Le Portal Pacher
Accueil > Software > Sécurité sous Mac OSX

Sécurité sous Mac OSX

dimanche 4 septembre 2016, par Phi, 261 Vues

Noter cet article

En ces temps d’espionnage ou de soupçons d’espionnages de la part d’acteurs officiels (gouvernements ou entreprises), il vaut mieux prendre ses précautions même si vous avez une machine Apple, malgré toute l’attitude officielle de la firme.


En effet, l’article suivant de Sunrisepage indique qu’il est possible qu’Apple puisse voir et lire tout ce que vous tapez.

Controlling the beast : espionnage (à confirmer) par Apple

C’est d’ailleurs la raison principale pour laquelle votre machine ralentit parfois et est beaucoup plus lente tout d’un coup par rapport à OSX Lion par exemple, il y a énorméments de connections automatiques à des serveurs Apple sous Mac OSX El Capitan, et dès que l’accès ralentit votre machine ralentit même si elle est 10 fois plus rapide qu’un iMac de 2007.

Little Snitch, outil payant mais essentiel

L’outil essentiel que vous devez utiliser c’est le logiciel Little Snitch payant qui vous permet d’arrêter ou de vous avertir pour autorisation lors de ces connections, même si ce dernier est sans doute limité (une ancienne version n’a absolument pas détecté certains chevaux de troie - comme c’est à peu près le seul firewall potable sur MacOSX c’est sur que les bandits pensent à le contourner). Mais Apple n’est pas officiellement un bandit 8-) donc il ne devrait pas le contourner.

Sunrisepage sur MacOSX 10.11 une vraie mine d’information

La page de Sunrise permet de déterminer quelles sont les ports/applications à bloquer et pourquoi il y en a 29 !!! Et en plus la page est difficile à lire parce qu’elle est tronquée et qu’il y a des doublons, en tout cas en affichage sous Safari.

Je n’ai pas mis en oeuvre les 29 règles, seulement les suivantes :

- akd (compte Apple)
- AppleIDAuthAgent (compte Apple)
- storeaccountd (Compte Apple)
- storeassetd (Compte apple)
- softwareupdated (Compte Apple)

- apsd (continuity iPhone)
- assistantd (Dictée)
- helpd (Aide dynamique Apple)
- Spotlight (Recherche Apple)

- Little Snitch Agent / apple.com (Géolocalisation pour les profils Little Snitch)
- mapspushd (Géolocalisation)
- com.apple.geod.xpc (Géolocalisation)

C’est bizarre, si j’empêche curl de se connecter sur www.apple.com mon scanner Brother sur le réseau Wifi ne fait que de disparaître. On se demande si les scans ne font pas un aller retour vers apple puisque effectivement je n’ai jamais compris pourquoi c’était bcp plus lent en Wifi qu’en USB.

En gros je n’ai pas besoin d’accéder en permanence à mon compte Apple, juste quand j’achète du contenu sur le store ou l’iTunes store ou quand il y a des updates (qu’il est souvent possible de récupérer sous forme de dmg offline). Je n’utilise pas continuity iCloud ni certains services. Sinon Apple sait exactement ou vous êtes quand vous êtes sur votre ordinateur.

Bien entendu, il faut désactiver ces règles lorsque vous updatez vos softs Apple en ligne. Au passage dommage que Little Snitch ne permet pas de faire des catégories et ou des tris par type (ex : deny), qui permettraient de s’y retrouver plus rapidement.

Tout l’accès internet passe sur l’iPhone, mes ordinateurs fixes ne sont pas connectés en permanence sur internet (il faut connecter un cable éthernet RJ-11 débranché par défaut), ce qui explique peut-être pourquoi cette configuration peut marcher chez moi.

Conclusion

Voilà maintenant on peut se poser la question du pourquoi de cette volonté de réduire fortement mon empreinte numérique ?

Globalement je m’en fiche que des gouvernements français, américains, russes ou chinois, ou que des grandes entreprises comme Apple, Google, Amazon, Facebook ait accès à mes informations.

Par contre que des criminels, soit employés de ces entreprises, soit externes grâce à toutes la pléthore des failles ait accès et ensuite me fassent chanter, m’espionnent ou rendent ma vie impossible pour des affaires liés au droit commun - non. Et ce n’est *pas* du tout théorique, en plus de la batte de baseball de plus en plus l’arsenal numérique est dans la panoplie du délinquant de droit commun ne serait ce que pour le recueillement d’informations.

Donc pour cette raison, il faut se protéger et surtout réduire sa surface d’attaque numérique. Et c’est pourquoi les gouvernements et les GAFAs sont irresponsables de multiplier autant les failles software et hardware. Ils créent l’équivalent d’un état en faillite "failing state" numérique. Quand cela sautera on sera dans une situation similaire aux pays moins avancés ou l’état non numérique est en faillite avec une très grande difficulté pour reconstruire une infrastructure fonctionnelle.

Bien entendu, la sécurisation de MacOSX n’est qu’un élément de cette stratégie, il faut que j’écrive un autre article plus global (qui est au moins en retard de 5 ans).

Liens utiles

Little Snitch

La page de Sunrise


Un message, un commentaire ?

Qui êtes-vous ?
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

SPIP | squelette | | Plan du site | Suivre la vie du site RSS 2.0