Epic contre Apple : certains développeurs sont-ils plus égaux que d'autres ?

Mickaël Bazoge |

Tous les développeurs sont-ils égaux devant l'App Store ? C'est une des questions que le procès entre Epic et Apple va chercher à trancher, mais pour Matt Fischer, le vice-président de l'App Store (c'est lui qui gère les opérations de la boutique au jour le jour), la réponse est très claire : c'est oui.

Durant l'audition du dirigeant d'Apple, ce dernier a assuré que lorsqu'un changement était apporté à la politique qui régit l'App Store, celui-ci s'appliquait ensuite à tous les développeurs. Aucun ne reçoit de traitement de faveur, a-t-il martelé. Il admet néanmoins qu'Apple peut organiser des expérimentations avec des petits groupes avant de les proposer à tous les développeurs.

Un des exemples souvent avancés pour contredire ce beau message d'égalité, c'est le passe-droit qui a permis à Prime Video (et quelques autres) de contourner le système d'achat intégré. Les documents publiés avant l'audition font également mention d'une « liste blanche » de développeurs bénéficiant de privilèges. C'était le cas de Hulu qui a pu utiliser une API pour annuler et rembourser un abonnement.

L'échange de courriels, qui impliquait Matt Fischer, date de 2018 mais le privilège de Hulu remontait à 2015, il avait été attribué à la plateforme de streaming avant qu'Apple mette au point des options pour passer d'un palier d'abonnement à l'autre. S'il s'agissait bel et bien d'un accès spécial réservé à un éditeur, le courriel indique que Fischer n'était pas au courant, et manifestement il a rapidement demandé à faire en sorte que Hulu ne puisse plus accéder à cette API.

Au tribunal, les représentants d'Epic ont aussi pressé de questions le patron de l'App Store sur un sujet précis, celui des menaces que feraient peser les systèmes de paiement alternatifs. Selon Matt Fischer, Apple n'a jamais produit d'études internes validant les craintes sur la sécurité et la confidentialité de ces moyens de paiement. C'est pourtant ce qui justifie, en partie, leur interdiction sur l'App Store, mais finalement Apple n'en sait rien.


Tags
avatar byte_order | 

> C'est pourtant ce qui justifie, en partie, leur interdiction sur l'App Store,

Pas en partie, en élément de langage marketing.

> mais finalement Apple n'en sait rien.

ce qui confirme qu'il s'agit donc bien de marketing.

avatar House M.D. | 

@byte_order

Ça peut aussi être une crainte pensée, fondée ou non, mais non quantifiée par une étude…

Comme d’habitude, vous prêtez aux autres des volontés déviantes sans même laisser le bénéfice du doute… piètre juge que vous seriez là.

Mais venant de vous, a quoi d’autre aurais-je pu m’attendre? Vous voyez Apple comme un démon…

avatar bibi81 | 

Ça peut aussi être une crainte pensée, fondée ou non, mais non quantifiée par une étude…

Difficile à croire surtout que certains sont autorisés à passer outre les moyens de paiement Apple...

avatar byte_order | 

@House M.D.

> Ça peut aussi être une crainte pensée, fondée ou non, mais non quantifiée par une étude…

Ce n'est pas que ce qu'elle pense, c'est également ce qu'elle dit.
Quand on communique pour des raisons marketing sur des peurs sans être sûr qu'elle soit fondée, c'est du FUD.

> Comme d’habitude, vous prêtez aux autres des volontés déviantes sans même laisser
> le bénéfice du doute… piètre juge que vous seriez là.

Sauf que moi, je ne l'exerce pas. Apple, elle, si. Elle interdit des solutions de paiements alternatives au sien. Elle, elle se prend bien pour un juge.

A quel moment le doute, qu'elle reconnait ici, est appliqué en tant que bénéfice dans ces "jugements" à elle !?

> Vous voyez Apple comme un démon…

Non. Je vois Apple comme une entreprise qui se doit de respecter l'état de droit, pas s'auto-autorisé à prendre des décisions ayant un énorme impacte économique sur d'autres sans jamais à avoir à se justifier alors qu'elle est juge et partie et, en ce qui concerne les paiements alternatifs, hyper partiale !

Alors même que vous même le bénéfice du doute devrait faire partie de tout bon jugement. A quel moment le bénéfice du doute qu'elle reconnait ici a été pris en compte dans sa "décision" d'interdire tout paiement alternatif au sien depuis les apps !?

avatar House M.D. | 

@byte_order

« Non. Je vois Apple comme une entreprise qui se doit de respecter l'état de droit »

Non, vous voudriez qu’elle respecte VOTRE vision du droit, ce qui peut être bien différent du droit commun. Nuance.

Fin de communication me concernant, aller plus loin serait inutile.

avatar r e m y | 

Bizarrement cette crainte, Apple ne l'a que pour certains types de paiements dans les apps... uniquement quand ça porte sur des prestations sur lesquelles elle veut toucher une commission.
Quand il s'agit de payer dans une app quelque chose sur lequel Apple n'a pas prévu de commission, là, la crainte semble avoir disparu et tous les modes de paiements sont autorisés... 🤔

avatar whocancatchme | 

Lol a la fin du mail « Phil saw this and want to know what’s going on”

Tu dois changer de slip après avoir lu ça 😅

avatar frankm | 

Ils sont égaux en fonction de ce qu’ils rapportent.
L’exemple le plus typique c’est le joueur de foot professionnel : il est extrêmement bien payé, on se demande pourquoi, parce qu’il rapporte du fric

avatar Florent Morin | 

« Selon Matt Fischer, Apple n'a jamais produit d'études internes validant les craintes sur la sécurité et la confidentialité de ces moyens de paiement. C'est pourtant ce qui justifie, en partie, leur interdiction sur l'App Store, mais finalement Apple n'en sait rien. »

Si on constate un risque, c’est qu’il est trop tard.

Il ne faut surtout pas attendre qu’une étude démontre que le système est faillible ! On bouche la faille. Point.

Quand on découvre une lacune dans un système de sécurité, elle a en général déjà été exploitée et il faut donc s’activer en urgence pour la combler.

Si un moyen de paiement peut être faillible, il est considéré comme faillible. Ce n’est qu’une question de temps avant que la faille soit exploitée.

L’exemple le plus flagrant est la CB. Impossible de retrouver précise l’identité de quelqu’un avant les années 2010 à partir de ses données d’utilisation de carte bancaire (lieu et horodatage).
Cela a été réalisé en 2015 grâce à l’émergence de l’apprentissage automatique sur un échantillon de 1,1 million de personnes sur 3 mois avec 90 % de réussite.

https://news.mit.edu/2015/identify-from-credit-card-metadata-0129

En 2000, était-ce envisageable ? Oui.
Était-ce réalisé ou réalisable ? Selon les études de l’époque, non.

Une étude s’appuyant sur des estimations ne fait ressortir le risque qu’à l’instant T. Il est donc considéré comme faible. Mais la sécurité est avant tout de l’anticipation.

Les certificats de sécurité TLS sont aujourd’hui de plus en plus éprouvés pour être résistants à des ordinateurs quantiques. Autant dire : les ordinateurs quantiques sont plutôt rares aujourd’hui. Et demain ? On ne sait pas. Dans le doute, on anticipe.

La notion de risque ne s’évalue pas en se demandant si ça peut arriver mais quand. Et surtout, quel rempart supplémentaire sera en place quand ça arrivera.

L’architecture des systèmes Apple est conçue ainsi. Et Apple recommande fortement aux développeurs de s’inspirer de ce modèle.

Une vidéo de la WWDC met d’ailleurs en avant l’architecture des citadelles de Vauban, pour l’anecdote.

avatar r e m y | 

"Il ne faut surtout pas attendre qu’une étude démontre que le système est faillible ! On bouche la faille. Point"
Donc vous vous bouchez une faille sans même savoir si elle existe... 😳

Ca va être compliqué de trouver ce qu'il faut boucher, et comment, non?

Maintenant si le souci d'Apple est d'éviter à ses clients de se faire arnaquer via un moyen de paiement faillible, renvoyer ce client se débrouiller pour payer directement sur le site web du fournisseur de service (comme ils le font pour Spotify ou Netflix et comme ils le conseillent à tous ceux qui ne veulent pas uitiliser le système de paiement intégré à l'AppStore) je ne suis pas convaincu que ce soit la meilleure solution...

avatar raoolito | 

@r e m y

il parlait de faire des etudes sur la dangerosité de la dite faille. Pas de la faille elle-meme

avatar Florent Morin | 

@r e m y

> Donc vous vous bouchez une faille sans même savoir si elle existe... 😳
> Ca va être compliqué de trouver ce qu'il faut boucher, et comment, non?

Exact : le terme faille n’est pas approprié. 😀
On pourrait dire : « éliminer le risque » ?

En tout cas, l’idée est qu’il faut anticiper plutôt que subir.

Pour le reste, c’est un tout.

Il est quand même extrêmement simple d’utiliser les achats in-app. Et c’est en même temps sécurisé : le risque d’arnaque est très faible puisque l’utilisateur peut être remboursé.

Mais le paiement sur le web était présent avant. Apple recommande Apple Pay mais n’oblige à rien.

Il ne faut pas oublier que la version 1 de iOS (iPhoneOS à l’époque) présentait les apps web comme la voie ultime pour les développeurs : pas de soucis de téléchargement, etc.

Le web est l’espace de liberté. Avec les limites du navigateur, mais chacun y joue avec ses propres règles du moment que cela ne met pas trop en péril la vie privée.

Les apps natives sont arrivées à la demande des développeurs. Le deal a toujours été : Apple offre des possibilités de s’intégrer nativement à son OS, sous réserve de respecter les règles de l’OS.

Et c’est d’ailleurs toujours le cas. Si on ne veut pas respecter les règles de l’App Store, on fait des apps web. Les API sont plus limitée, mais il n’y a aucune contrainte de contenu.

avatar r e m y | 

Ok je comprends mieux avec le terme risque

Par contre, si l'idée est de supprimer ce risque potentiel pour les utilisateurs d'apps iOS, pourquoi ne pas le supprimer systématiquement ??? Pourquoi continuer à autoriser Amazon, airBnB, Fnac, Darty... à proposer tout type de paiements dans leurs apps, et le refuser à d'autres?

Est-ce que le risque est plus faible quand on achète un bouquin sur Amazon en utilisant ce type de paiement que lorsqu'on veut s'abonner à Spotify via le même moyen de paiement?

avatar Florent Morin | 

@r e m y

Très bonne question.

En premier lieu, les biens physiques ne sont pas considérés comme achats in-app. Darty et Boulanger ne débloquent pas de fonctionnalités : ce n’est pas le terrain d’Apple. Il faut juste que ce soit sécurisé.

Apple valide des millions d’apps par jour.

S’il est possible d’avoir un contrôle assez fin sur les apps majeures, ce contrôle ne peut pas être élargi à 100 % des apps.

Et on pourrait arriver à des débordements. Et là, ça éclabousse Apple qui est associée dans l’image du consommateur à l’app.

J’ai acheté des chaussures en ligne : on voit bien que le magasin est la boutique en ligne. Apple n’est pas du tout dans le business de la chaussure.

J’ai une app téléchargée dans le magasin Apple qui me propose un paiement en ligne pour des fonctionnalités et me débloque 1000 euros alors que 10 euros sont annoncés. Là, c’est autre chose.
L’App Store est censé être sécurisé. Et le logiciel est le domaine d’Apple.

Aujourd’hui, quand j’ai un soucis sur iOS avec l’App Store, je n’ai qu’un seul interlocuteur et c’est lui qui résout mon problème. Après, Apple s’arrange avec le développeur. Mais le consommateur n’est pas impacté. Apple est garant.

Si demain chacun fait ce qu’il veut, ça nuira au consommateur et de fait à l’image d’Apple.

Et un store alternatif d’apps intégrées directement à iOS sèmerait également le doute. C’est subtil mais le diable se cache dans les détails.

En tant que consommateur, je ne réfléchis pas trop à qui est derrière l’app quand je fais un achat in-app. Le tiers de confiance est Apple.
Si demain n’importe qui peut intégrer ses propres achats in-app et imiter les achats in-app d’Apple, j’aurai une réticence. Comme quand j’achète en ligne.

Je pense que le curseur n’est pas facile à ajuster côté Apple. Mais les enjeux sont énormes. Jusqu’à aujourd’hui, ils ont bénéficié de leurs mesures de précaution. Si demain on les force à faire sauter ces sécurité, c’est 20 % du business d’Apple qui peut s’envoler. Et jusqu’à 100 % du business des petits développeurs indépendants, concurrents du mastodonte Epic.

Est-ce qu’Epic aurait laissé prospérer un jeu comme Among Us qui concurrence Fortnite dans le cœur des joueurs ? Je ne crois pas.

avatar r e m y | 

Sauf qu'on ne parle pas uniquement des achats in-app mais de tous les paiements effectués dans une app iOS. Quand je m'abonne à Spotify ou à Netflix, je sais parfaitement à qui je paye et en cas de problème c'est vers ce prestataire que je me tournerai.

La position d'Apple se résume à dire que
- si ça concerne des prestations sur lesquelles Apple a prévu de prélever sa dîme, utiliser un moyen de paiement alternatif est risqué donc on l'interdit
- si ça concerne des prestations sur lesquelles Apple ne prélève rien, n'importe quel moyen de paiement est sûr

avatar Florent Morin | 

@r e m y

« si ça concerne des prestations sur lesquelles Apple ne prélève rien, n'importe quel moyen de paiement est sûr »

C’est surtout que ça ne concerne pas Apple si ça n’a pas à voir avec son logiciel.

avatar r e m y | 

Je ne vois pas en quoi un moyen de paiement au sein d'une app iOS est sûr dans certains cas et présente tellement de risques qu'il faille l´interdire dans d'autres cas... la justification de l'interdiction liée à des risques potentiels ne tient pas.

Même votre explication confirme que ça n'a rien à voir avec une volonté de protéger les utilisateurs d'apps iOS (mais plutôt de protéger les intérêts d'Apple)

avatar pat3 | 

@r e m y

"- si ça concerne des prestations sur lesquelles Apple ne prélève rien, n'importe quel moyen de paiement est sûr"

Plutôt : on s’en fiche, on n’en est plus le garant ?

avatar r e m y | 

Donc il ne s'agit pas de protéger les utilisateurs mais uniquement les intérêts d'Apple. On est d'accord 😔

Notez quand même que votre explication ne tient pas... si ils acceptaient tout type de moyen de paiement quelle que soit le type de prestation payée, chaque fois qu'on paierait directement le prestataire sans passer par le système de paiement d'Apple, Apple ne serait pas plus "garant" et il n`y aurait donc aucun problème! Inutile de l'interdire donc...

avatar byte_order | 

@FloMo
> Est-ce qu’Epic aurait laissé prospérer un jeu comme Among Us qui concurrence
> Fortnite dans le cœur des joueurs ? Je ne crois pas.

Justifier des entraves à la concurrence d'Apple par votre peur d'entrave à la concurrence si Epic pouvait être autorisé à venir marcher sur les plate-bandes d'Apple :

priceless.

avatar YetOneOtherGit | 

« Selon Matt Fischer, Apple n'a jamais produit d'études internes validant les craintes sur la sécurité et la confidentialité de ces moyens de paiement. »

Un principe de base est largement admis et partagé depuis longtemps : augmenter la surface d’exposition à un risque c’est augmenter ce risque mécaniquement.

c’est un principe fondamental de la cyber sécurité.

Et donc diversifier les sources d’installations et les moyens de paiement c’est mécaniquement augmenter les risques.

Cela ne vaut pas défense de la position d’Apple mais cela reste un principe de base largement partagé et validé.

avatar Florent Morin | 

@YetOneOtherGit

Merci 🙏

avatar bibi81 | 

Et donc diversifier les sources d’installations et les moyens de paiement c’est mécaniquement augmenter les risques.

Le risque de se faire percuter par une voiture ?

C'est bien mignon ces phrases génériques, mais ça ne veut pas dire grand chose !

Autoriser plus de moyens de paiement augmente-t-il le risque de malware sur iOS par exemple ?

avatar YetOneOtherGit | 

@bibi81

"C'est bien mignon ces phrases génériques, mais ça ne veut pas dire grand chose !"

Et pourtant, c’est justement un principe fondamental de la cyber sécurité largement documentée et validé 🤓

Une application du rasoir d'Ockham en fait 😜

PS : Quand à l’usage du qualificatif mécaniquement qui semble te surprendre il lui aussi on ne peut plus classique dans le sens utilisé ici 😳

avatar bibi81 | 

Et pourtant, c’est justement un principe fondamental de la cyber sécurité largement documentée et validé

Donc j'ai moins de risque de me faire heurter par une voiture si Apple interdit d'autres moyens de paiements sur iOS ?

Tu ne comprends vraiment pas là où je veux en venir ?

avatar YetOneOtherGit | 

@bibi81

"Tu ne comprends vraiment pas là où je veux en venir ?"

Je préfère éviter d’essayer de me confronter à du capilotracté et à des analogies douteuses 😉

avatar bibi81 | 

Je préfère éviter d’essayer de me confronter à du capilotracté et à des analogies douteuses 😉

C'est sûr que c'est un poil plus compliquer d'essayer de comprendre. Alors je vais t'aider, cette phrase n'a de sens que si le début est cohérent avec la fin.

Or ici personne (et surtout pas Apple puisqu'elle le reconnaît elle-même) n'a expliqué quel était le risque à ouvrir les paiements tiers (ah si, en fait on parle de risque de sécurité, mais ça ne veut rien dire, c'est comme dire qu'on roule trop vite). Pire dans certains cas les paiements tiers sont ouverts.

avatar YetOneOtherGit | 

@bibi81

Mon objectif n’est pas de défendre l’une ou l’autre position.

Juste de rappeler un principe de base : augmenter la surface d’exposition c’est mécaniquement augmenter le risque.

Après si tu veux une opinion plus doctrinale : l’ouverture éventuelle n’est qu’un enjeux business qui au final n’aurait strictement aucun intérêt pour le consommateur.

Les arguments de chacune des parties ne sont que du bullshit pour défendre ses intérêts business divergent.

avatar pilipe | 

@bibi81

J’espère que vous êtes un simple troll, car sinon vous êtes bien dans la merde.

avatar debione | 

@ YetOneOtherGit:

C'est un peu une lapalissade ce truc. Les dictatures fonctionnent sur le même principe. Plus que 1 seul parti politique, c'est dangereux...
Partant de ce principe, si on paye avec sa carte de crédit directement, on prend moins de risque que sa carte crédit enregistré dans son iPhone. Car il y a un étage de plus, on peut attaquer ET la carte de crédit ET l'iPhone... Du coup, Apple fait exactement le contraire que de sécuriser un maximum. Ils ont introduit un étage qui amène son lot d'attaque potentiel qui n'existerait pas si cet étage n'existait pas.

avatar YetOneOtherGit | 

@debione

"C'est un peu une lapalissade ce truc. Les dictatures fonctionnent sur le même principe. Plus que 1 seul parti politique, c'est dangereux..."

Je ne défend pas la position d’Apple ici 😎

Juste une règle de base 😉

avatar byte_order | 

@YetOneOtherGit
> Un principe de base est largement admis et partagé depuis longtemps : augmenter
> la surface d’exposition à un risque c’est augmenter ce risque mécaniquement.
> c’est un principe fondamental de la cyber sécurité.

Oui.

Mais c'est oublié que la surface, c'est l'ampleur des failles * le nombre de victimes potentielles

Avoir peu de faille c'est bien, mais quand la totalité de votre énorme parc l'a, c'est pas génial génial.

Je préfère largement une diversité de solution qui, bien que toutes faillibles, limite de facto au moins l'échelle des dégât à une population moindre.

> Et donc diversifier les sources d’installations et les moyens de paiement
> c’est mécaniquement augmenter les risques.

Mais diminue la taille des victimes potentiellement touchées.

Il suffira d'une faille dans la solution d'Apple pour toucher 1 milliards d'utilisateur.
Un faille dans le système de paiement utilisé par Spotify ne touchera que les abonnés de Spotify. Une faille dans le système d'installation alternatif ne touchera que ses utilisateurs.

Et, désolé, aucun système n'étant infaillible, la faille dans la solution d'Apple, elle existe déjà.

Un autre exemple assez parlant : un client a été touché par le ransomware WannaCry, qui exploite *une* faille de Windows. L'ensemble des ordinateurs de son parc informatique a été touché... sauf mon poste de dev, que j'avais multibooté pour pouvoir bosser sous Linux. Serveurs de backups, sous Windows eux aussi, ont été touchés avant qu'il commence à réagir.

On a restauré le contenu de son repo git avec les clones que j'avais sur ma machine ;-)

Au lieu d'avoir 100% de victime, le 0.5% que mon poste représentait à permis de limiter très fortement l'impact sur le projet sur lequel je bossais pour lui, stratégique.

La diversité, c'est trop souvent sous-estimé. Pourtant, la nature montre comment fonctionne sa résilience, suffit d'observer. L'uniformité peut être une faiblesse.

avatar YetOneOtherGit | 

@byte_order

"Mais c'est oublié que la surface, c'est l'ampleur des failles * le nombre de victimes potentielles"

Ce n’est nullement l’oublier, multiplier les source et donc la taille des base de code c’est multiplier la probabilité d’avoir une faille.

Sans même parler de la disparité de moyens consacrés à ses enjeux sur une base d’acteurs multiples de tailles variable.

Il reste à démontrer que l’augmentation ce cette probabilité est compensée par la ventilation des utilisateurs ce qui est loin d’être évident.

avatar cosmoboy34 | 

Plus ca avance cette histoire plus ça sent le vinaigre pour Apple j’ai l’impression 😬

CONNEXION UTILISATEUR