Fin octobre 2022, des rapports agacés ont commencé à apparaître sur”TNGD”Talk se plaignant que la connexion d’un iPhone ou d’un iPad à un Mac pour sauvegarder ou synchroniser a commencé à nécessiter de saisir le code d’accès de l’appareil à chaque fois. Le message « Faire confiance à cet ordinateur ? » L’invite du code d’accès est apparue, que la connexion se fasse via USB ou Wi-Fi. Il est également apparu lors de l’utilisation de l’utilitaire iMazing pour déclencher des sauvegardes d’appareils iOS. Avant ce changement, votre appareil demandait son mot de passe uniquement lorsqu’il était fraîchement configuré et qu’il n’était pas encore connecté au Mac ou lorsque vous vous connectiez à un nouveau Mac. (Il est également possible que vous obteniez l’invite après un changement majeur, mais cela n’a pas été documenté ou cohérent.)
Un article de blog iMazing explique la situation. Dans iOS/iPadOS 16.1 et iOS/iPadOS 15.7.1, Apple a commencé à demander à chaque connexion en réponse à une vulnérabilité rapporté par le chercheur en sécurité Csaba Fitzl. En bref, Fitzl a montré qu’un attaquant ayant un accès physique à votre Mac et à votre appareil pouvait utiliser l’utilitaire de ligne de commande AppleMobileBackup de macOS pour déclencher une sauvegarde vers un emplacement non protégé. Étant donné que les sauvegardes iOS/iPadOS locales manquent de cryptage à moins que vous n’ajoutiez un mot de passe, l’attaquant pourrait être en mesure d’extraire les données utilisateur de la sauvegarde déplacée.
Il est extrêmement peu probable que cela arrive à la plupart des gens : quelqu’un devrait avoir accès à votre Mac déverrouillé, à votre appareil et aux connaissances nécessaires pour exécuter l’exploit. C’est le genre de vulnérabilité exploitée par les agents du gouvernement, les criminels et d’autres avec une licence autorisée par l’État ou une intention malveillante.
Au lieu d’empêcher AppleMobileBackup de sauvegarder vers des emplacements personnalisés sans autorisation supplémentaire, Apple a choisi d’atténuer les vulnérabilité en forçant l’utilisateur à entrer le mot de passe de l’appareil à chaque connexion de sauvegarde ou de synchronisation. Et cela fonctionne: la nouvelle approche d’Apple empêche les sauvegardes d’être dirigées vers un emplacement non protégé à moins qu’un attaquant ne connaisse le code d’accès de votre appareil. S’ils connaissent le mot de passe, il y a bien pire qu’ils pourraient faire avec votre iPhone ou iPad et les données qui y sont stockées.
Malheureusement, la solution d’Apple est particulièrement maladroite car elle ajoute une étape non triviale à chaque tentative de connexion USB ou Wi-Fi par chaque utilisateur iOS/iPadOS qui sauvegarde ou synchronise localement. Les sauvegardes iCloud ne souffrent pas de cette exigence, mais elles nécessitent une connexion Internet, peuvent utiliser des données cellulaires et nécessitent souvent un abonnement iCloud+ pour l’espace de stockage requis. Certaines personnes ne veulent pas non plus faire confiance à la sécurité iCloud d’Apple, bien que la sortie de la protection avancée des données devrait réduire cette inquiétude (voir”La protection avancée des données d’Apple vous donne plus de clés pour les données iCloud”, 8 décembre 2022).
Plus troublant est la façon dont ces invites de mot de passe non-stop désensibiliseront les utilisateurs à entrer leur mot de passe lorsqu’on leur demandera. Plus on vous demande un mot de passe ou un mot de passe, moins vous y prêtez attention, ce qui augmente les risques de tomber dans le piège d’une invite trompeuse d’un logiciel malveillant tentant de voler vos informations d’identification.
La solution d’Apple est également exagérée. Comme indiqué, la probabilité qu’un attaquant disposant de compétences suffisantes ait un accès physique au Mac et à l’iPhone ou à l’iPad d’un utilisateur normal est extrêmement faible. La solution est également assez différente des approches habituelles d’Apple pour atténuer les risques d’attaques physiques, qui offrent généralement des moyens d’activer ou d’augmenter le niveau de résistance en fonction de vos besoins. Un attaquant motivé serait plus susceptible de comprendre comment encapsuler l’exploit dans un logiciel malveillant qui exfiltrerait ensuite les données de l’utilisateur de la sauvegarde de l’appareil, un vecteur précieux qui serait probablement vendu à un gouvernement pour une attaque très ciblée. Oui, les ingénieurs en sécurité d’Apple doivent remédier à cette vulnérabilité, mais ils doivent le faire d’une manière qui n’aggrave pas l’expérience utilisateur générale.
En pratique, vous pouvez souffrir en saisissant le mot de passe à chaque sauvegarde. ne vous empêche pas de faire des sauvegardes mais interrompt les sauvegardes automatisées avec iMazing et peut vous obliger à sauvegarder moins souvent. Pour la plupart des gens, cependant, je recommande les sauvegardes iCloud car elles se produisent automatiquement, sans aucune interaction humaine. Ils ne consomment pas non plus d’espace sur votre Mac, ce qui peut être important, en particulier si vous avez plusieurs appareils avec beaucoup de données.
Franchement, je n’ai pas été impressionné par l’expérience utilisateur globale du flux de travail de sauvegarde d’appareils sur Mac.. Lors de l’expérimentation de sauvegardes locales pour cet article, j’ai dû débrancher la sauvegarde de mon iPhone 14 Pro avant qu’elle ne réduise à zéro l’espace libre sur mon Mac. Le SSD de 1 To de mon iMac disposait d’environ 150 Go libres après avoir sauvegardé 32 Go de mon iPad Pro 10,5 pouces, et il était heureux de commencer à sauvegarder mon iPhone 14 Pro, qui a utilisé environ 112 Go. Malheureusement, la sauvegarde n’était pas terminée lorsque macOS m’a averti que mon disque était presque plein avec moins de 3 Go disponibles. Les chiffres auraient dû fonctionner, mais ce n’est clairement pas le cas, dans un autre exemple de la raison pour laquelle l’espace libre est difficile à calculer, même pour Apple. sur mon iPad, le Finder a affiché la boîte de dialogue ci-dessous à gauche. Comme je ne voulais pas réessayer, j’ai cliqué sur Annuler et j’ai obtenu la boîte de dialogue sur la droite. Parlez d’une heure amateur !
Ce que je n’avais pas réalisé jusqu’à ce que Shamino le mentionne dans les commentaires, c’est que l’annulation de l’option”Faites confiance à cet ordinateur ?”invite empêche la sauvegarde de se produire, mais permet à la synchronisation de continuer. C’est fonctionnellement utile mais déroutant.
Enfin, même si macOS n’a pas réussi à calculer correctement la quantité d’espace libre à la fin, il s’est rendu compte qu’il devrait récupérer de l’espace purgeable en supprimant les fichiers inutiles. C’est un comportement attendu, mais cela peut causer des problèmes pour les applications, telles que Fantastical, qui m’a alerté qu’il a été interrompu de manière inattendue en raison de la suppression de ses fichiers de manière inattendue.
Le changement d’Apple renforce ma préférence pour les sauvegardes iCloud, et je peux le voir inciter de nombreuses personnes à abandonner les sauvegardes locales et la synchronisation pour iCloud. Je ne suis pas du genre à souscrire aux théories du complot selon lesquelles Apple utilise la sécurité comme excuse pour pousser les gens à payer pour iCloud+, mais cette solution mal implémentée n’inspire pas confiance. Si Apple veut dissiper de telles spéculations, il devrait publier des mises à jour iOS et iPadOS qui éliminent l’exigence répétitive de mot de passe aux côtés des versions de macOS qui corrigent correctement AppleMobileBackup.
Maintenant, si vous voulez bien m’excuser, je dois y aller supprimez ces sauvegardes de test locales qui viennent de consommer tout mon espace disque libre. Heureusement, Apple rend cela facile. Lors de la gestion d’un appareil iOS dans le Finder, cliquez sur Gérer les sauvegardes, sélectionnez la sauvegarde souhaitée, puis cliquez sur Supprimer la sauvegarde. (Vous pouvez également cliquer sur une sauvegarde tout en maintenant la touche Contrôle enfoncée et choisir Afficher dans le Finder pour supprimer les sauvegardes manuellement.) Au revoir, les sauvegardes.