[gull] [H.S. OS.X] Trousseau de clefs, les mots de passe exportes par Apple ?
Frederic Dumas
f.dumas at ellis.siteparc.fr
Fri Sep 21 20:00:44 CEST 2018
C'est vendredi, on s'habille en casual et j'aimerai parler d'OS.X sur
notre liste dédiée au Libre. Parce que c'est parmi vous que j'ai une
chance de trouver une personne suffisamment intéressée par les questions
de vie privée pour peut-être obtenir des réponses pertinentes.
Sur OS.X, les certificats et mots de passe (X.509, WiFi, Web, SSH, etc.)
sont stockés par les applications dans l'utilitaire Trousseau d'accès
(Keychain en anglais), fourni par défaut avec le système d'exploitation
d'Apple. Firefox et Thunderbird sur Mac font exception à la règle, et
conservent les identifiants dans leur propre répertoire. Les autres
applications utilisent Keychain.
La particularité d'OS.X depuis sa version 10.9, c'est qu'il exporte
désormais tous les identifiants et mots de passe de l'utilisateur dans
l'iCloud d'Apple, pour faciliter la synchronisation de plusieurs
appareils entre eux, et permettre l'utilisation des mêmes mots de passe
sur les différents appareils Apple qu'on possède. Pour autant, si on n'a
qu'une machine, on peut souhaiter ne pas voir ses mots de passe exportés
à l'extérieur. C'est mon cas. Je ne souhaite pas profiter de ce service
de synchronisation vers iCloud.
Il est facile de trouver sur les pages d'aide d'Apple la méthode pour
activer l'export des mots de passe vers iCloud. Par contre, mes
recherches ne m'ont pas permis de trouver comment s'assurer que cet
export n'a pas lieu, de manière automatique, par défaut. Comment avoir
la certitude que le système d'exploitation n'exporte pas mes
identifiants vers iCloud, même en l'absence d'un compte iCloud
explicitement activé ? Ce n'est écrit nulle part noir sur blanc.
Je ne cherche pas ici la garantie qu'il n'existe pas de backdoor dans
l'OS d'Apple, ce qu'on ne peut pas facilement établir quand le code est
fermé. Je cherche plus simplement selon quels critères officiels,
l'administrateur d'une machine Mac OS doit configurer son système, pour
interdire la synchronisation des mots de passe vers le cloud d'Apple.
On pourrait penser qu'il suffit de ne pas activer de compte iCloud, ce
qui serait alors ma situation, et l'export serait bloqué. Pourtant, le
système d'exploitation persiste à stocker mes mots de passe dans un
trousseau nommé "Local items", dédié précisément à la synchronisation
extérieure vers iCloud, au lieu de les stocker dans l'autre trousseau,
celui qui s'appelle "Login", qui est normalement dédié à l'utilisateur
connecté, et qui lui n'est pas synchronisé. De même, un mot de passe
nommé "iCloud Keychain Account Meta-data" s'est trouvé actualisé par le
système d'exploitation il y a deux jours dans le Trousseau (Keychain) de
ma machine, sans que je n'ai rien demandé. Tout ça me rend dubitatif, et
laisse l'impression que si la fonction est peut-être en veille, il ne
faudrait pas grand chose pour que l'export de mes mots de passe se fasse
a-mon-insu-de-mon-plein-gré.
L'un d'entre vous utilisant OS.X a-t-il des informations détaillant ce
qu'il suffit de faire pour que les identifiants et mots de passe **ne**
soient **pas** exportés vers iCloud, dans les versions récentes de Mac OS ?
Merci.
Frédéric
PS: merci de s'abstenir des réponses du type "tu ne peux pas vraiment
savoir", "avec un OS propriétaire, tu n'as aucune certitude", "utiliser
Mac OS est une mauvaise idée"; nous sommes adultes et vaccinés. Inutile
d'enfoncer des portes ouvertes.
--
Frédéric Dumas
f.dumas at ellis.siteparc.fr
More information about the gull
mailing list