DMA : les développeurs entre craintes et espoirs
Les institutions européennes ont frappé un grand coup lorsqu'elles sont tombées d'accord sur le DMA. La législation sur les marchés numériques (Digital Markets Act, DMA) est une bombe à retardement pour les grandes plateformes, qui devront changer leurs pratiques en profondeur. Et les développeurs ne sont pas en reste.
Parmi les « contrôleurs d'accès » (« gatekeepers ») visés par le DMA, Apple trône en bonne place. Plusieurs dispositions visant à casser l'étreinte du constructeur sur l'App Store et sur l'iPhone sont au menu, et pas des moindres. Nous avons voulu savoir ce qu'en pensaient les premiers concernés, à savoir les développeurs, qui voient s'ouvrir de nouvelles opportunités.
Négociations, mise en œuvre, sanctions : le pourquoi du comment du DMA
Ce que le DMA va changer pour l'App Store, l'iPhone et Apple
Le nerf de la guerre
Les sentiments sont partagés, entre espoir, prudence voire incompréhension envers des mesures qui vont aussi obliger Apple à repenser la sécurité de sa plateforme. Un argument « essentiel », selon Clément Sauvage, développeur iOS et business angel, quand on lui parle du choix dans les systèmes de paiement d'achats intégrés. Car « on parle de paiements, de cartes bancaires, de transactions, d’argent, autrement dit le nerf de la guerre aujourd’hui. »
Et puisque Apple contrôle la chaîne de A à Z, l'utilisateur peut être rassuré par le fait que son numéro de carte bancaire n'est pas transmis à l'éditeur de l'application. Selon Clément, de nombreux développeurs voudront s'adosser à Stripe ou Adyen, mais d'autres préfèreront développer leur propre système de paiement qui pourrait présenter des lacunes en termes de sécurité.
Florent Morin, développeur iOS et contributeur régulier à MacGeneration, dresse la comparaison avec ce qui se passait dans les années 2000, « quand seuls les très gros acteurs avaient les moyens de gérer le paiement en ligne et le support pour les apps sur Nokia et BlackBerry. » Distribuer une application et y associer un moyen de paiement, c'est une chose.
Mais « quand il s’agit de gérer le support technique, les différentes devises, les différentes réglementations et tout ce qui s’en suit, c’est un gouffre financier qu’un petit développeur ne peut envisager. » On peut certes passer par une plateforme de paiement établie, néanmoins Florent rappelle que « tout ceci a un prix : c’est pour cela que Epic Store, Steam et autres prennent des commissions ».
Ce ne sera pas un problème pour les grands éditeurs, qui peuvent réduire leurs frais sans passer par des tiers : « ils peuvent vendre moins cher en faisant du volume. Le volume est réalisé par un marketing à outrance et tout ça est financé par les fonds d’investissement par exemple ». Des choses qui ne sont pas accessibles aux développeurs indépendants.
C'est pourquoi il estime que le rôle joué par Apple en tant que tiers de confiance entre les développeurs et les utilisateurs a permis aux « petits acteurs de jouer dans la même cour que les gros acteurs, sans trop subir la concurrence déloyale. »
Florent fidèle à lui-meme :)
il a au moins le bon point de toucher l'envers du décor idyllique que trop de commentateurs poitent ici.
Perso, (si mon avis compte) c'est que j'aimerais bien verrouiller les iphones d ela famille pour ne pas retrouver des siphonneurs de données ou autre dans le reseau local. Est-ce possible avec des boutiques en sideloading ? Pas certain...
@raoolito
"Perso, (si mon avis compte) c'est que j'aimerais bien verrouiller les iphones d ela famille pour ne pas retrouver des siphonneurs de données ou autre dans le reseau local"
C’est pas possible ? Des entreprises le font sur leur flotte il me semble
@Sindanárië
je ne suis helas pas une entreprise avec des logiciels dédiés
dabs mon cadre ce serait une extension du partage/restrictions familiales qui engloberait toute installation
La pire menace de sécurité sur iPhone a quand même été Pegasus. Et cela n’avait rien à voir avec le sideloading.
Quand j’entends l’argument de federighi, je reste bouche bée. Des journalistes, des états ont été espionnés…
Je n’ai pas entendu de mea culpa d’Apple ni de poursuites judiciaires contre Apple alors qu’au fond Apple est responsable de cette faille logicielle.
@amonbophis
Ca n’a absolument aucun rapport, mais bon, nous devrions être habitué. Je me demande toujours si ce genre d’assertions sont faites par ignorance ou volontairement…
Quant à condamner un développeur ou constructeur parce qu’une faille existe, ça va être très amusant comme monde…
@Nesus
Pourquoi aucun rapport? On parle ici de sideloading, et Apple clame que ça menace la sécurité des iPhone. Or pegasus n’est pas lié à du sideloading et ça a quand même permis de siphonner et espionner quantité d’iPhone. C’est une faille de sécurité qui a été exploitée.
Je trouve juste le discours d’Apple très hypocrite.
À mon sens, quand une entreprise a une telle mainmise sur la téléphonie de la société (Apple ou Google), elle doit pouvoir rendre des comptes
Ps : si vous me traitez d’ignorant, mieux vaut expliquer pourquoi, j’aimerais dans ce cas apprendre plus.
@amonbophis
Comme vous le dites, ça n’est pas lié. Donc ça n’a bien aucun rapport.
Une petite analogie pour que ce soit plus simple :
- On m’a cambriolé ma maison.
- Normal, la fenêtre est ouverte.
- ils sont rentrés par la porte qu’ils ont fracturé.
- c’est déjà votre faute, fallait fermer la fenêtre.
Considérer que toutes les failles de sécurité sont identiques, c’est bien de l’ignorance. Et je suis toujours très étonné par les gens qui ne comprennent absolument pas les différents fonctionnement, qui ont des avis aussi tranchés et qui ne cherche pas à savoir attendant qu’autrui l’explique. Du coup, je m’interroge toujours, quand on veut autant ne pas savoir, quel intérêt. Et vous pouvez relire mon premier message pour compléter celui-ci.
@Nesus
Tout dépend quel type de lien vous parlez.
Certes ce n’est pas un lien direct cause-conséquence, Mais ça reste lié car au final, pegasus = faille de sécurité et sideloading = faille de sécurité selon Apple.
Bien sûr ce ne sont pas ou seront pas des failles de sécurité identiques, mais je dirais que avant de crier au loup comme le fait Apple, il faut balayer devant sa porte : les plus grosses failles ne sont/seront peut être pas dues au sideloading…
Encore une fois, c’est l’hypocrisie d’Apple que je critique.
Je regrette que le DMA n’ait pas appuyé sur la responsabilité des fournisseurs de matériel/logiciel dans ces failles de sécurité de bas niveau.
Sinon Je suis assez d’accord avec d’autres commentaires, la vérité sera sûrement au milieu de tous ces avis tranchés.
PS: mon avis n’est peut être pas aussi tranché que l’est votre réaction vis à vis de mon opinion. L’argumentation est la meilleure façon d’amener l’autre à son opinion.
@mne : Apple arrive quand même a bien limiter l’installation d’app non vérifiée sur le Mac. Alertes de sécurité, redémarrage sur la partition de récupération,… beaucoup est fait pour désespérer le quidam. Sûrement qu’Apple pourra faire la même chose sur iOS.
@amonbophis
Donc votre argument, c’est comme ce n’est pas parfait, on peut aggraver plus le problème.
Les gars vous ne réussissez pas à faire vos 40h de travail dans 24 ? Ok, alors vous en aurez 50.
La cohérence est très impressionnante.
Comparer ios et mac… et bien si vous estimez que vous êtes aussi protégé sur Mac que sur iOS, grand bien vous fasse. C’est juste faux et vous en paierez le prix. Parce que vous avez l’impression de savoir, vous vous sentirez en sécurité et vous essuierez les plâtres. Mais bon, on a compris votre logique, ça sera la faute d’Apple. Vous direz encore que vous ne saviez pas.
Il n’y a que deux types de gens qui profiteront du sideloading, ceux qui maîtrisent très bien les rouages et qui vont en profiter pour vendre plus (genre epic) et ceux qui connaissent très bien les rouages et vont en profiter pour voler plus (genre NSO groupe, et eux, je peux vous assurez qu’ils n’attendent que ça). Les autres, ça sera juste des ennuis en plus. Ça ne changera même pas le chiffre d’Apple, à l’inverse de ce que beaucoup rêvent.
Les propos de Clément semblent plus mesurés et plus cohérents de mon point de vue.
J'ai l'impression de réentendre les propos d'apple en lisant le discours basés sur les craintes et la peur de Florent.
Comme écrit dans un article précédent par Mickaël, entre l'apocalypse annoncée par certains et le miracle attendu par d'autres, il y aura certainement un juste milieu.
Le problème pour Apple, c'est que d'avoir tenu une position extrême pendant des années à ne pas lâcher du lest, ils se prennent en retour des mesures situées à l'autre extrême pour les faire plier.
Je ne peux m'empêcher de me dire que si Apple avait été un peu plus coulante sur certains points, qui ne touchaient pas à la sécurité mais qui touchaient à ses revenus, le DMA n'aurait pas existé...
« Bref. Le DMA est une erreur colossale », conclut Florent.
Et c’est surtout une vengeance de Cédric O parce qu’on lui a dit d’aller se faire mettre pour le traçage de tous anti Covid.
Les politiciens de l’union ne comprennent rien à l’informatique.
Même Google et les développeurs d’android ont démontrer que le slide loading est dangereux et n’apporte rien pour les développeurs et les utilisateurs.
Il faudra voir la liberté d'implémentation de ces lois surtout.
Spéculer que les utilisateurs ne sont pas capable de comprendre qu'ils prennent un risque en sideloadant c'est spéculer qu'ils auront déjà probablement passé plusieurs barrière psychologique :
- Avoir trouvé un site qui propose de télécharger une app pour iphone (le réflexe de passer par les apps store est majoritairement compris aujourd'hui, la preuve est le manque de développement du sideloading sur android)
- Avoir validé une popup qui informe l'utilisateur qu'il télécharge un fichier risqué
- avoir validé une popup à l'installation de l'app elle-même
- Avoir activé la possibilité de sideloader depuis un obscur menu dans le fond des préférence d'accessibilité
tout ça c'est de la spéculation mais je m'étonnerai qu'apple ne mette pas au moins en place ces gardes-fous pour prévenir ceux qui ne comprennent rien. ça n'empêchera évidemment pas toutes les conneries bien sur mais bon...
En plus, je suis certain qu'apple peut restreindre certaines api ou fonctions à une signature par l'app store. A moins que le DMA n'impose une parité de fonctions entre app téléchargée par sideloading et app venant de l'app store. Par exemple les apps sideloadés pourraient tourner dans une sandbox plus verrouillée peut-être ?
@mne
Ma famille (femme et enfants) sont plutôt « éduqués » sur ces questions (par moi qui les saoule, il faut bien l’avouer). Pourtant :
« - Avoir validé une popup qui informe l'utilisateur qu'il télécharge un fichier risqué
- avoir validé une popup à l'installation de l'app elle-même »
Il arrive encore trop souvent qu’avec ma femme on ait cette conversation :
« Elle : je ne comprends, cela ne marche pas !
Moi : tu as eu des popins avant ?
Elle : Oui…
Moi : Et que disaient ces popins ?
Elle : J’en sais rien ! Tu sais bien que ça me gave ! Et puis j’y connais rien à ces trucs et t’étais pas là !
Moi : … »
Encore ce matin, une popin Dropbox (lié à un bug de Monterey) est apparu sur son Mac : elle est venue directement me voir pour que je gère…
« - Avoir activé la possibilité de sideloader depuis un obscur menu dans le fond des préférence d'accessibilité »
Là-dessus, je fais confiance à mes fils pour trouver ça dans les 5 min qui suivent la mise-à-jour qui apporte cette fonctionnalité pour pouvoir installer tout un tas de jeux pourris gratuits…
Je suis plus de l'avis de Clément et Florent. Ces soit-disant bénéfices me semble plus hypothétiques qu'autre chose d'autant que pour le coup ça ne mettra en effet pas tout les développeurs au même niveau car un développeur indépendant n'a pas les ressources pour passer outre un système de paiement pré-conçu, et si ce développeur a potentiellement déjà à gérer des requêtes de remboursement etc s'il propose une app Mac hors (in-app) App Store il évitera sûrement d'avoir à gérer ça sur iOS car les volumes seraient sûrement encore plus grand, résultat il passera par les in-apps d'iOS avec une com (qui me semble justifiée) de 30%, tandis que les gros éditeurs passeront par des systèmes perso ou Stripe etc.. et ils leur restera encore plus d'argent qu'aujourd'hui pour faire encore plus de marketing et écraser les petits concurrents !
L’exemple donne dans un autre article je crois du test effectué par Facebook avec des casques VR était intéressant. Ils ont tenté une première fois avec un système ouvert à toute app. Résultat : des jeux mal fichus, donc une expérience client mauvaise qui présume que le casque VR est un gadget non abouti.
Le dernier du coup est sur un système ferme ou FB vérifie la qualité des apps.
Parce que les « ça ne marche pas » évoqués par @Dernw , je les ai aussi à la maison… et clairement, NON l’utilisateur lambda ne lit pas les popin, dit ok, ok, ok et après il faut jouer les pompiers. Donc si ça permet de télécharger tout et n’importe quoi, je ne suis pas rendu 😵 Et ce sera pire pour mes parents (plus tout jeunes…)
Pour répondre à Raphael Sebble de l’article, on peut jouer au xbox game pass sur ios via Safari. Idem pour les livres Kindle. Quant a Alexa, il y a une application. Demander carrément à l’avoir par défaut je ne pense pas que ca doit être quelque chose que la loi doit « micro-gérer »… Après tout, ou est la concurrence si on a la même chose partout? De toute façon tous ces assistants vocaux sont surfaits et pour ce qu’on en fait ils s’en sorte tous plus ou moins bien