Problèmes de Confidentialité avec le Service OCSP d’Apple
7 août 2024
Lors du lancement d’une application, macOS se connecte au service OCSP d’Apple pour vérifier si le certificat de signature de code du développeur a été révoqué. En novembre 2020, ce service a subi une panne massive, empêchant les utilisateurs de Mac à travers le monde de lancer leurs applications. En réponse à cette situation, Apple a formulé plusieurs engagements envers les utilisateurs de Mac dans un document de support, toujours accessible via une archive Wayback Machine datant du 24 septembre 2023.
Pour renforcer la protection de la vie privée, nous avons cessé d’enregistrer les adresses IP associées aux vérifications de certificats de développeur, et nous veillerons à ce que toutes les adresses IP collectées soient supprimées des journaux.
De plus, au cours de l’année à venir, nous introduirons plusieurs modifications à nos vérifications de sécurité :
- Un nouveau protocole crypté pour les vérifications de révocation de certificats de développeur
- Des protections renforcées contre les pannes de serveur
- Une nouvelle option permettant aux utilisateurs de renoncer à ces protections de sécurité
Malheureusement, la dernière promesse concernant l’option de renonciation à ces protections de sécurité n’a jamais été mise en œuvre dans macOS. Il y a deux ans, j’avais déjà signalé qu’Apple avait failli à ses engagements en matière de confidentialité OCSP.
Récemment, j’ai constaté qu’Apple avait supprimé cette promesse du document de support le 26 septembre 2023, jour de la sortie publique de macOS 14 Sonoma. Cela peut également être vérifié via Wayback Machine.
Étrangement, l’URL du document de support original https://support.apple.com/en-us/HT202491 redirige maintenant vers une URL légèrement différente https://support.apple.com/en-us/102445, bien que le contenu des deux documents reste principalement similaire.
La promesse non tenue d’Apple est déplorable. L’entreprise semble espérer que nous oublierons qu’elle a jamais fait cette promesse. Bien qu’Apple proclame que « la vie privée est un droit humain fondamental », ces mots ne coûtent rien. En ce qui concerne notre droit à empêcher nos appareils de communiquer avec Cupertino, Apple ne semble pas intéressé. Si nous ne pouvons pas faire confiance à Apple pour respecter ses engagements, pourquoi devrions-nous croire à d’autres affirmations, comme celle selon laquelle nos adresses IP ne sont pas enregistrées ? Il est en effet impossible de vérifier cela de l’extérieur. La confiance se construit par des actions, et dans ce cas, Apple a échoué à agir.
Pour l’instant, la seule manière de protéger votre vie privée est d’utiliser un pare-feu tel que Little Snitch pour bloquer ces connexions.
