Sideloading, App Store alternatifs : l'offensive d'Apple contre les régulateurs

Félix Cattafesta |

Face à des régulateurs très remontés, que ce soit en Europe ou aux États-Unis, Apple lance une défense tous azimuts de ses intérêts. Pas question d'autoriser le sideloading sur l'iPhone, autrement dit la possibilité d'installer des applications depuis autre chose que l'App Store. Dans un rapport de 16 pages intitulé « Construire un écosystème de confiance pour des millions d'applications », le constructeur montre à travers plusieurs exemples en quoi un App Store plus ouvert serait risqué pour les utilisateurs.

Image : Apple

Le document commence par rappeler le volume des données importantes et privées qu'un iPhone conserve au chaud. Il présente ensuite plusieurs scénarios où une plateforme ouverte serait négative pour l'utilisateur : virus, vol d’informations personnelles et bancaires, ou encore contrôle parental détourné. Autant d'arguments utilisés par Apple pour rallier le lecteur — et les régulateurs — à son camp.

Cupertino compare également son système d'exploitation à celui de Google, en expliquant que le sideloading est une des raisons pour lesquelles il y a autant de malwares sur Android. Selon le rapport, un appareil Android a 15 fois plus de chances d'être infecté par un malware qu'un iPhone. Il rappelle aussi que les applications d'Android contiennent parfois des virus, des ransomwares ou des arnaques dont sont préservées les apps iOS (enfin presque).

Le rapport se termine par quelques chiffres sur la façon dont Apple sécurise sa boutique. 100 000 applications sont examinées chaque semaine par une équipe de 500 personnes travaillant dans plusieurs langues. Près d'un million d'applications à problèmes ont déjà été refusées pour des questions de sécurité, et Apple a expulsé 470 000 développeurs de son programme Developer pour des raisons liées à la fraude. L'entreprise explique avoir désactivé 244 millions de comptes utilisateurs louches (notamment des histoires de faux commentaires), et empêché plus de 1,5 milliard de dollars de transactions frauduleuses.

Image : Apple

L'offensive ne s'arrête pas là. Apple a fait donner auprès de Fast Company son chef de la vie privée des utilisateurs, Eric Neuenschwander. Le dirigeant a porté la bonne parole du constructeur, expliquant que chaque application était examinée et analysée avant d'être publiée sur l'App Store, et qu'une fois téléchargée, elle doit encore demander la permission de l'utilisateur pour accéder à certaines fonctionnalités (caméra, appareil photo). Là encore, la réalité est plus nuancée que ce beau discours.

« Aujourd'hui, nous avons nos défenses techniques, nous avons nos défenses de politique, et nous avons toujours l'intelligence de l'utilisateur »

L'arrivée d'applications installées en dehors de l'App Store rendrait ces remparts inutiles. Il explique que même si les gens veulent rester sur la boutique officielle, les escrocs feraient en sorte de les convaincre de passer sur des App Store alternatifs. Les techniques des malfaiteurs seraient alors équivalentes à ce qui se fait sur Android sans qu'Apple ne puisse intervenir.

Image : Apple

Une autre plateforme d'Apple soumise aux malwares est paradoxalement… le Mac. Si Apple a construit son OS mobile avec la sécurité de l'utilisateur en tête, la situation est différente pour le système d'exploitation de bureau. Celui-ci permet depuis toujours d'installer des applications provenant de n'importe où. Un problème relevé par Craig Federighi lors du procès Epic contre Apple, et la Pomme ne voudrait pas que celui-ci se retrouve sur sa plateforme mobile. Pour Eric Neuenschwander, le Mac est un problème de plus petite envergure : il y a beaucoup plus d'iPhone que de Mac, et en général les utilisateurs téléchargent moins d'applications sur leurs ordinateurs que sur leurs smartphones.

Apple est actuellement visé par de nombreuses enquêtes antitrust dans de nombreux domaines. Par rapport à l'App Store, les conclusions du procès Epic vs Apple sont toujours en attente. Malgré ses nombreux arguments, il se pourrait bien qu'Apple finisse par être obligée d'ouvrir sa plateforme…


avatar saoullabit | 

Ça serait bien dommage…

avatar Paquito06 | 

Si les regulateurs finissent par imposer a Apple le sideloading, Apple peut toujours mettre en avant (afficher) un message que l’utilisateur final peut accepter ou refuser. Accepter de prendre les risques d’installer une app en dehors de l’app store et d’en assumer les consequences au cas où ca se passe mal (vol de donnees, integrite, securite, garantie produit, etc.). Au pire, ca entachera juste l’image d’Apple où certains iPhone pourront se retrouver en mode passoire si l’utilisateur decide de faire n’importe quoi.

avatar Florent Morin | 

@Paquito06

C’est ce qui a été fait côté Android. Mais ça ne suffit pas.

avatar Paquito06 | 

@FloMo

“C’est ce qui a été fait côté Android. Mais ça ne suffit pas.”

Ca ne suffit pas c’est a dire?

avatar Florent Morin | 

@Paquito06

Les utilisateurs font le classique « OK », « j’ai compris » de manière automatique.

Android augmente les mesures pour limiter les installations d’APK, mais rien n’y fait. Le ver est dans la pomme.

avatar Paquito06 | 

@FloMo

"Les utilisateurs font le classique « OK », « j’ai compris » de manière automatique.
Android augmente les mesures pour limiter les installations d’APK, mais rien n’y fait. Le ver est dans la pomme."

Oui je vois. Apple peut pas grand chose pour les sans cerveaux non plus 😅

avatar armandgz123 | 

@Paquito06

Sans cerveaux ?

avatar Paquito06 | 

@armandgz123

"Sans cerveaux ?"

Rien d’autre ne m’est venu a l’idee quand j’ai pensé a une alerte de securite ignoree par l’utilisateur final.

avatar armandgz123 | 

@Paquito06

Une grande partie des utilisateurs Mac sont des sans cerveaux alors

avatar Paquito06 | 

@armandgz123

"Une grande partie des utilisateurs Mac sont des sans cerveaux alors"

Je crois pas non, si on compare le nombre d’iPhone et d’iPad en circulation (cibles potentielles) et le nombre d’utilisateurs mac qui installent des applications hors app store officiel aux origines douteuses.

avatar armandgz123 | 

@Paquito06

Ok sans cerveau (et c’est pas la première chose qui m’est venu).

avatar Paquito06 | 

@armandgz123

"Ok sans cerveau (et c’est pas la première chose qui m’est venu)."

😅

avatar bibi81 | 

Les utilisateurs font le classique « OK », « j’ai compris » de manière automatique.

Et c'est le problème de ces utilisateurs, tous les autres eux ne sont pas impactés. D'ailleurs combien de personnes se trouvent "obligées" de sideloader ?

avatar Florent Morin | 

@bibi81

Beaucoup le font.

J’ai découvert ça auprès d’utilisateurs Android. Le piratage de jeux, c’est un peu comme le piratage de vidéos pour eux.

Tu as soit le jeu sideloadé gratis, soit le payant. Le calcul est vite fait.

Même pour des jeux gratuits sur Google Play, ils se font avoir.

Pour rappel, quand Fortnite a été rendu disponible via sideloading, c’était la foire aux malwares.

On n’y peut rien. La majorité des utilisateurs ne sont pas des utilisateurs avertis.

avatar Nesus | 

@Paquito06

Sauf que les hackers se feront un plaisir de forcer cette porte, que vous ayez validé ou non.
C’est déjà très compliqué d’avoir un système avec peu de faille. On a tous lu une apps qui avait réussi à passer entre les mailles du filet. Si en plus vous créez une porte, c’est carrément open bar. Le jailbreak l´a plus que démontré.

avatar Paquito06 | 

@Nesus

"Sauf que les hackers se feront un plaisir de forcer cette porte, que vous ayez validé ou non.
C’est déjà très compliqué d’avoir un système avec peu de faille. On a tous lu une apps qui avait réussi à passer entre les mailles du filet. Si en plus vous créez une porte, c’est carrément open bar. Le jailbreak l´a plus que démontré."

Je pense que sans signature Apple, iOS peut toujours laisser une app etre installee hors app store officiel, mais il revient a iOS (sandboxing) de cloisonner l’app et de verifier les api calls (utilisation d’appareil photo, localisation, acces aux contacts, ecritures, etc.). Ca sera certes moins facile pour les dev apple que la situation actuelle, mais le jailbreak demande quand meme des operations manuelles, une app externe ne va pas bypasser iOS aussi facilement, ou alors c’est iOS la passoire en premier lieu?

avatar Nesus | 

@Paquito06

C’est impossible. Ce qui fait qu’une app peut être contrôlée sur son usage et ses api, c’est uniquement la vérification « manuelle » que fait l’équipe de validation de l’AppStore.
Si on veut contrôler, ça veut dire remettre l’obligation du certificat et si on veut que ce certificat et l’usage des api soient contrôlées, il n’y a aps d’autre solution. Ce n’est pas une histoire d’être une passoire ou non, c’est qu’un os c’est fait pour exécuter du code et que quelqu’un avec les connaissances fait ce qu’il veut en exécutant que du code. C’est comme ça qu’on voit des fichiers texte devenir des chevaux de Troie.

avatar Paquito06 | 

@Nesus

iOS ne controlera/bloquera aucun appel de l’app? Elle peut piocher et surtout ecrire n’importe où dans iOS si elle n’a pas de certificat apple?

avatar Nesus | 

@Paquito06

Le certificat ne fait qu’autorisé l’app à être installée. Elle ne contrôle pas son action. Théoriquement, ça doit suffire, sauf qu’on voit bien sur Mac, les apps qui ont des api privées et qui s’octroient plus de droits qu’elle ne le devraient. On voit bien de App qui viole le bac à sable. Si vous êtes un dev honnête, bien sûr que vous jouerez le jeu. Le problème n’est pas là, le problème c’est tout ceux qui vont vouloir tricher pour gagner de l’argent. Et sur macOS, cela n’a pas grand intérêt vu la taille du parc, sur iOS, c’est une toute autre histoire.

avatar Paquito06 | 

@Nesus

Ok, merci.
Oui c’est ce que je reproche aux defenseurs de l’ouverture qui comparent iOS et le mac app store, on ne parle pas du meme volume de terminaux, ni du temps passé, ni de l’importance de ceux-ci…

avatar romainB84 | 

@Paquito06

il y a aussi une histoire d'image.
Même si effectivement, l'utilisateur pourra très bien continuer à n'utiliser que l'app store pour être beaucoup plus en sureté d'avoir des applis clean. Si des virus et autres commencent à arriver sur iOS par le biais de cette porte alternative, les trolls et gars de mauvaise foi auront vite fait de s'engouffrer dedans... et ça renverra une mauvaise image de Apple (par le biais des youtubeurs et autres...).
Il suffit de voir la comédie des fiches de specs "OUIIIII l'iPhone n'a que 4Go de RAM.... bouuuuh c'est vraiment nul par rapport à mon Android qui en a 16 Go etc...."
Meme si l'utilisateur averti sait très bien que la RAM ne se gère pas de la même manière entre les deux OS (et que les 4Go de ram de l'iPhone sont largement aussi efficace que les 12 ou 16 des Android).... il y aura toujours des rageux sur YouTube pour divulguer ce genre de message "simpliste : 4 c'est moins que 16..." et l'utilisateur non averti pourra le croire (Apres tout... ça semble si simple : 4Go c'est beaucoup moins que 16....).
Bah ça pourrait être pareil avec les virus et autres fuites de données.... des youtubeurs et autres gars mal intentionné pourrait faire dire ce qu'ils veulent de certaines stats et des clients "lambdas" pourraient se laisser berner (de manière aussi logique que expliqué plus haut).
Donc l'image de marque (surtout apple qui prône la confidentialité, la vie privé, la sécurité etc.... : c'est leur plus gros atout aujourd'hui pour justifier que leur smartphone coute 20% plus cher que les autres.... si tu n'as plus ca.... tu n'as plus d'intérêt d'acheter un iPhone) c'est vraiment très important pour eux (et c'est légitime).
Nul doute que Android REVERAIT de n'avoir plus qu'un seul store pour installer les apps.... mais si ils fermaient les portes aux stores alternatives (même pour des raisons de sécurité) ca serait la guerre avec les utilisateurs etc...

avatar Paquito06 | 

@romainB84

Ah bien sur, l’image d’Apple est ce qui va le plus morfler. Ca joue sur la securite et l’integrite des donnees depuis que l’iPhone existe, quand on va avoir des histoires de vol de donnees, malwares, d’iPhone briqués, ransomware, etc. qui feront les gros titres, ca va pas leur faire du bien. Passer a android sera kif kif pour certains consommateurs. Il y aura toujours des utilisateurs plus consciencieux que d’autres.

avatar romainB84 | 

@Paquito06

Exactement !
Pour le coup, je comprends parfaitement la position d’Apple.

avatar gwen | 

@Paquito06

Imaginons que cela code l’app store, l’utilisateur n’aura d’autre choix que de passer un autre store.

Imaginons que ta banque, le logiciel pour faite fonctionner tes objets et autre ne soit pas disponible chez Apple tu sera obligée de passer par une autre boutique.

avatar bibi81 | 

Imaginons que ta banque, le logiciel pour faite fonctionner tes objets et autre ne soit pas disponible chez Apple tu sera obligée de passer par une autre boutique.

Et pourquoi tu irais choisir une banque ou des appareils qui n'ont pas leur appli sur l'Appstore ?

Tu as un exemple sur Android d'une banque qui n'est pas disponible sur le Playstore et qui oblige les utilisateurs à sideloader ?

avatar armandgz123 | 

@gwen

Heu… non, pas du tout. C’est pas le cas sur Android, donc je ne vois pas pourquoi ça serait le cas sur l’iPhone.

avatar Tao | 

Peut-être, qu’un jour enfin, on pourra installer une app directement depuis un site web, comme on peut le faire sur toutes les autres plateformes

avatar armandgz123 | 

@Tao

Un jour…🤷🏻‍♂️

avatar Florent Morin | 

Pour la blague, Apple aurait pu rappeler aux régulateurs le fiasco du sideloading de Fortnite sur Android qui a amené à une déferlante de malwares.

avatar softjo | 

@FloMo

On pourrait aussi rappeler Apple que l’AppStore a hébergé des milliers d’apps vérolées installées sur des millions d’iPhones.

Ou de simples pages web qui suffisent pour hacker l’iPhone… faut-il donc autoriser les iPhone à ne visiter que les sites web autorisés par Apple?

avatar Florent Morin | 

@softjo

Ce n’est pas comparable en termes de volume.

avatar Bounty23 | 

En soit on s’en fous… Apple n’a qu’a l’autorisée avec un message en popup qui apparaît la première fois qu’on lance une app venant d’ailleurs indiquant que toute responsabilité en cas de corruption des données, de la sauvegarde ou du système sera déclinée par Apple, et que ça laisse une trace dans le système comme ça si le client se plaint derrière et fait le malin en virant les trucs tiers avant d’aller en Apple store ça se verra quand même.

avatar redchou | 

Il faut qu’Apple soit sanctionné bien plus que Microsoft… Ils font bien pire qu’eux à l’époque.

avatar iPadProM1 | 

@redchou

Hors sujet…

avatar redchou | 

@iPadProM1

Oui, rien à voir. Vivement quand même.

avatar judev | 

Comme si c'était tout l'un ou tout l'autre... Et ca m'attriste de voir les utilisateurs approuver.

C'est vrai que les "Progressive Web App" permettent de pirater l'iPhone. Personnellement obligé d'encapsuler la PWA dans une app native uniquement pour profiter de la geoloc en tache de fond. Si ils permettaient cela, qu'ils pousseraient un peu plus le support des PWA, je n'aurais même pas besoin d'un store d'apps "natives"...

De la même manière ils pourraient très bien sécuriser une app native sideloadé, peut être en limitant certaines interactions avec l'OS je ne dis pas.

avatar Krysten2001 | 

@judev

« Comme si c'était tout l'un ou tout l'autre... Et ca m'attriste de voir les utilisateurs approuver. »

Bah c’est le cas. Chaque système a ses avantages et inconvénients.

avatar judev | 

@Krysten2001

Merci pour ce commentaire inutile 😂

avatar appleadict | 

étonnant ce sujet ...

on comprend bien qu'Apple voudrait garder le contrôle sur tout et cherche pour cela à faire peur ...

mais le risque avancé par Apple sur l'impossibilité d'assurer la sécurité des apps et des données de utilisateurs avec un store alternatif est-il réel ou pas ?...

après, c'est une décision politique d'autoriser le sideloading ou pas ... dès lors qu'il est toujours possible d'assurer la sécurité des apps et des données, parce qu'au final, c'est ca la priorité

avatar Krysten2001 | 

@appleadict

« mais le risque avancé par Apple sur l'impossibilité d'assurer la sécurité des apps et des données de utilisateurs avec un store alternatif est-il réel ou pas ?... »

On le voit bien sur Android 😉

avatar Arnaudvietnam | 

@Krysten2001

J'étais sous android ( Samsung ) avant de passer chez la pomme.

Je n'ai jamais eu de soucis avec des apps. A part télécharger une application obscure, il n'y a pas de soucis à être chez Android.

avatar Derw | 

@Arnaudvietnam

« Je » Tout est là.

Moi, Je suis sur Mac depuis 30 ans et je n’ai jamais eu de virus. Cela ne doit vraiment exister qu’à la marge… pourtant…

avatar Krysten2001 | 

@Arnaudvietnam

Vous parlez de votre expérience 😉

avatar Jymini | 

Je n’espère pas.
Les milliers de comptes développeurs fermés ou d’abonnements frauduleux remboursés par Apple… ça n’existera pas que le web.
Et les accès direct à tes données sans passer par les API d’Apple qui te permettent de contrôler… je ne serai pas surpris que le premier à distribuer son app hors AppStore sera Facebook !

avatar Paquito06 | 

@Jymini

Qu’est ce que FB aurait a gagner hors app store officiel? L’app est gratuite, pas de souscription, ca marche tres bien ainsi depuis 15 ans.

avatar Jymini | 

@Paquito06

L’accès à ta géolocalisation sans ton accord, a du tracking inter-app, inter-site, ta base de contacts, …
Bref l’accès à tes données sans passer par une validation ou des API restrictives.

avatar DrStrange | 

Ils me font marrer les gens qui disent Apple n’a qu’à afficher un message de mise en garde.
Vous oubliez bien vite le facteur humain. Cela ne va pas être la tarte de gérer des millions d’utilisateurs mécontents parce qu’il y a eu un problème, quelque soit la gravité. Très peu de rappelleront du message de mise en garde, et voudront que Apple démontre par A + B que la faute leur revient. Imaginez l’embouteillage dans les Apple Store, sur les lignes téléphoniques, les procès, et l’image de marque écornée.

avatar Nesus | 

@DrStrange

Il va surtout falloir gérer la vie privée violée et les comptes en banques vidés.
Pour quel gain ?
Pouvoir installer une apps non optimisée qui fera planter la machine ?
Avoir encore plus applications gratuites, qui paupériseront encore plus les développeurs ?

Ça ne fait franchement pas rêver…

avatar armandgz123 | 

@Nesus

N’importe quoi.

avatar Nesus | 

@armandgz123

Merci pour votre analyse.

Pages

CONNEXION UTILISATEUR