ova
Retour au blog
·11 min de lecture·productdevbook

Le guide complet de la confidentialité réseau sur macOS

Guide pratique de bout en bout sur la confidentialité réseau dans macOS : DNS, télémétrie, autorisations applicatives et outils pour la rendre visible.

  • Privacy
  • macOS
  • Security
  • Network monitoring

Votre Mac parle à Internet des centaines de fois avant que vous ayez fini votre premier café. Vérifications de mise à jour logicielle, synchros iCloud, pings d'index Spotlight, préchargements Safari, cette application installée en 2021 qui appelle encore à la maison à chaque lancement. La confidentialité réseau sur macOS ne consiste pas à devenir invisible — c'est savoir ce qui sort, pourquoi, et si vous êtes à l'aise avec. Ce guide est la version de bout en bout : DNS, télémétrie, permissions d'applications, et la pile moniteur-versus-pare-feu qui vous laisse vraiment vérifier que les changements tiennent.

C'est une longue lecture parce qu'il n'y a pas de bouton unique. La confidentialité réseau sur macOS est un système, et les pièces n'ont de sens qu'ensemble.

Ce que la confidentialité réseau sur macOS couvre vraiment

Quatre couches, de l'extérieur vers l'intérieur :

  1. DNS — chaque connexion commence par une recherche de nom. Quiconque fait tourner votre résolveur voit un log de chaque domaine que vous visitez.
  2. Transport — TLS chiffre le contenu mais fait fuiter le Server Name Indication (SNI) et l'IP de destination. Encrypted Client Hello (ECH) ferme une partie de cet écart.
  3. Télémétrie au niveau application — les applications envoient analytique, rapports de plantage, et pings de fonctionnalités. Certains sont nécessaires, la plupart sont optionnels.
  4. Télémétrie au niveau système — les propres rapports de diagnostic et d'usage d'Apple, plus la publicité personnalisée opt-in dans l'App Store.

Une pile de confidentialité couvre les quatre. Sautez n'importe quelle couche et vous faites confiance à quelqu'un d'autre pour faire la bonne chose.

Couche 1 : DNS — chiffrez-le, et choisissez qui voit

Par défaut, macOS utilise le serveur DNS que votre routeur distribue via DHCP. Sur le Wi-Fi maison, c'est généralement votre FAI. Sur un réseau de café, c'est qui fait tourner le routeur du café. Les FAI sont connus pour monétiser les logs de requêtes DNS. Les cafés sont connus pour mal configurer les choses.

Passer au DNS chiffré

macOS supporte DNS over HTTPS (DoH) et DNS over TLS (DoT) via les profils de configuration. Trois résolveurs qui valent la considération :

  • Cloudflare 1.1.1.1 — rapide, politique publique sans logs, bien audité. Endpoint DoH : https://cloudflare-dns.com/dns-query.
  • Quad9 9.9.9.9 — non-profit basé en Suisse, bloque les domaines connus malicieux par défaut. Endpoint DoH : https://dns.quad9.net/dns-query.
  • NextDNS — filtrage configurable par profil avec des logs que vous contrôlez (ou désactivez).

L'installation la plus propre est un profil .mobileconfig depuis le site du résolveur. Téléchargez, double-cliquez, installez dans Réglages Système → Général → VPN et gestion d'appareil → Profils. Redémarrez les navigateurs pour qu'ils prennent le nouveau résolveur.

Vérifiez que ça marche à https://1.1.1.1/help (pour Cloudflare) — il imprimera si vous êtes sur DoH/DoT ou DNS en clair.

Attention aux replis

Si votre endpoint DNS chiffré est injoignable, macOS peut retomber sur le DNS système, qui retombe sur le résolveur du routeur. Certains clients VPN écrasent aussi le DNS sans vous le dire. Vérifiez périodiquement.

Couche 2 : Transport — ce que TLS cache et ce qu'il ne cache pas

TLS 1.3 cache le corps de chaque requête HTTPS. Il ne cache pas, par défaut :

  • L'adresse IP à laquelle vous vous êtes connecté — quiconque observe le lien voit 1.2.3.4:443.
  • Le nom d'hôte dans le SNI — la partie non chiffrée de la poignée de main TLS nomme le serveur auquel vous parlez.
  • Les motifs temporels — combien de temps, à quelle fréquence, quelle taille.

Encrypted Client Hello (ECH) chiffre le SNI quand le client et le serveur le supportent. Les sites en façade Cloudflare le font déjà ; la plupart des autres pas encore. Safari et Chrome supportent ECH sur macOS quand le serveur coopère.

Conclusion pratique : TLS est génial pour le contenu. Les métadonnées fuient encore. La seule façon de masquer l'IP est un VPN ou Tor — et ceux-ci déplacent la confiance vers qui fait tourner la sortie. Choisissez quelqu'un en qui vous êtes à l'aise de faire confiance.

Couche 3 : Télémétrie au niveau application — la trouver, décider

La plupart des applications envoient de l'analytique. Certaines vous laissent l'éteindre. Le flux honnête est :

  1. Voir ce qui se connecte. Un moniteur réseau vous montre quelles applications sont actives et combien elles envoient. ova se loge dans la barre de menu, échantillonne à environ 1 Hz, et montre le débit par application plus l'historique.
  2. Recouper les noms d'hôtes. Little Snitch (ou LuLu, ou Radio Silence) montre le domaine de destination par connexion. Un moniteur vous dit « X parle », un outil de classe pare-feu vous dit « X parle à telemetry.example.com ».
  3. Désactivez quand possible. La plupart des applications ont une option « partager les données d'usage » ou « envoyer les rapports de plantage » dans les préférences. La désactiver casse rarement quoi que ce soit.
  4. Vérifiez que la bascule a marché. C'est l'étape que les gens sautent. Désactivez, redémarrez l'application, observez le trafic sortant. Si vous le voyez encore, vous avez un vrai signal.
Vérifiez que vos réglages de confidentialité marchent vraiment
La plupart des bascules « désactiver la télémétrie » sont honnêtes. Quelques-unes sont du théâtre. Un moniteur comme ova vous laisse confirmer la différence en moins d'une minute en observant le débit par application après redémarrage.

Coupables courants à vérifier

  • Microsoft Office — envoie des données de diagnostic par défaut. Désactivez dans Word → Préférences → Confidentialité.
  • Adobe Creative Cloud — fait tourner Core Sync, CCXProcess, et amis en arrière-plan. La plupart sont optionnels. L'agent Cloud lui-même ne l'est pas, si vous utilisez les applications Creative Cloud.
  • Spotify — événements d'analytique. Bascules limitées, mais le volume de données est petit.
  • Slack — lourd par conception (websockets, présence). Pas de la télémétrie, juste comment ça marche.
  • Applications utilitaires aléatoires du Mac App Store — étonnamment bavardes. Un moniteur vous aide à repérer celles qui ne valent pas la peine d'être gardées installées.

Couche 4 : Au niveau système — Apple, et l'OS lui-même

Apple est plus protecteur de la confidentialité que la plupart, mais macOS envoie quand même des données par défaut. Trois endroits à vérifier :

Réglages Système → Confidentialité et sécurité → Analytique et améliorations

  • Partager l'analytique Mac — désactivé par défaut pour la plupart des utilisateurs ; vérifiez.
  • Améliorer Siri et la dictée — vous pouvez l'éteindre sans perdre Siri.
  • Partager avec les développeurs d'applications — envoie les données de plantage (anonymisées) aux développeurs tiers.

Réglages Système → Confidentialité et sécurité → Publicité Apple

  • Annonces personnalisées — désactivez. Les annonces de l'App Store apparaissent encore, juste non ciblées.

Réglages Système → Confidentialité et sécurité → Localisation → Services système

Beaucoup de services système ici. La plupart vont bien. Ceux qui valent la peine d'être scrutés :

  • Lieux importants — visibles, supprimables.
  • Analytique iPhone si votre téléphone est appairé.
  • Routage et trafic — envoie des localisations anonymisées pour les données de trafic.

Bascules liées au réseau

  • Réglages Système → Wi-Fi → Détails → Limiter le suivi d'adresse IP — utilise des techniques de style iCloud Private Relay sur les réseaux supportés.
  • iCloud Private Relay (partie Mac d'un abonnement iCloud+) — proxy Safari et une partie du trafic système à travers deux relais, cachant l'IP des sites et le DNS d'Apple.

La pile moniteur-versus-pare-feu

C'est là que la plupart des guides de confidentialité se perdent. Vous avez besoin des deux, et ils font des travaux différents.

Un moniteur

Lit les compteurs noyau, vous montre ce qui se passe. Ne bloque pas, n'invite pas, ne se met pas en travers. ova est dans cette catégorie — environ 3 Mo, pas d'extensions noyau, pas de filtre réseau, pas d'invites de permission après installation. C'est en lecture seule.

Un pare-feu

Inspecte les connexions, applique les règles, bloque ou autorise. Little Snitch est le pare-feu Mac canonique. LuLu est l'option gratuite. Le pare-feu d'application macOS (intégré) ne gère que l'entrant, pas le sortant, donc il n'est pas dans la même catégorie.

Pourquoi vous voulez les deux

Un pare-feu impose la politique. Un moniteur la vérifie. Quand vous dites à Little Snitch « bloquer Adobe de contacter *.adobe.io », vous faites confiance que la règle s'applique. Un moniteur confirme — si vous réglez un blocage et que le trafic par application tombe à zéro, le blocage a marché. Sinon, vous avez une règle mal configurée.

Faites-les tourner côte à côte. Le coût combiné en CPU et mémoire est négligeable comparé à un onglet Chrome.

Ajoutez un moniteur silencieux à votre pile de confidentialité

ova lit les compteurs noyau et montre la bande passante par application — local, pas de télémétrie, ~3 Mo.

Télécharger pour macOS

Permissions d'applications : la couche de confidentialité que la plupart oublient

La confidentialité réseau ne concerne pas que les octets. macOS gate une longue liste de permissions par application : Localisation, Contacts, Calendriers, Rappels, Photos, Caméra, Microphone, Enregistrement d'écran, Surveillance des entrées, Accès complet au disque, Fichiers et dossiers, Accessibilité, Automation, Bluetooth, Réseau local.

Deux d'entre elles ont des implications directes pour la confidentialité réseau :

  • Réseau local — accordée, une application peut scanner votre LAN et découvrir d'autres appareils. Utile pour les récepteurs AirPlay et applications d'imprimante. Suspect pour la plupart des autres.
  • Bluetooth — accordée, une application peut parler à des appareils proches, ce qui parfois signifie traquer la proximité.

Auditez Réglages Système → Confidentialité et sécurité une fois par an. Révoquez les permissions pour les applications que vous ne reconnaissez plus. L'OS ré-invitera la prochaine fois que l'application a vraiment besoin d'accès.

Un audit pratique de 30 minutes

Bloquez une demi-heure. Café. Pas de réunions.

  1. Basculez le DNS vers Cloudflare 1.1.1.1 ou Quad9 via un profil .mobileconfig. Vérifiez avec https://1.1.1.1/help.
  2. Auditez Confidentialité et sécurité dans Réglages Système. Désactivez le partage d'analytique. Revoyez Localisation → Services système. Révoquez le Réseau local pour les applications qui n'en ont pas besoin.
  3. Installez ova et un pare-feu (essai Little Snitch, ou LuLu). Laissez-les tourner pendant que vous travaillez normalement pendant une heure.
  4. Revoyez la liste par application. Tout ce qui parle qui vous surprend, recherchez. Certaines applications vous garderez, certaines vous désinstallerez, certaines vous tairez via des règles pare-feu.
  5. Documentez votre base. Prenez une capture d'écran de la liste par application pendant un moment calme. Le mois prochain, comparez.

C'est une configuration de 30 minutes. Vous ne la répéterez pas. La vérification mensuelle prend cinq minutes.

Mythes courants

« VPN = confidentialité »

Un VPN déplace votre confiance de votre FAI vers le fournisseur VPN. Si le VPN log et le FAI non, vous êtes plus mal loti. Choisissez un fournisseur avec des revendications no-log auditées.

« Le mode incognito me cache »

Le mode incognito dans les navigateurs empêche l'historique local. Votre réseau voit les mêmes requêtes DNS et connexions.

« Apple ne voit rien »

Apple voit ce que vous avez consenti (analytique, échantillons Siri, contenu iCloud s'il n'est pas chiffré de bout en bout) plus quelques empreintes au niveau système (device check, beacons MDM, notifications push). C'est moins que la plupart des entreprises, mais ce n'est pas zéro.

Ce que « 100 % local » signifie pour les outils auxquels vous confiez votre confidentialité

Tout outil que vous installez pour la confidentialité devrait être lui-même privé. Spécifiquement :

  • Pas de compte — vous ne devriez pas avoir besoin de vous connecter pour utiliser un outil de confidentialité.
  • Pas de synchro cloud — les données vivent sur votre disque, pas le leur.
  • Pas de télémétrie — une application de confidentialité qui appelle à la maison est sa propre contradiction.
  • Signée et notarisée — le processus développeur d'Apple est un vrai signal. Sautez les binaires non signés sauf si vous avez personnellement lu le source.

ova coche les quatre. L'historique de bande passante est sur votre disque, l'application n'a pas de tableau de bord distant, et il n'y a aucun flux de compte.

Pour conclure

La confidentialité réseau sur macOS c'est quatre couches — DNS, transport, télémétrie d'application, télémétrie système — plus l'habitude d'audit qui les garde honnêtes. Chiffrez votre DNS, élaguez vos permissions, faites tourner un moniteur à côté d'un pare-feu, et revérifiez mensuellement. Aucune des pièces n'est dure. L'astuce est d'avoir toutes en place en même temps, parce que sauter une couche rend les autres moins utiles.

Passez les 30 minutes cette semaine. La plupart des gens sont discrètement surpris par ce que leur Mac faisait pendant qu'ils pensaient qu'il était inactif.