[ad_1]
Apple a abordé les problèmes de confidentialité soulevés à propos de macOS au cours du week-end à la suite d’une panne de serveur la semaine dernière.
Un rapport de la semaine dernière a suggéré des identifiants uniques utilisés pour protéger les utilisateurs contre les logiciels malveillants, ce qui constituait un problème de confidentialité car il utilisait des identifiants uniques chaque fois qu’un utilisateur ouvrait une application.
Apple a maintenant répondu à ces affirmations dans une mise à jour de son document d’assistance « Applications ouvertes en toute sécurité sur votre Mac ». Dans une nouvelle section intitulée « Protection de la vie privée », Apple déclare:
macOS a été conçu pour protéger les utilisateurs et leurs données tout en respectant leur vie privée.
Gatekeeper effectue des vérifications en ligne pour vérifier si une application contient des logiciels malveillants connus et si le certificat de signature du développeur est révoqué. Nous n’avons jamais combiné les données de ces contrôles avec des informations sur les utilisateurs Apple ou leurs appareils. Nous n’utilisons pas les données de ces contrôles pour savoir ce que les utilisateurs individuels lancent ou exécutent sur leurs appareils.
La notarisation vérifie si l’application contient des logiciels malveillants connus à l’aide d’une connexion chiffrée résiliente aux pannes de serveur.
Ces contrôles de sécurité n’ont jamais inclus l’identifiant Apple de l’utilisateur ou l’identité de son appareil. Pour protéger davantage la confidentialité, nous avons cessé de consigner les adresses IP associées aux vérifications des certificats d’ID de développeur et nous veillerons à ce que toutes les adresses IP collectées soient supprimées des journaux.
Apple a également confirmé son intention au cours des 12 prochains mois d’introduire trois changements clés dans ce système, à savoir:
- Un nouveau protocole chiffré pour les vérifications de révocation des certificats ID développeur
- Des protections plus solides contre les pannes de serveur (qui ont déclenché tout ce débat)
- Une préférence de désabonnement pour les utilisateurs
En ce qui concerne les préoccupations soulevées dans le rapport initial, Apple a confirmé iMore les contrôles de révocation de certificat utilisés dans ce système sont importants pour la sécurité, car les certificats peuvent être révoqués si un développeur pense qu’il a été compromis ou utilisé pour signer un logiciel potentiellement dangereux.
Économisez gros sur ces services VPN avant le Black Friday
Apple déclare que le protocole OCSP (Online Certificate Status Protocol) est une norme de l’industrie et qu’il ne contient ni votre identifiant Apple, ni l’identité de votre appareil, ni l’application en cours de lancement, mettant ainsi au lit les affirmations selon lesquelles le problème signifiait qu’Apple pouvait voir qui vous étiez et quelles applications vous ouvriez à un moment donné.
Apple dit qu’OCSP est également utilisé pour vérifier d’autres certificats comme ceux utilisés pour crypter les connexions Web, donc ils sont effectués via HTTP pour éviter une boucle infinie (sans jeu de mots) où la vérification de la validité d’un certificat peut dépendre du résultat d’une demande sur le même serveur, qu’il ne pourrait pas résoudre.
Par ailleurs, toutes les applications exécutées sur macOS Catalina et versions ultérieures sont notariées par Apple pour confirmer qu’elles ne contiennent pas de logiciels malveillants lors de leur création, et l’application est vérifiée à nouveau à chaque fois qu’elle est ouverte pour confirmer que cela n’a pas changé pendant ce temps. Apple affirme que ces contrôles sont cryptés et ne sont pas vulnérables aux pannes de serveur.
En ce qui concerne la panne spécifique de la semaine dernière, il semble que cela ait été causé par un problème côté serveur empêchant macOS de pouvoir mettre en cache la réponse aux vérifications OCSP, combiné à un problème CDN non lié, qui entraînait la lenteur des performances et bloquait de nombreux utilisateurs vu en dernier. la semaine. Apple dit que cela a été corrigé et que les utilisateurs n’ont pas besoin d’apporter de modifications de leur côté. Les contrôles de notarisation de l’application (le type crypté mentionné ci-dessus) n’ont pas été affectés par la panne de la semaine dernière.
Quoi qu’il en soit, Apple introduira un nouveau protocole crypté pour les anciennes vérifications de l’ID de développeur l’année prochaine, augmentera la résilience du serveur et, enfin, ajoutera une option de désactivation pour les utilisateurs.
Nous pouvons gagner une commission pour les achats en utilisant nos liens. Apprendre encore plus.
[ad_2]
Poster un Commentaire