iOS 14 : les développeurs ont un nouveau moyen pour lutter contre les apps piratées

Stéphane Moussie |

Depuis des années, une partie des développeurs iOS se bat contre des versions piratées de leurs applications qui circulent sur des boutiques d'apps « alternatives » — boutiques qui ne nécessitent pas forcément un iPhone jailbreaké. Ces apps piratées comprennent des fonctionnalités non prévues par l'éditeur, retirent la publicité ou bien encore permettent de débloquer du contenu payant sans débourser un centime.

Pour lutter plus efficacement contre ces détournements, Apple propose avec iOS 14 aux développeurs une nouvelle API, App Attest, dont le but est de vérifier l'intégrité de l'app.

Pour ce faire, le développeur doit générer une paire de clés, stockées dans le terminal (dans l'enclave sécurisée) et sur un serveur. L'application va signer les requêtes avec la clé secrète, envoyer les données au serveur et confirmer l'intégrité avec la clé publique. Si un hacker intercepte la requête et la modifie, la validation côté serveur échouera. Ainsi, le développeur saura qu'il s'agit d'une app piratée et pourra bloquer la demande.

Comme le souligne Apple, App Attest n'est pas une méthode infaillible pour identifier un appareil ayant un système compromis, autrement dit un appareil jailbreaké, où les pirates ont le champ libre pour contourner les mesures de sécurité. Mais cette API pourrait compliquer la création et l'utilisation d'apps piratées sur des terminaux non jailbreakés.

Le développeur Bruno Rocha, qui travaille pour Spotify, un des nombreux services touchés par le piratage sur iOS, donne des détails techniques sur son blog.

Tags
avatar DrStax | 

C'est une bonne chose. Trop de gens oublient et ne conçoivent parfois même pas que derrière une app il y a des gens qui travaille et qui mérite autant que les autres une rémunération pour le travail fourni.

avatar Seb42 | 

@DrStax

👍

avatar armandgz123 | 

@DrStax

Après, je suis sûr qu’une très grande partie des pirates n’achèteraient pas l’app / la fonction de toute façon...

avatar BordelInside | 

@armandgz123
"Après, je suis sûr qu’une très grande partie des pirates n’achèteraient pas l’app / la fonction de toute façon..."

Et ?
C'est pas grave du coup ?

avatar armandgz123 | 

@BordelInside

Bah non du coup.
Puisque dans tous les cas, le développeur/artiste/créateur n’est pas rémunéré...

avatar Bigdidou | 

@armandgz123

« Puisque dans tous les cas, le développeur/artiste/créateur n’est pas rémunéré... »

D’abord, c’est un déni de la propriété intellectuelle. On peut en débattre, mais pour l’instant, notre contrat social est de la reconnaître.

Ensuite, on parle de services comme Spotify.
Tu ne vois aucun inconvénient à ce qu’un malware fasse du data mining sur ta machine, du coup.
Les pirates ne t’auraient pas payé de toute façon.

Encore une fois, je ne juge pas le fait de pirater, je pense qu’on est nombreux à s’être ou encore se laisser aller à un torrent de temps en temps, par facilité.
Et la transgression de temps en temps je pense que c’est important.
Mais il s’agit aussi de ne pas justifier nos comportements par des arguments superficiels ou qui n’ont aucun sens.
Et d’accepter la sanction.

avatar BordelInside | 

Big-bisou @Bigdidou pour ce commentaire que j'applaudis des deux mains :

"Mais il s’agit aussi de ne pas justifier nos comportements par des arguments superficiels ou qui n’ont aucun sens.
Et d’accepter la sanction."

avatar armandgz123 | 

@Bigdidou

Oui enfin, l’enjeu n’est pas le même...
Pouvoir profiter de la culture est essentiel, même quand on n’en a pas les moyens...
Alors, si d’un autre côté cela ne fait pas perdre d’argent aux créateurs (car pas rémunérés dans tous les cas), ça ne me paraît pas si dramatique.

Je ne parle pas de ceux qui tombent dans la facilité (car avec les abonnements actuels comme Netflix ou Deezer, ça doit représenter très peu de monde).

En tout cas, j’étais bien contant d’avoir de la musique et quelques films quand j’avais pas d’argent

avatar fousfous | 

Tant que ça fait pas comme dans les jeux PC ou ceux qui ont acheter les jeux sont plus emmerdé que ceux qui l'ont piraté.

avatar huexley | 

Si il y avait que les jeux… Installe un soft comme Sibelius ou faut presque filer la taille de ton slip pour activer la licence (je parle MEME PAS de la MIGRER sur un autre poste en cas de panne matériel, la faut sortir les bougies et invoquer les puissance infernales sur au moins 3 jours pour y arriver) alors que le craquer c'est 3 SECONDES.

avatar Sindanárië | 

@huexley

"Installe un soft comme Sibelius"

C’est quoi cette app ?

avatar Pipette | 

@Sindanárië

https://fr.m.wikipedia.org/wiki/Sibelius_(logiciel)
Google est ton ami....

avatar Sindanárië | 

@Pipette

Merci....

Mais petite précision, Google n’est l’ami de personne, juste un aspirateur 😬

avatar macbookpro2016 | 

tu m'as tuer j'ai ri merci

avatar ddrmysti | 

@Sindanárië

Ça ne t’empêche pas de connecter deux neurone et de chercher une réponse par toi même.

avatar Sindanárië | 

@ddrmysti

🗯Bonjour, merci pour votre intervention de qualité.
Comme vous ne faites pas partie du cercle des abonnés et autres soutiens à ce site
(en gros, un pauvre pèquenaud radin qui est obligé de se tartiner la pub et autres sponsorings indécents) nous vous recommandons à l’avenir de laisser une requête à l’accueil pour pouvoir interagir avec nous. En attendant nous vous laissons la liberté de continuer à mouiller vos aisselles et à vous ronger les ongles de rage sur internet puisque vous avez une vie morne et inintéressante.
Votre Serviteur.

avatar ddrmysti | 

@Sindanárië

D’un côté il y a ceux capable de réfléchir, de l’autre ceux comme toi tout juste bon à insulter. Du coup je choisis mon camp tu ne m’en voudra pas (et c’est moi qui suis sensé rager et avoir une vie sans intérêt xD)

avatar Eyquem | 

@huexley

Oui c’est très souvent comme ça. Sans parler des jeux qui tournent mieux craqués car l’anti-piratage inutile pompe plein de resources cpu...

avatar dodomu | 

@fousfous

👍
Le problème existe aussi avec les lecteurs Blu-ray qui si non mis à jour ne peuvent plus lire les films récents...

avatar micka44 | 

C’est pas l’inverse au niveau des clés? La clé privé qui reste sur le serveur et la clé publique utilisé par l’application pour communiquer avec le serveur ?

avatar bibi81 | 

Bah non puisque c'est le serveur qui vérifie. Si tout le monde connaît la clé publique (ce qui est le cas par définition) alors tout le monde pourra se faire passer pour une application légitime.

avatar pocketjpaul | 

Je suis pas convaincu par le truc ou alors j'ai loupé un détail.

En gros ce n'est utile que pour les apps dépendantes d'un serveur en ligne, sinon il suffit de modifier l'app pour qu'elle n'appelle jamais le serveur.

Hors ces apps ne sont jamais réellement concernées par le piratage puisque le serveur a déjà la connaissance de la légitimité de l'utilisateur (ou alors l'archi est vraiment mal foutu et le serveur accepte des requêtes de n'importe qui de non authentifié mais dans ce cas c'est grave.

avatar Woaha | 

@pocketjpaul

C’est ça oui. Par exemple Spotify et YouTube ont actuellement souvent du mal à détecter les versions modifiées de leurs apps donc c’est une aide à ce niveau là.

avatar pocketjpaul | 

@Woaha

Ok donc c'est surtout pour éviter l'utilisation de ton API par une app qui n'est pas la tienne. Il n'est pas réellement question de piratage. Ça ne sera par exemple d'aucune utilité à un développeur de jeu vidéo pas en ligne.

Mais pour l'exemple de Spotify, comment le serveur de Spotify va t'il faire pour répondre aux requêtes de l'application Android qui n'embarquera pas la signature de l'iPhone ? Il suffira à l'application modifiée d'appeller l'API avec les mêmes paramètres que la version Android.

avatar Sindanárië | 

La photo de J Depp pour l’article, elle est libre de droits ou c’est piqué sur Google images?
😬

🏃🏽💨 🚪

CONNEXION UTILISATEUR