Sideloading, App Store alternatifs : l'offensive d'Apple contre les régulateurs
Face à des régulateurs très remontés, que ce soit en Europe ou aux États-Unis, Apple lance une défense tous azimuts de ses intérêts. Pas question d'autoriser le sideloading sur l'iPhone, autrement dit la possibilité d'installer des applications depuis autre chose que l'App Store. Dans un rapport de 16 pages intitulé « Construire un écosystème de confiance pour des millions d'applications », le constructeur montre à travers plusieurs exemples en quoi un App Store plus ouvert serait risqué pour les utilisateurs.

Le document commence par rappeler le volume des données importantes et privées qu'un iPhone conserve au chaud. Il présente ensuite plusieurs scénarios où une plateforme ouverte serait négative pour l'utilisateur : virus, vol d’informations personnelles et bancaires, ou encore contrôle parental détourné. Autant d'arguments utilisés par Apple pour rallier le lecteur — et les régulateurs — à son camp.
Cupertino compare également son système d'exploitation à celui de Google, en expliquant que le sideloading est une des raisons pour lesquelles il y a autant de malwares sur Android. Selon le rapport, un appareil Android a 15 fois plus de chances d'être infecté par un malware qu'un iPhone. Il rappelle aussi que les applications d'Android contiennent parfois des virus, des ransomwares ou des arnaques dont sont préservées les apps iOS (enfin presque).
Le rapport se termine par quelques chiffres sur la façon dont Apple sécurise sa boutique. 100 000 applications sont examinées chaque semaine par une équipe de 500 personnes travaillant dans plusieurs langues. Près d'un million d'applications à problèmes ont déjà été refusées pour des questions de sécurité, et Apple a expulsé 470 000 développeurs de son programme Developer pour des raisons liées à la fraude. L'entreprise explique avoir désactivé 244 millions de comptes utilisateurs louches (notamment des histoires de faux commentaires), et empêché plus de 1,5 milliard de dollars de transactions frauduleuses.

L'offensive ne s'arrête pas là. Apple a fait donner auprès de Fast Company son chef de la vie privée des utilisateurs, Eric Neuenschwander. Le dirigeant a porté la bonne parole du constructeur, expliquant que chaque application était examinée et analysée avant d'être publiée sur l'App Store, et qu'une fois téléchargée, elle doit encore demander la permission de l'utilisateur pour accéder à certaines fonctionnalités (caméra, appareil photo). Là encore, la réalité est plus nuancée que ce beau discours.
« Aujourd'hui, nous avons nos défenses techniques, nous avons nos défenses de politique, et nous avons toujours l'intelligence de l'utilisateur »
L'arrivée d'applications installées en dehors de l'App Store rendrait ces remparts inutiles. Il explique que même si les gens veulent rester sur la boutique officielle, les escrocs feraient en sorte de les convaincre de passer sur des App Store alternatifs. Les techniques des malfaiteurs seraient alors équivalentes à ce qui se fait sur Android sans qu'Apple ne puisse intervenir.

Une autre plateforme d'Apple soumise aux malwares est paradoxalement… le Mac. Si Apple a construit son OS mobile avec la sécurité de l'utilisateur en tête, la situation est différente pour le système d'exploitation de bureau. Celui-ci permet depuis toujours d'installer des applications provenant de n'importe où. Un problème relevé par Craig Federighi lors du procès Epic contre Apple, et la Pomme ne voudrait pas que celui-ci se retrouve sur sa plateforme mobile. Pour Eric Neuenschwander, le Mac est un problème de plus petite envergure : il y a beaucoup plus d'iPhone que de Mac, et en général les utilisateurs téléchargent moins d'applications sur leurs ordinateurs que sur leurs smartphones.
Apple est actuellement visé par de nombreuses enquêtes antitrust dans de nombreux domaines. Par rapport à l'App Store, les conclusions du procès Epic vs Apple sont toujours en attente. Malgré ses nombreux arguments, il se pourrait bien qu'Apple finisse par être obligée d'ouvrir sa plateforme…
Ça serait bien dommage…
Si les regulateurs finissent par imposer a Apple le sideloading, Apple peut toujours mettre en avant (afficher) un message que l’utilisateur final peut accepter ou refuser. Accepter de prendre les risques d’installer une app en dehors de l’app store et d’en assumer les consequences au cas où ca se passe mal (vol de donnees, integrite, securite, garantie produit, etc.). Au pire, ca entachera juste l’image d’Apple où certains iPhone pourront se retrouver en mode passoire si l’utilisateur decide de faire n’importe quoi.
@Paquito06
C’est ce qui a été fait côté Android. Mais ça ne suffit pas.
@FloMo
“C’est ce qui a été fait côté Android. Mais ça ne suffit pas.”
Ca ne suffit pas c’est a dire?
@Paquito06
Les utilisateurs font le classique « OK », « j’ai compris » de manière automatique.
Android augmente les mesures pour limiter les installations d’APK, mais rien n’y fait. Le ver est dans la pomme.
@FloMo
"Les utilisateurs font le classique « OK », « j’ai compris » de manière automatique.
Android augmente les mesures pour limiter les installations d’APK, mais rien n’y fait. Le ver est dans la pomme."
Oui je vois. Apple peut pas grand chose pour les sans cerveaux non plus 😅
@Paquito06
Sans cerveaux ?
@armandgz123
"Sans cerveaux ?"
Rien d’autre ne m’est venu a l’idee quand j’ai pensé a une alerte de securite ignoree par l’utilisateur final.
@Paquito06
Une grande partie des utilisateurs Mac sont des sans cerveaux alors
@armandgz123
"Une grande partie des utilisateurs Mac sont des sans cerveaux alors"
Je crois pas non, si on compare le nombre d’iPhone et d’iPad en circulation (cibles potentielles) et le nombre d’utilisateurs mac qui installent des applications hors app store officiel aux origines douteuses.
@Paquito06
Ok sans cerveau (et c’est pas la première chose qui m’est venu).
@armandgz123
"Ok sans cerveau (et c’est pas la première chose qui m’est venu)."
😅
Les utilisateurs font le classique « OK », « j’ai compris » de manière automatique.
Et c'est le problème de ces utilisateurs, tous les autres eux ne sont pas impactés. D'ailleurs combien de personnes se trouvent "obligées" de sideloader ?
@bibi81
Beaucoup le font.
J’ai découvert ça auprès d’utilisateurs Android. Le piratage de jeux, c’est un peu comme le piratage de vidéos pour eux.
Tu as soit le jeu sideloadé gratis, soit le payant. Le calcul est vite fait.
Même pour des jeux gratuits sur Google Play, ils se font avoir.
Pour rappel, quand Fortnite a été rendu disponible via sideloading, c’était la foire aux malwares.
On n’y peut rien. La majorité des utilisateurs ne sont pas des utilisateurs avertis.
@Paquito06
Sauf que les hackers se feront un plaisir de forcer cette porte, que vous ayez validé ou non.
C’est déjà très compliqué d’avoir un système avec peu de faille. On a tous lu une apps qui avait réussi à passer entre les mailles du filet. Si en plus vous créez une porte, c’est carrément open bar. Le jailbreak l´a plus que démontré.
@Nesus
"Sauf que les hackers se feront un plaisir de forcer cette porte, que vous ayez validé ou non.
C’est déjà très compliqué d’avoir un système avec peu de faille. On a tous lu une apps qui avait réussi à passer entre les mailles du filet. Si en plus vous créez une porte, c’est carrément open bar. Le jailbreak l´a plus que démontré."
Je pense que sans signature Apple, iOS peut toujours laisser une app etre installee hors app store officiel, mais il revient a iOS (sandboxing) de cloisonner l’app et de verifier les api calls (utilisation d’appareil photo, localisation, acces aux contacts, ecritures, etc.). Ca sera certes moins facile pour les dev apple que la situation actuelle, mais le jailbreak demande quand meme des operations manuelles, une app externe ne va pas bypasser iOS aussi facilement, ou alors c’est iOS la passoire en premier lieu?
@Paquito06
C’est impossible. Ce qui fait qu’une app peut être contrôlée sur son usage et ses api, c’est uniquement la vérification « manuelle » que fait l’équipe de validation de l’AppStore.
Si on veut contrôler, ça veut dire remettre l’obligation du certificat et si on veut que ce certificat et l’usage des api soient contrôlées, il n’y a aps d’autre solution. Ce n’est pas une histoire d’être une passoire ou non, c’est qu’un os c’est fait pour exécuter du code et que quelqu’un avec les connaissances fait ce qu’il veut en exécutant que du code. C’est comme ça qu’on voit des fichiers texte devenir des chevaux de Troie.
@Nesus
iOS ne controlera/bloquera aucun appel de l’app? Elle peut piocher et surtout ecrire n’importe où dans iOS si elle n’a pas de certificat apple?
@Paquito06
Le certificat ne fait qu’autorisé l’app à être installée. Elle ne contrôle pas son action. Théoriquement, ça doit suffire, sauf qu’on voit bien sur Mac, les apps qui ont des api privées et qui s’octroient plus de droits qu’elle ne le devraient. On voit bien de App qui viole le bac à sable. Si vous êtes un dev honnête, bien sûr que vous jouerez le jeu. Le problème n’est pas là, le problème c’est tout ceux qui vont vouloir tricher pour gagner de l’argent. Et sur macOS, cela n’a pas grand intérêt vu la taille du parc, sur iOS, c’est une toute autre histoire.
@Nesus
Ok, merci.
Oui c’est ce que je reproche aux defenseurs de l’ouverture qui comparent iOS et le mac app store, on ne parle pas du meme volume de terminaux, ni du temps passé, ni de l’importance de ceux-ci…
@Paquito06
il y a aussi une histoire d'image.
Même si effectivement, l'utilisateur pourra très bien continuer à n'utiliser que l'app store pour être beaucoup plus en sureté d'avoir des applis clean. Si des virus et autres commencent à arriver sur iOS par le biais de cette porte alternative, les trolls et gars de mauvaise foi auront vite fait de s'engouffrer dedans... et ça renverra une mauvaise image de Apple (par le biais des youtubeurs et autres...).
Il suffit de voir la comédie des fiches de specs "OUIIIII l'iPhone n'a que 4Go de RAM.... bouuuuh c'est vraiment nul par rapport à mon Android qui en a 16 Go etc...."
Meme si l'utilisateur averti sait très bien que la RAM ne se gère pas de la même manière entre les deux OS (et que les 4Go de ram de l'iPhone sont largement aussi efficace que les 12 ou 16 des Android).... il y aura toujours des rageux sur YouTube pour divulguer ce genre de message "simpliste : 4 c'est moins que 16..." et l'utilisateur non averti pourra le croire (Apres tout... ça semble si simple : 4Go c'est beaucoup moins que 16....).
Bah ça pourrait être pareil avec les virus et autres fuites de données.... des youtubeurs et autres gars mal intentionné pourrait faire dire ce qu'ils veulent de certaines stats et des clients "lambdas" pourraient se laisser berner (de manière aussi logique que expliqué plus haut).
Donc l'image de marque (surtout apple qui prône la confidentialité, la vie privé, la sécurité etc.... : c'est leur plus gros atout aujourd'hui pour justifier que leur smartphone coute 20% plus cher que les autres.... si tu n'as plus ca.... tu n'as plus d'intérêt d'acheter un iPhone) c'est vraiment très important pour eux (et c'est légitime).
Nul doute que Android REVERAIT de n'avoir plus qu'un seul store pour installer les apps.... mais si ils fermaient les portes aux stores alternatives (même pour des raisons de sécurité) ca serait la guerre avec les utilisateurs etc...
@romainB84
Ah bien sur, l’image d’Apple est ce qui va le plus morfler. Ca joue sur la securite et l’integrite des donnees depuis que l’iPhone existe, quand on va avoir des histoires de vol de donnees, malwares, d’iPhone briqués, ransomware, etc. qui feront les gros titres, ca va pas leur faire du bien. Passer a android sera kif kif pour certains consommateurs. Il y aura toujours des utilisateurs plus consciencieux que d’autres.
@Paquito06
Exactement !
Pour le coup, je comprends parfaitement la position d’Apple.
@Paquito06
Imaginons que cela code l’app store, l’utilisateur n’aura d’autre choix que de passer un autre store.
Imaginons que ta banque, le logiciel pour faite fonctionner tes objets et autre ne soit pas disponible chez Apple tu sera obligée de passer par une autre boutique.
Imaginons que ta banque, le logiciel pour faite fonctionner tes objets et autre ne soit pas disponible chez Apple tu sera obligée de passer par une autre boutique.
Et pourquoi tu irais choisir une banque ou des appareils qui n'ont pas leur appli sur l'Appstore ?
Tu as un exemple sur Android d'une banque qui n'est pas disponible sur le Playstore et qui oblige les utilisateurs à sideloader ?
@gwen
Heu… non, pas du tout. C’est pas le cas sur Android, donc je ne vois pas pourquoi ça serait le cas sur l’iPhone.
Peut-être, qu’un jour enfin, on pourra installer une app directement depuis un site web, comme on peut le faire sur toutes les autres plateformes
@Tao
Un jour…🤷🏻♂️
Pour la blague, Apple aurait pu rappeler aux régulateurs le fiasco du sideloading de Fortnite sur Android qui a amené à une déferlante de malwares.
@FloMo
On pourrait aussi rappeler Apple que l’AppStore a hébergé des milliers d’apps vérolées installées sur des millions d’iPhones.
Ou de simples pages web qui suffisent pour hacker l’iPhone… faut-il donc autoriser les iPhone à ne visiter que les sites web autorisés par Apple?
@softjo
Ce n’est pas comparable en termes de volume.
En soit on s’en fous… Apple n’a qu’a l’autorisée avec un message en popup qui apparaît la première fois qu’on lance une app venant d’ailleurs indiquant que toute responsabilité en cas de corruption des données, de la sauvegarde ou du système sera déclinée par Apple, et que ça laisse une trace dans le système comme ça si le client se plaint derrière et fait le malin en virant les trucs tiers avant d’aller en Apple store ça se verra quand même.
Il faut qu’Apple soit sanctionné bien plus que Microsoft… Ils font bien pire qu’eux à l’époque.
@redchou
Hors sujet…
@iPadProM1
Oui, rien à voir. Vivement quand même.
Comme si c'était tout l'un ou tout l'autre... Et ca m'attriste de voir les utilisateurs approuver.
C'est vrai que les "Progressive Web App" permettent de pirater l'iPhone. Personnellement obligé d'encapsuler la PWA dans une app native uniquement pour profiter de la geoloc en tache de fond. Si ils permettaient cela, qu'ils pousseraient un peu plus le support des PWA, je n'aurais même pas besoin d'un store d'apps "natives"...
De la même manière ils pourraient très bien sécuriser une app native sideloadé, peut être en limitant certaines interactions avec l'OS je ne dis pas.
@judev
« Comme si c'était tout l'un ou tout l'autre... Et ca m'attriste de voir les utilisateurs approuver. »
Bah c’est le cas. Chaque système a ses avantages et inconvénients.
@Krysten2001
Merci pour ce commentaire inutile 😂
étonnant ce sujet ...
on comprend bien qu'Apple voudrait garder le contrôle sur tout et cherche pour cela à faire peur ...
mais le risque avancé par Apple sur l'impossibilité d'assurer la sécurité des apps et des données de utilisateurs avec un store alternatif est-il réel ou pas ?...
après, c'est une décision politique d'autoriser le sideloading ou pas ... dès lors qu'il est toujours possible d'assurer la sécurité des apps et des données, parce qu'au final, c'est ca la priorité
@appleadict
« mais le risque avancé par Apple sur l'impossibilité d'assurer la sécurité des apps et des données de utilisateurs avec un store alternatif est-il réel ou pas ?... »
On le voit bien sur Android 😉
@Krysten2001
J'étais sous android ( Samsung ) avant de passer chez la pomme.
Je n'ai jamais eu de soucis avec des apps. A part télécharger une application obscure, il n'y a pas de soucis à être chez Android.
@Arnaudvietnam
« Je » Tout est là.
Moi, Je suis sur Mac depuis 30 ans et je n’ai jamais eu de virus. Cela ne doit vraiment exister qu’à la marge… pourtant…
@Arnaudvietnam
Vous parlez de votre expérience 😉
Je n’espère pas.
Les milliers de comptes développeurs fermés ou d’abonnements frauduleux remboursés par Apple… ça n’existera pas que le web.
Et les accès direct à tes données sans passer par les API d’Apple qui te permettent de contrôler… je ne serai pas surpris que le premier à distribuer son app hors AppStore sera Facebook !
@Jymini
Qu’est ce que FB aurait a gagner hors app store officiel? L’app est gratuite, pas de souscription, ca marche tres bien ainsi depuis 15 ans.
@Paquito06
L’accès à ta géolocalisation sans ton accord, a du tracking inter-app, inter-site, ta base de contacts, …
Bref l’accès à tes données sans passer par une validation ou des API restrictives.
Ils me font marrer les gens qui disent Apple n’a qu’à afficher un message de mise en garde.
Vous oubliez bien vite le facteur humain. Cela ne va pas être la tarte de gérer des millions d’utilisateurs mécontents parce qu’il y a eu un problème, quelque soit la gravité. Très peu de rappelleront du message de mise en garde, et voudront que Apple démontre par A + B que la faute leur revient. Imaginez l’embouteillage dans les Apple Store, sur les lignes téléphoniques, les procès, et l’image de marque écornée.
@DrStrange
Il va surtout falloir gérer la vie privée violée et les comptes en banques vidés.
Pour quel gain ?
Pouvoir installer une apps non optimisée qui fera planter la machine ?
Avoir encore plus applications gratuites, qui paupériseront encore plus les développeurs ?
Ça ne fait franchement pas rêver…
@Nesus
N’importe quoi.
@armandgz123
Merci pour votre analyse.
Pages