Dropbox fait actuellement polémique à cause d’un client Mac se permettant certaines actions jugées dignes d’un piratage, sans que l’utilisateur n’en soit averti. L’un des responsables a reconnu que la société devait faire de sérieux efforts sur la communication, mais certains utilisateurs ont déjà désinstallé le client.
Sur macOS, comme sous Windows, Dropbox s’installe au travers d’un client qui gère l’ensemble des processus de synchronisation. C’est lui qui permet de choisir les dossiers qui vont être rapatriés, lui également qui marque d’un petit « check » vert les fichiers et dossiers qui ont été correctement synchronisés. L’ensemble se veut transparent, l’utilisateur n’ayant normalement rien à faire.
Mais pour accomplir sa mission, le client Mac réclame de nombreuses autorisations, trop jugent certains. Il est obligé d’utiliser certains moyens détournés pour des fonctionnalités telles que la synchronisation des documents Office (la suite de Microsoft), notamment les API dédiées à l’accessibilité, ainsi que pour d’autres intégrations.
Des comportements étranges avec les privilèges et API
Selon Thomas Kollbach, développeur, hacker et responsable chez l’éditeur Evenly, le client Mac va même beaucoup plus loin. Comme tant d’autres applications qui ont besoin d’autorisations, il réclame à sa première exécution le mot de passe utilisateur. Mais la fenêtre qui est présentée n’est pas habituelle : elle serait maquillée. Une boite de dialogue classique que Dropbox ferait passer pour une confirmation. Ce qu’il advient du mot de passe n’est cependant pas clair, mais il n’est en tout cas pas envoyé à un quelconque serveur distant.
Toujours selon Kollbach, cette fenêtre est liée à d’autres découvertes faites par le site AppleHelpWriter. Le client Dropbox « pirate » en quelque sorte une base de données de sécurité pour obtenir en retour des droits d’accessibilité sans même avoir à les demander. Dropbox a fini par réagir sur les autorisations en expliquant pourquoi elles étaient nécessaires. Mais Kollback n’a pas été convaincu, se demandant pourquoi le client Mac ne passe pas par les bonnes fenêtres du système, ou même pourquoi il ne laisse pas l’utilisateur choisir s’il veut ce degré d’intégration.
Dropbox est conscient que son client peut mieux faire
Des réponses plus complètes sont arrivées par le biais d’un message de Ben Newhouse, responsable chez Dropbox, sur HackerNews. Il a commencé par indiquer que la société avait clairement besoin de mieux communiquer sur les autorisations qu’elle demande. Le cœur de l’explication tient surtout dans un constat, qu’il a d’ailleurs réitéré auprès de TechCrunch : « Nous ne demandons que les privilèges que nous utilisons activement, mais malheureusement certaines de ces permissions n’ont pas la granularité que nous aimerions ».
Une remarque qui rappelle la manière dont les autorisations étaient gérées dans Android avant la version 6.0 et la remise à plat de cette partie. Les privilèges étaient réunis par lots, sans possibilité d’en choisir en particulier. En clair, Dropbox aimerait en utiliser moins, mais ce ne serait actuellement pas possible. Newhouse indique par ailleurs que le client Mac utilise des privilèges élevés partout où les API d’accès au système de fichiers ne vont pas assez loin. L’éditeur est conscient que ce n’est pas élégant et indique travailler avec Apple à éliminer ce problème, une solution devant arriver « bientôt ».
Pas de mot de passe stocké affirme l'éditeur
Newhouse précise enfin deux points. D’une part, la fenêtre utilisée est bien native et est générée par macOS (rien n’est dit cependant sur le changement de texte). Le mot de passe de l’utilisateur n’est donc stocké nulle part, affirme l’entreprise. D’autre part, les privilèges sont vérifiés et mis en place à chaque démarrage du client, notamment pour être préservés à chaque installation d’une mise à jour.
Dans une réponse à un commentaire, Newhouse indique que supprimer les badges sur les documents Office permettra bientôt de retirer complètement Dropbox de la liste des applications ayant des privilèges d’accessibilité.
Sierra restreint déjà les possibilités des API d'accessibilité
Un utilisateur fait remarquer que cette histoire, qu’il qualifie de « fiasco », a toutes les chances de provoquer une réaction restrictive chez Apple, qui agirait alors sur ses API d’accessibilité pour les rendre moins souples. Newhouse indique en réponse que Sierra, qui sortira la semaine prochaine, va déjà dans cette direction. Dropbox va en fait emprunter un chemin plus standardisé, à la manière de ce que fait déjà Steam.
Les critiques restent cependant nombreuses, et Dropbox va avoir un évident travail de communication sur la manière dont il réclame ses autorisations et comment il contourne certains aspects de la sécurité de macOS. S’agissant d’un partenaire de choix d’Apple, il y a d’ailleurs fort à parier que la firme soit parfaitement au courant des méthodes utilisées, la mention d’un « travail en commun » laissant peu de doute. À voir donc maintenant comment opèrera la future version du client, censée résoudre ces problématiques. En attendant, certains ont indiqué dans les commentaires de HackerNews qu’ils avaient désinstallé le client et résilié leur abonnement.
Commentaires (20)
#1
D’une part, la fenêtre utilisée est bien native et est générée par macOS (rien n’est dit cependant sur le changement de texte).
Langue de bois !
Le mot de passe de l’utilisateur n’est donc stocké nulle part, affirme l’entreprise.
Et donc, ils font un chmod +s sur l’exe ?
#2
Le mot de passe de l’utilisateur n’est donc stocké nulle part, affirme l’entreprise.
Il est juste envoyé au FBI et à la NSA, n’ayez donc aucune crainte
#3
#4
Pas besoin, elle a déjà la clé unique de décryptage de Dropbox.
" />
" />
Au pire, ils n’auront qu’à la demander auprès de Condoleezza Rice
#5
Autant je peux comprendre la nécessité de s’octroyer des privilèges, mais maquillé la fenêtre de mot de passe ? Pourquoi ? Ils se sont dit “Tiens on va faire du phishing local ?”
#6
Moi ce que j’en lis, c’est que MacOS est une passoire
" />
#7
Terreur ! 1Password et moi s’enfermont dans iCloud à tout jamais.
#8
Mot de passe stocké nulle part? Pourtant j’ai lu ailleurs que même si on le supprimé de la liste des appli autorisés ils finissaient par y revenir de lui même donc il a bien du choper le mot de passe quelque part pour s’octroyer à nouveaux tout seul des droits qu’on vient de lui retirer?
#9
Je le vois comme ça aussi !
D’une, les API de MacOS sont insuffisantes pour permettre certaines fonctionnalités de façon propres, de deux, contourner les protection a l’air aisé !
#10
Beaucoup de vent pour ce qui n’est sûrement que la conséquence (sans danger puisque qu’aucune fuite n’est avérée) d’un dev à l’arrache.
J’ai plutôt tendance à penser qu’il s’agit d’un moyen sale de s’octroyer des droits nécessaires sûrement suite à un “dirty fix”, ou un dev stagiaire qui ne savait pas qu’OSX proposait une API pour ça, plutôt qu’une mauvaise intention.
#11
Il n’y a pas que le client Dropbox, il y a aussi NextInpact qui peut fait mieux ^^ (typo dans le 2ème titre : “peut faiRE miex” ^^)
#12
Bouton signaler une erreur ;)
#13
Vous excitez pas, si ca se trouve c’est Apple qui leur a filé ce trick… .
#14
Pour supprimer le helper dropbox qui s’octroie : ici
Cependant, à chaque lancement de dropbox (reboot par exemple) il retentera sa manoeuvre …
Clairement, j’ai envie de le supprimer rien que pour ça…
#15
Petit rappel de la part de Snowden.
#16
#17
Encore la faute du stagiaire :/
#18
Si tu veux j’ai un petit nas chez moi, je peux héberger tes fichiers alors. :). Promis je n’ai aucun lien avec quelques états que ce soit, par contre si on me donne un cents ou deux pour acheter tes données je vends direct. :) arf on me souffle à l’oreillette qu’on ne peut pas tout avoir… En plus de revendre des données à qui le voudra ou d’analyser en interne, je vais apparrement quand même devoir me plier aux injonctions d’états, mais bon c’est pas ma faute alors chut, gardez plutôt à l’esprit que je suis un rebel. 
" />
#19
#20