Objective Development, l’éditeur de Little Snitch, ne désarme pas face aux changements apportés dans macOS Big Sur qui rendent inopérants certains filtrages de ce logiciel de pare-feu.
Pour résumer à grand traits, Apple impose à ces logiciels qui surveillent, signalent et bloquent certaines activités réseau (ainsi qu’aux applications de VPN), de se brancher sur une nouvelle extension système — le Network Extension Framework — apparue avec Catalina et devenue obligatoire avec Big Sur.
Cependant, Apple s’est arrogée le droit de ne pas utiliser son extension système pour une bonne cinquantaine de ses applications et services système, dont FaceTime, le service de mise à jour système, Plans, etc. Little Snitch ne pourra pas les voir et ces communications ne passeront pas non plus au travers des tunnels ouverts par les utilitaires de VPN.
- macOS Big Sur a des angles morts pour Little Snitch 5
- macOS Big Sur : Apple ne respecte pas les extensions réseau et les VPN pour ses apps
L’éditeur autrichien de Little Snitch concède volontiers que certaines choses nécessitent de ne pas être entravées, comme la vérification à distance par Apple de l’absence de malware dans les logiciels qu’on lance pour la première fois ou la récupération automatique de mises à jour de sécurité. Mais il reproche à Apple de rendre totalement imperméables à tout accès et observations par l’utilisateur toutes ces opérations. Une approche qu’Objective Development juge inverse à la politique de transparence promue par ailleurs par Apple :
Vous avez le droit de savoir où votre ordinateur se connecte. À qui il parle. C’est votre droit de voir ces connexions. C’est votre droit de les autoriser. Et c’est votre droit de les empêcher.
[…]
Cacher complètement à l’utilisateur ces connexions n’a aucun sens. Cela contredit l’idée d’un système transparent et digne de confiance et sape la confiance de l’utilisateur dans ce système.
Objective Development explique qu’il fait face au même type de challenge qu’Apple. Little Snitch doit permettre aux utilisateurs de bloquer certaines communications mais il doit le faire d’une manière responsable et explicite sur les conséquences.
Cela passe par des explications lorsqu’on veut bloquer telle ou telle opération système ou par des règles de pare-feu prêtes à l’emploi qui évitent de faire n’importe quoi : « Mais la décision finale d’accepter ou non les éventuelles conséquences devrait toujours être laissée à l’utilisateur, à vous ».
Dans l’attente d’une possible évolution d’Apple sur ce sujet, l’éditeur travaille sur des moyens pour Little Snitch de pouvoir agir à nouveau sur ces services système désormais masqués pour les gérer. A priori les développeurs ont trouvé quelques pistes « prometteuses » pour y arriver.