Comment tous les Macs de la planète se sont arrêtés
Jeudi 13 Novembre, des millions d’utilisateurs de Mac OS se retrouvent face à un bug assez handicapant et inexplicable : lorsqu’une application est lancée, elle rebondit dans la barre de dock et ne s’ouvre qu’après une dizaine de minutes. Enquêtons sur ce bug planétaire …
Certains utilisateurs ont observé trois choses. La première est que ce bug survient uniquement pour les applications tierces (non Apple). La deuxième est que le fait de couper l’accès à Internet depuis le Mac résout le problème. En suivant cette piste, un troisième observateur a utilisé le logiciel Little Snitch qui permet de surveiller les connexions réseau entrantes/sortantes depuis votre Mac. Et il remarque qu’interdire les connexions vers ocsp.apple.com résout aussi le problème :
Mais quelle est cette URL ocsp.apple.com et à quoi sert-elle ?
Ne faisons pas durer plus longtemps le suspens, c’est le GateKeeper d’Apple.
Si vous téléchargez et installez des apps à partir d’Internet ou directement à partir d’un développeur, macOS continue à protéger votre Mac. Lorsque vous installez des applications Mac, des modules externes et des programmes d’installation qui ne proviennent pas de l’App Store, macOS vérifie la notarisation et la signature par identifiant du développeur et pour s’assurer que le logiciel provient d’un développeur identifié et n’a pas été modifié.
Apple
Pour résumer, Apple utilise un serveur (à l’adresse oscp.apple.com) pour envoyer une signature des applications que vous ouvrez. Cette signature est composée de l’heure (date + heure), du nom de votre ordinateur, de votre ville/région/fournisseur internet (grâce à l’adresse IP) et d’un hash propre à l’application. Cela permet à Apple de vérifier que l’application que vous lancez n’est pas un virus ou une application non certifiée. Lorsque l’OSCP est rejetée par le serveur, vous avez un message vous indiquant que l’application n’est pas certifiée (et que vous pouvez quand même l’autoriser à vos risques et périls). Cette fonctionnalité a été mis en place en Octobre 2019 pour lutter contre les malwares.
Mais lorsque le serveur d’Apple, comme c’était le cas ce jeudi, mets beaucoup de temps à répondre, votre Mac va refaire une requête jusqu’à atteindre la limite (fixée apparemment à 10 minutes). Et c’est exactement ce qu’il s’est passé pour tous les utilisateurs de Mac connectés à Internet.
La mise à disposition de Mac OS Big Sur, la prochaine version de Mac OS, a déclenché un grand nombre de mises à jours et donc d’appels vers ce serveur qui n’a pas tenu la charge.
Maintenant que nous avons compris la source du problème, posons quelques questions :
- Est-ce une bonne chose que toutes les machines d’une marque soient dépendantes pour leur bon fonctionnement d’un seul service ? Même si je suis sûr qu’il y a plusieurs serveurs pour répondre à ces demandes, c’est ce qu’on appelle un Single Point Of Failure
- Pourquoi ces requêtes OCSP ne sont pas chiffrées et passent par un service tiers (CDN Akamai) alors qu’elles contiennent des données personnelles ? Pas sûr qu’Apple ait été transparent à ce sujet pour ses utilisateurs et pas sûr que ça plaise à tout le monde.
- Est-il possible de désactiver ce comportement ? Oui, et j’en parle juste en dessous.
Je pense qu’Apple fera tout pour que cet incident ne se reproduise pas. Mais si vous voulez bloquer ces requêtes, vous pouvez utiliser le logiciel Little Snitch ou lancer ces deux commandes dans votre terminal :
echo "127.0.0.1 ocsp.apple.com" | sudo tee -a /etc/hosts
sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder
Cela bloquera les connexions à ocsp.apple.com et videra les caches DNS.
Sources :
Derniers commentaires