Apple renie sa promesse d’un opt-out pour l’OCSP

 (lapcatsoftware.com)
4 points par GN⁺ 2024-08-09 | 1 commentaires | Partager sur WhatsApp
  • Lorsqu’une app est lancée sur macOS, le système se connecte au service OCSP d’Apple pour vérifier si le certificat de signature de code Developer ID a été révoqué
  • En novembre 2020, le service OCSP d’Apple a subi une panne majeure, empêchant les utilisateurs de Mac du monde entier de lancer des apps
  • Apple a fait plusieurs promesses pour résoudre ce problème, comme on peut le voir dans une archive Wayback Machine du 24 septembre 2023
  • Les promesses d’Apple
    • cesser de journaliser les adresses IP liées aux vérifications des certificats Developer ID, et supprimer des journaux les adresses IP déjà collectées
    • introduire plusieurs changements aux contrôles de sécurité au cours de l’année suivante
      • un nouveau protocole cryptographique pour vérifier la révocation des certificats Developer ID
      • une protection robuste contre les pannes serveur
      • un nouveau réglage permettant aux utilisateurs de désactiver ces protections de sécurité
  • Promesse rompue
    • le « nouveau réglage permettant aux utilisateurs de désactiver ces protections de sécurité » n’a pas été implémenté dans macOS
    • le 26 septembre 2023, jour de la publication de macOS 14 Sonoma, Apple a supprimé cette promesse de son document d’assistance
    • l’URL originale du document d’assistance était https://support.apple.com/en-us/HT202491, mais elle redirige désormais vers https://support.apple.com/en-us/102445. Le contenu des deux documents est en grande partie identique
  • Critiques
    • le reniement de cette promesse par Apple est honteux
    • Apple semble espérer que nous oubliions cette promesse
    • l’entreprise affirme que « la vie privée est un droit humain fondamental », mais ses actes ne le montrent pas
    • si l’on ne peut pas faire confiance aux promesses d’Apple, il est aussi difficile de croire à son affirmation selon laquelle les adresses IP ne sont pas journalisées
    • la confiance se gagne par les actes, et dans ce cas Apple n’a pas agi
  • Comment protéger sa vie privée
    • pour protéger ses données personnelles, il faut bloquer ces connexions avec un pare-feu comme Little Snitch

Le résumé de GN⁺

  • Retour sur le cas où Apple n’a pas tenu ses promesses concernant le service OCSP sur macOS
  • Présentation d’un point de vue critique sur le non-respect des engagements d’Apple en matière de protection de la vie privée
  • Mise en avant de la nécessité pour les utilisateurs de configurer eux-mêmes un pare-feu pour protéger leur vie privée
  • Parmi les autres logiciels de pare-feu offrant des fonctions similaires, on peut citer Little Snitch

À lire aussi

1 commentaires

 
kandk 2024-08-12

« La confidentialité est un droit humain fondamental »