ova
Retour au blog
·9 min de lecture·productdevbook

Confidentialité réseau de macOS Sonoma : ce qui a changé

Récapitulatif pratique des changements de confidentialité réseau dans macOS Sonoma et ce qu'ils impliquent pour les outils qui observent la bande passante ou bloquent les traqueurs.

  • macOS Sonoma
  • macOS
  • Privacy
  • Network monitoring

macOS Sonoma est sorti avec une poignée de changements de confidentialité réseau qui sont passés en grande partie inaperçus — en partie parce qu'Apple parle de confidentialité à grands traits et en partie parce que les changements les plus pertinents pour les utilisateurs avancés sont enfouis dans le comportement des extensions réseau, l'adressage randomisé, et la façon dont l'OS traite VPNs et filtres de contenu. Si vous avez mis à niveau depuis Ventura et avez remarqué que votre VPN se comportait bizarrement, votre portail captif devenait étrange, ou des applications dont vous n'avez pas souvenir d'avoir installées apparaissaient dans les journaux réseau, c'est probablement pourquoi.

Ce billet est une liste pratique des changements de confidentialité réseau de macOS Sonoma qui ont réellement compté, ce qui a survécu jusqu'à Sequoia, et ce que vous pouvez faire pour chacun. Là où la documentation est mince ou le comportement est trouble, je le dirai plutôt que de deviner.

Améliorations de l'adresse Wi-Fi privée

Apple a introduit les adresses MAC randomisées (Adresse Wi-Fi privée) dans des versions antérieures de macOS, mais Sonoma a resserré l'implémentation de manières qui comptent.

Ce qui a changé

  • Comportement de rotation par réseau. Sonoma est plus cohérent à donner à chaque réseau sa propre adresse randomisée et à garder cette adresse stable lors des reconnexions au même réseau.
  • Gestion des réservations matérielles. Les réseaux qui utilisent des réservations DHCP basées sur MAC ou des plafonds de bande passante ont commencé à se comporter plus prévisiblement parce que l'adresse persiste par réseau plutôt que de tourner en cours de session.

Ce que cela casse

Certains portails captifs — du genre qu'on trouve dans les hôtels, centres de conférences et chaînes de cafés — utilisent encore les adresses MAC pour suivre les sessions et les quotas de bande passante. Avec l'adressage randomisé activé, vous pouvez avoir besoin de vous réauthentifier plus souvent que prévu. Sur les réseaux où le portail captif est buggé, vous pouvez ne pas pouvoir vous authentifier du tout sans désactiver l'Adresse Wi-Fi privée pour ce réseau spécifique.

Comment réparer sans perdre la confidentialité ailleurs

Réglages Système → Wi-Fi → cliquez sur le réseau en question → Détails → Adresse Wi-Fi privée. Vous pouvez la désactiver par réseau, en laissant la randomisation activée pour chaque autre réseau que vous utilisez. Ne la désactivez pas globalement — désactivez-la uniquement sur le portail captif unique qui est cassé.

Ajustements de l'API de filtre réseau

Sonoma a fait des ajustements au framework NetworkExtension, qui est ce qu'utilisent les applications comme Little Snitch, LuLu et les outils de sécurité endpoint d'entreprise pour inspecter ou filtrer le trafic.

Ce qui a changé

  • Gestion plus stricte de la façon dont les filtres de contenu interagissent avec le trafic système
  • Une certaine surface d'API privée a été supprimée ou restreinte
  • Les fournisseurs de filtres ont dû mettre à jour pour le nouveau comportement ; certains ont traîné

Ce que vous avez peut-être remarqué

  • Un filtre réseau favori vous a invité à mettre à jour ou a cessé de fonctionner totalement après la mise à niveau
  • La résolution DNS s'est comportée bizarrement jusqu'à la mise à jour du filtre
  • Les performances ont régressé temporairement sur les machines avec plusieurs extensions réseau installées

Si vous faites tourner une version actuelle d'un outil de filtre majeur, c'est en grande partie derrière vous. Si vous tenez à une vieille version parce qu'« elle marche encore », elle peut être la cause de problèmes réseau intermittents sur Sonoma.

Comportement des extensions système

Les extensions système — le remplacement moderne des extensions noyau — ont reçu un flux d'approbation plus serré sur Sonoma, surtout pour celles qui gèrent du trafic réseau.

Ce qui a changé

  • Invites d'approbation utilisateur plus explicites quand une extension veut filtrer le trafic réseau
  • Les mises à niveau d'extensions exigent parfois une réapprobation plutôt que de continuer silencieusement
  • Le flux « Autoriser dans les 30 prochaines minutes » est plus visible

Implications pratiques

Si vous avez mis à niveau un client VPN ou un pare-feu sur Sonoma et que soudain plus rien ne marchait jusqu'à ce que vous passiez par Réglages Système → Général → Ouverture de session et extensions, c'est pourquoi. Agaçant une fois, précieux à jamais — vous savez désormais exactement ce qui intercepte votre trafic.

Un moniteur, pas un filtre
ova est un moniteur de bande passante passif — il lit la comptabilité du trafic, il n'enregistre pas de filtre réseau ou d'extension système. Pas d'invites d'approbation, pas de hooks noyau, aucune chance de casser votre VPN. Environ 3 Mo sur disque, signé et notarisé.

Confidentialité DNS et résolveur

Sonoma a continué la tendance à renforcer la confidentialité DNS, avec quelques implications pratiques.

Ce qui était déjà là

  • iCloud Private Relay (lorsqu'il est souscrit) route la plupart du trafic Safari à travers deux relais pour qu'aucun ne voie à la fois votre IP et votre destination
  • DNS chiffré (DoH/DoT) configurable via les profils système

Ce qu'il vaut la peine de savoir

  • Si vous utilisez un résolveur DNS personnalisé (1.1.1.1, NextDNS, votre propre Pi-hole), Sonoma le respecte plus fiablement à travers les changements de réseau
  • Les applications qui utilisent le résolveur système héritent automatiquement de votre choix DNS
  • Les applications qui empaquettent leur propre client DNS (certains navigateurs, certaines messageries) contournent vos réglages, et il n'y a pas moyen de les forcer autrement sans un filtre réseau

Ce dernier point est pourquoi une vue de bande passante par application compte même quand vous avez le DNS bien configuré : la seule façon de savoir si une application fait les connexions que vous attendez est d'observer ce qu'elle envoie réellement.

Voyez ce que vos applications font réellement sur le réseau

ova montre la bande passante par application avec les processus auxiliaires regroupés sous leur parent. Strictement local, pas de télémétrie, pas de compte, ~3 Mo.

Télécharger pour macOS

Invites d'accès au Réseau local

C'est le changement que la plupart des utilisateurs ont vraiment remarqué. Sonoma est devenu plus agressif pour demander un accès « Réseau local » quand une application essaie de découvrir d'autres appareils sur votre Wi-Fi.

Ce qui est couvert

  • Découverte mDNS / Bonjour
  • SSDP (utilisé par les récepteurs de streaming, certains équipements domotiques)
  • Connexions directes vers des plages IP locales

Ce que vous verrez

Une invite comme « L'application X aimerait trouver et se connecter à des appareils sur votre réseau local. » L'accorder est convenable pour les applications qui en ont légitimement besoin (Spotify découvrant les récepteurs AirPlay, IDE découvrant les appareils de test). La refuser est convenable pour celles qui n'en ont pas besoin.

Vous pouvez revoir et révoquer plus tard : Réglages Système → Confidentialité et sécurité → Réseau local.

Ce qui a survécu jusqu'à Sequoia

La plupart des changements de Sonoma sont passés à macOS Sequoia avec des raffinements mineurs :

  • Rotation par réseau de l'Adresse Wi-Fi privée : toujours là, toujours recommandée par défaut
  • Surface API NetworkExtension plus serrée : toujours là, avec d'autres raffinements
  • Flux d'approbation des extensions système : toujours là, avec les mêmes motifs d'interface
  • Invites d'accès au Réseau local : toujours là, avec la même révocation par application dans Réglages Système

Si vous avez sauté Sonoma et êtes passé directement de Ventura à Sequoia, vous rencontrerez tout cela pour la première fois d'un coup. Les solutions et habitudes décrites ci-dessus s'appliquent toutes.

Ce qui est honnêtement trouble

Quelques choses dont je ne prétendrai pas avoir une connaissance définitive :

  • L'algorithme exact de génération de l'Adresse Wi-Fi privée. Apple n'a pas pleinement documenté la politique de rotation et les changements entre les sous-versions.
  • Le comportement réseau des applications en arrière-plan en conditions de basse consommation. macOS déprioritise le trafic d'arrière-plan dans diverses conditions, mais les seuils exacts ne sont pas publics.
  • La liste complète des changements d'API NetworkExtension. Les notes de version d'Apple sont partielles. Les vrais changements se découvrent quand des outils tiers cassent et que les développeurs publient à ce sujet.

Si vous lisez un billet de blog confiant prétendant des détails exacts sur l'un de ces points, traitez-le comme une spéculation informée sauf s'il cite la documentation Apple.

Mesures pratiques de confidentialité réseau Sonoma à prendre aujourd'hui

Pour les utilisateurs sur Sonoma (ou Sequoia, puisque la plupart est passée) :

  1. Auditez vos extensions réseau installées. Réglages Système → Général → Ouverture de session et extensions → Extensions réseau. Sachez ce qui est là. Supprimez tout ce que vous ne reconnaissez pas.
  2. Revoyez les autorisations Réseau local. Réglages Système → Confidentialité et sécurité → Réseau local. Révoquez pour les applications qui n'en ont pas besoin.
  3. Vérifiez l'Adresse Wi-Fi privée par réseau. Elle devrait être activée à la maison, activée pour la plupart des réseaux, et désactivée seulement sur les portails captifs spécifiques où elle casse l'authentification.
  4. Faites tourner un moniteur de bande passante par application. C'est ainsi que vous remarquerez quand une application commence à faire des connexions qu'elle ne faisait pas avant.

Le quatrième point est celui que la plupart des gens sautent. Les contrôles de confidentialité sont plus utiles quand ils sont associés à de la visibilité. macOS vous donne beaucoup de bascules ; il ne vous donne pas une bonne vue de ce que vos applications envoient réellement. C'est l'écart que ova comble — un moniteur de bande passante passif, résident en barre de menu, qui montre les débits en direct et l'historique par application, avec les auxiliaires regroupés sous leur application parente, échantillonné à environ 1 Hz, sans dépendance cloud.

Pour conclure

L'histoire de la confidentialité réseau Sonoma est surtout incrémentale, surtout bonne, et surtout invisible jusqu'à ce que quelque chose casse. La casse qui survient tend à venir de :

  • Vieilles versions de VPN/pare-feu qui ne se sont pas mises à jour pour les nouvelles API
  • Portails captifs qui ne gèrent pas bien les adresses MAC randomisées
  • Applications qui accédaient silencieusement au réseau local et qui doivent maintenant demander

La solution dans chaque cas est un audit de réglages de cinq minutes, pas un reformatage. Si vous avez mis à niveau récemment et avez senti que le réseau « n'était pas tout à fait juste », vous avez probablement trébuché sur l'un d'eux. Parcourez la liste pratique ci-dessus, installez ova ou n'importe quel moniteur passif équivalent pour pouvoir voir ce que votre machine fait, et l'expérience réseau redevient généralement normale. macOS 14 et ultérieur sont bien supportés par tout ce qui est moderne, y compris ova à environ 3 Mo sur disque, tournant sur Apple Silicon et Intel, toutes les données restent locales.