On le sait, Apple est complètement opposée au sideloading, cette pratique consistant à installer des applications ne provenant pas de l'App Store sur un iPhone ou sur un iPad. Le mois dernier encore, Apple rappelait sa position : autoriser l'installation d'applications depuis le web, par exemple, c'est faire risquer à des millions d'utilisateurs une attaque par des logiciels malveillants. Par le passé, Tim Cook lui-même expliquait que le sideloading pourrait détruire la sécurité de l'iPhone. Face à ces arguments, Bruce Schneier a envoyé une lettre aux sénateurs américains s'occupant des dossiers antitrust d'Apple. L'éminent spécialiste en sécurité informatique compte bien faire entendre un autre son de cloche.
Deux projets de loi sont actuellement à l'étude aux États-Unis. Le premier vise à interdire aux grandes entreprises de la tech de privilégier leurs propres produits sur leurs plateformes. Dans le cas d'Apple, c'est l'obligation de passer par l'App Store qui est visée. Le second projet envisage de les forcer à autoriser des moyens de paiements alternatifs. Une réglementation similaire a été adoptée l'été dernier en Corée du Sud.
Dans son courrier, Bruce Schneier réfute plusieurs des arguments de Cupertino, à commencer par celui affirmant que ces changements pourraient gêner l'introduction de nouvelles mesures de confidentialité et de sécurité. Cupertino a tout faux selon le cryptologue : le projet de loi ne bloque pas les changements qui affectent toutes les applications, même celles potentiellement téléchargées sur le web. La Pomme pourrait continuer d'apporter des modifications à sa plateforme, comme ce qui a été fait avec le framework de l'App Tracking Transparency qui se répercute sur toutes les apps.
Apple affirme qu'autoriser le sideloading signifierait ouvrir la porte à de nombreux malwares. Pour Bruce Schneier, c'est une vision simpliste et malhonnête : le projet de loi demande à ce que l'installation d'applications tierces soit possible, elle n'exige pas qu'Apple rende la démarche aisée. Contrairement à ce que laisse penser Cupertino, cela ne voudrait pas dire que n'importe quel logiciel téléchargé sur le web doit pouvoir être installable en un tap.
Le sideloading pourrait être incorporé à iOS de manière à ce que seuls les utilisateurs qui le souhaitent puissent installer des applications provenant d'ailleurs que l'App Store. Des avertissements pourraient être intégrés afin qu'ils puissent prendre conscience des conséquences de leur choix. Sur Android, les personnes voulant lancer un programme téléchargé en dehors du Google Play doivent se rendre dans les paramètres de leur appareil pour décocher une sécurité. En le faisant, une fenêtre rappelle que les données sont plus vulnérables face aux attaques d’apps provenant de sources inconnues.
Dans le cas d'Apple, on pourrait imaginer une procédure qui soit volontairement plus compliquée que sur Android. En attendant, une telle modification ne changerait rien pour les utilisateurs souhaitant rester dans les clous. Leur situation ne serait pas plus risquée contrairement à ce que peut laisser penser Apple.
Apple en remet une couche contre le sideloading
Bruce Schneier observe que si la modération des applications sur l'App Store permet d'éviter les malwares, ce n'est pas la seule arme dont dispose Apple. L'entreprise peut toujours boucher les failles techniques utilisées par les apps ne provenant pas des canaux officiels. Il note que d'éventuelles boutiques alternatives pourraient avoir les mêmes exigences niveau sécurité qu'Apple, si ce n'est plus. Au final, le sideloading donnerait aux utilisateurs plus de choix sans nuire à ceux voulant rester dans le jardin de la Pomme.
Enfin, le cryptologue réfute l'idée qu'un App Store surveillé uniquement par Apple soit la meilleure des solutions. Selon lui, l'App Store a pu laisser passer des applications néfastes et en refuser d'autres qui auraient pu s'avérer bien pratiques. Il prend l'exemple de la suppression des VPN de l'App Store chinois en 2017. Faute de sideloading, les clients se sont retrouvés démunis.
Nous ne pouvons pas, et ne devons pas faire confiance à une seule entreprise pour prendre les bonnes décisions en matière de sécurité, de confidentialité et de protection des appareils pour des milliards d'utilisateurs.
Bruce Schneier conclut son courrier en rappelant qu'il existe déjà une plateforme ouverte : l'ordinateur. S'il y a bien des virus et des malwares, cette plateforme fonctionne plutôt bien pour les milliards d'utilisateurs s'en servant quotidiennement. Cette idée avait été contredite par Craig Federighi, qui avait soutenu lors du procès contre Epic que le Mac avait un problème de malwares, contrairement à iOS. Cette déclaration avait été balayée par la juge, qui avait estimé que ces paroles n'étaient pas basées sur des chiffres et avaient pour unique but de mettre en valeur le concept fermé d'iOS. Elle allait même plus loin en suggérant qu'Apple pourrait concevoir pour son système mobile un mécanisme de validation et de distribution des apps similaire au Mac, sans pour autant nuire à la sécurité des utilisateurs.
