. C’est pourquoi nous avons contacté des fournisseurs de VPN leaders du marché pour savoir où ils en sont. Nous mettrons à jour cet article au fur et à mesure que ces prestataires nous fourniront une réponse définitive (une liste se trouve sous cet article).

En fin de compte, la décision d’autoriser l’Apple App Store et 50 autres applications Apple à contourner les règles de routage Internet définies par l’utilisateur équivaut à une énorme atteinte à la vie privée.

Les utilisateurs ont le droit de contrôler quelles données quittent leurs appareils et comment, et toute tentative de fournir des privilèges pour ses propres applications et télémétrie est accablante.

Malheureusement pour les utilisateurs, Apple a toujours été d’avis qu’à moins de pouvoir tout contrôler dans son jardin clos, il ne peut pas garantir la meilleure expérience possible aux utilisateurs. Maintenant, il semblerait qu’Apple cherche à étendre cette philosophie du matériel et des logiciels au réseau – une décision qui va à l’encontre de ses affirmations selon lesquelles il s’agit d’une plate-forme soucieuse de la confidentialité des utilisateurs.

VPN actuellement connus pour ne pas être affectés par les changements à Big Sur:

Rate this post
Publicité
Article précédentCyberpunk 2077 a été divulgué sur des sites pirates et partagé à des taux sans précédent
Article suivantAOC dévoile un moniteur incurvé de 49 pouces à 120 Hz

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici