Les changements réseau de macOS Sequoia : guide à jour

macOS Sequoia est livré avec une pile réseau qui semble superficiellement identique à celle de Sonoma mais comporte des changements significatifs en dessous — certains documentés, certains déduits des rapports de développeurs tiers sur ce qui a cassé, et certains encore en train de se stabiliser au fur et à mesure des mises à jour. Si vous administrez des Macs, construisez des applications réseau, ou voulez juste savoir pourquoi votre VPN exige soudainement une nouvelle approbation, les changements réseau de macOS Sequoia valent la peine d'être compris en détail.

Je serai honnête sur ce qui est bien documenté et ce qui bouge encore. Les notes de version d'Apple pour les frameworks réseau sont éparses comparées à, par exemple, les notes du compilateur Swift, donc une bonne partie du « ce qui a changé » provient des retours d'expérience de développeurs.

NEHelper et l'histoire des extensions réseau Sequoia

NEHelper est le démon de longue date qui gère l'activité du framework NetworkExtension — VPNs, filtres de contenu, tunnels de paquets. Sequoia a fait plusieurs ajustements ici.

Approbation et état

• Réapprobation après mise à niveau. Une plus grande proportion d'utilisateurs a dû passer par Réglages Système → Général → Ouverture de session et extensions pour réactiver leur VPN ou filtre après la mise à niveau vers Sequoia.
• Visibilité d'état plus claire. L'interface Ouverture de session et extensions consolide les approbations de filtres réseau plus lisiblement qu'auparavant.
• Attribution par processus. Quand un filtre de contenu bloque une connexion, l'attribution à l'application source est plus fiable qu'elle ne l'était sur les versions précédentes.

Ce que cela signifie pour les utilisateurs

Si vous avez mis à niveau et que votre VPN « a cessé de fonctionner », il n'a presque certainement pas cessé — l'extension a juste besoin d'une réapprobation. Allez dans Réglages Système → Général → Ouverture de session et extensions → Extensions réseau, trouvez l'entrée pour votre fournisseur VPN, basculez-la sur on, approuvez l'invite, et la plupart du temps tout reprend.

Comportement de l'API Content Filter

Les API NEFilterDataProvider et NEFilterPacketProvider sont ce qu'utilisent les applications comme Little Snitch, LuLu et les agents de sécurité endpoint d'entreprise. Sequoia a resserré quelques coins ici.

Ce qui a changé en pratique

• Les filtres voient désormais un mélange légèrement différent de trafic d'origine système qu'ils ne le voyaient sur Sonoma
• Une certaine surface d'API privée sur laquelle les auteurs de filtres s'appuyaient a été davantage restreinte
• Les caractéristiques de performance sous trafic intense se sont améliorées pour plusieurs fournisseurs de filtres courants

Ce qui a cassé et ce qui a été réparé

Dans les premières versions de Sequoia, plusieurs filtres de contenu ont connu des faux positifs ou des problèmes de connectivité transitoires. La plupart des éditeurs majeurs ont livré des mises à jour en quelques semaines. Si vous faites tourner un filtre plus ancien, mettez-le à jour avant de supposer que le problème vient de Sequoia lui-même.

iPhone Mirroring et restrictions réseau

Une fonctionnalité véritablement nouvelle de Sequoia : iPhone Mirroring, qui vous laisse contrôler votre iPhone depuis votre Mac. Elle a des implications réseau.

Ce que ça fait

• Diffuse l'écran de votre iPhone et accepte les saisies de votre Mac
• Relaie les notifications du téléphone au Mac
• Utilise une connexion de style continuité par Wi-Fi ou partage filaire

Ce que cela signifie pour la bande passante

• Une session de mirroring active est un trafic soutenu significatif — plus proche d'un appel vidéo que d'un échange textuel
• Les notifications relayées pendant le mirroring ajoutent un filet d'arrière-plan petit mais constant
• Sur les connexions plafonnées, cela s'accumule plus vite que les gens ne s'y attendent

Restrictions

• iPhone Mirroring est restreint dans certaines régions de l'UE pour des raisons réglementaires
• Il exige les deux appareils sur le même identifiant Apple et le même réseau
• Certains Macs gérés en MDM l'ont désactivé par politique

Si vous utilisez iPhone Mirroring et partagez la connexion du Mac via le hotspot du téléphone, vous pouvez vous retrouver dans une boucle où le trafic du Mac sort par le téléphone, y compris la session de mirroring elle-même. C'est une configuration inefficace dans laquelle vivre.

Apple Intelligence et on-device versus serveur

Sequoia est la version où Apple Intelligence a commencé à arriver par étapes. L'histoire réseau ici est mitigée.

Ce qui reste sur l'appareil

• La plupart des fonctionnalités de contexte personnel tournent sur l'appareil sur les puces supportées
• La relecture et le résumé de courts textes au niveau OS ne font typiquement pas de round-trip vers un serveur

Ce qui va vers Private Cloud Compute

• Les requêtes plus larges sont routées vers l'infrastructure Private Cloud Compute d'Apple
• La connexion est chiffrée et Apple a des affirmations détaillées sur les propriétés de confidentialité
• D'un point de vue bande passante, ces requêtes sont du vrai trafic réseau

Pourquoi cela compte pour la surveillance

Si vous voyez soudain de l'activité réseau attribuée à des processus système que vous ne reconnaissez pas après avoir activé les fonctionnalités Apple Intelligence, c'est probablement pourquoi. L'activité est légitime, mais c'est aussi du vrai trafic qui compte dans les budgets de bande passante et l'autonomie de batterie.

Voyez chaque processus système qui parle au réseau

ova liste chaque application et auxiliaire utilisant la bande passante sur votre Mac, rafraîchi environ une fois par seconde, avec toutes les données stockées localement. Signé, notarisé, ~3 Mo.

Télécharger pour macOS

DNS et résolution HTTPS

Sequoia a continué la marche graduelle vers un DNS plus privé par défaut.

Ce qui est solide

• Le DNS chiffré au niveau système via les profils de configuration fonctionne de la même façon que sur Sonoma
• Le comportement HTTPS par défaut dans Safari est inchangé
• Le DNS personnalisé au niveau du réseau continue de s'appliquer à la plupart des applications

Ce qui bouge

• Le comportement de certaines API privées autour des hooks DNS a changé ; cela a affecté un petit nombre d'outils de surveillance réseau
• Les abonnés iCloud Private Relay continuent d'avoir le même flux de relais à deux sauts, avec des améliorations de stabilité spécifiques à Sequoia

Si vous dépendez d'un résolveur personnalisé, vérifiez qu'il s'applique toujours à toutes vos applications après la mise à niveau. La casse réseau Sequoia la plus courante est un client VPN qui empaquetait un vieux shim DNS.

Ce dont il vaut la peine d'être sceptique

Quelques choses que vous verrez écrites avec assurance en ligne que je prendrais avec prudence :

• « Sequoia a réécrit la pile réseau. » Non. Les changements sont incrémentaux.
• « Apple Intelligence envoie tout au cloud. » Faux ; l'architecture est plus nuancée et la portion sur l'appareil est significative.
• « Les nouvelles API ont cassé tous les pare-feu. » Quelques filtres ont eu besoin de mises à jour. La plupart n'ont pas « cassé » de manière durable.

La documentation d'Apple pour les frameworks réseau est lacunaire. Traitez les affirmations détaillées sur le comportement interne comme des suppositions informées sauf si elles citent une session WWDC ou une note de version destinée aux développeurs.

Choses pratiques à vérifier après la mise à niveau

Si vous venez de passer à Sequoia ou prévoyez de le faire :

1. Réapprouvez toutes les extensions réseau. Réglages Système → Général → Ouverture de session et extensions → Extensions réseau. Basculez chacune sur on, approuvez quand demandé.
2. Mettez à jour votre VPN, pare-feu et outils de sécurité. Les vieilles versions sont la cause de la plupart des rapports « Sequoia a cassé X ».
3. Vérifiez les autorisations Réseau local. Réglages Système → Confidentialité et sécurité → Réseau local. Révoquez tout ce que vous n'utilisez pas activement.
4. Décidez d'Apple Intelligence. Si vous n'en voulez pas, vous pouvez le laisser désactivé. Si vous l'activez, attendez-vous à de la nouvelle activité réseau d'arrière-plan.
5. Installez un moniteur de bande passante par application. ova ou un équivalent — voyez ce que votre machine fait plutôt que de deviner.

Le dernier point compte plus sur Sequoia que sur les versions précédentes simplement parce qu'il y a plus de trafic d'arrière-plan légitime maintenant (Apple Intelligence, sync iPhone Mirroring, fonctionnalités de continuité) et vous voulez pouvoir distinguer rapidement légitime de suspect.

Une note sur les Macs en entreprise et gérés

Si votre Mac est enrôlé dans un MDM, plusieurs fonctionnalités Sequoia peuvent être désactivées par politique :

• Apple Intelligence (fréquemment désactivé sur les appareils gérés pour le moment)
• iPhone Mirroring (similairement souvent désactivé)
• DNS personnalisé (peut être verrouillé sur le résolveur de l'organisation)
• Extensions réseau (peuvent être limitées à la liste approuvée de l'organisation)

Ne combattez pas votre service informatique sur ces points. Les fonctionnalités qu'ils désactivent le sont généralement pour des raisons, et les réactiver sur un Mac géré peut violer la politique que vous avez acceptée.

Pour conclure

Les changements réseau de macOS Sequoia sont un sac mêlé — surtout des améliorations invisibles, quelques nouvelles fonctionnalités qui génèrent du vrai trafic, et le resserrement continu du framework NetworkExtension qui casse les vieux outils et récompense de garder les choses à jour. La bonne posture est :

• Mettez à niveau les yeux ouverts : réapprouvez les extensions, mettez à jour les outils
• Surveillez ce que votre machine envoie réellement, surtout dans les premières semaines après la mise à niveau quand vous ajustez les fonctionnalités
• Soyez sceptique des affirmations confiantes sur le comportement interne ; la documentation n'est pas assez dense pour soutenir la plupart d'entre elles

Une bonne vue de bande passante par application est l'outil le plus utile à lui seul pour comprendre ce qui a changé sur votre machine spécifique. macOS vous donne des bascules ; un moniteur vous donne une vérité de terrain. ova est une option construite spécifiquement pour cela — minimaliste, signée et notarisée, tournant sur macOS 14 et ultérieur (donc Sonoma et Sequoia tous deux), environ 3 Mo sur disque, toutes les données stockées localement sans télémétrie. Surveillez votre réseau pendant une semaine et les changements de Sequoia s'expliqueront d'eux-mêmes.