Sideloading : un spécialiste en sécurité réfute les arguments d'Apple
On le sait, Apple est complètement opposée au sideloading, cette pratique consistant à installer des applications ne provenant pas de l'App Store sur un iPhone ou sur un iPad. Le mois dernier encore, Apple rappelait sa position : autoriser l'installation d'applications depuis le web, par exemple, c'est faire risquer à des millions d'utilisateurs une attaque par des logiciels malveillants. Par le passé, Tim Cook lui-même expliquait que le sideloading pourrait détruire la sécurité de l'iPhone. Face à ces arguments, Bruce Schneier a envoyé une lettre aux sénateurs américains s'occupant des dossiers antitrust d'Apple. L'éminent spécialiste en sécurité informatique compte bien faire entendre un autre son de cloche.
Deux projets de loi sont actuellement à l'étude aux États-Unis. Le premier vise à interdire aux grandes entreprises de la tech de privilégier leurs propres produits sur leurs plateformes. Dans le cas d'Apple, c'est l'obligation de passer par l'App Store qui est visée. Le second projet envisage de les forcer à autoriser des moyens de paiements alternatifs. Une réglementation similaire a été adoptée l'été dernier en Corée du Sud.
Dans son courrier, Bruce Schneier réfute plusieurs des arguments de Cupertino, à commencer par celui affirmant que ces changements pourraient gêner l'introduction de nouvelles mesures de confidentialité et de sécurité. Cupertino a tout faux selon le cryptologue : le projet de loi ne bloque pas les changements qui affectent toutes les applications, même celles potentiellement téléchargées sur le web. La Pomme pourrait continuer d'apporter des modifications à sa plateforme, comme ce qui a été fait avec le framework de l'App Tracking Transparency qui se répercute sur toutes les apps.
Apple affirme qu'autoriser le sideloading signifierait ouvrir la porte à de nombreux malwares. Pour Bruce Schneier, c'est une vision simpliste et malhonnête : le projet de loi demande à ce que l'installation d'applications tierces soit possible, elle n'exige pas qu'Apple rende la démarche aisée. Contrairement à ce que laisse penser Cupertino, cela ne voudrait pas dire que n'importe quel logiciel téléchargé sur le web doit pouvoir être installable en un tap.
Le sideloading pourrait être incorporé à iOS de manière à ce que seuls les utilisateurs qui le souhaitent puissent installer des applications provenant d'ailleurs que l'App Store. Des avertissements pourraient être intégrés afin qu'ils puissent prendre conscience des conséquences de leur choix. Sur Android, les personnes voulant lancer un programme téléchargé en dehors du Google Play doivent se rendre dans les paramètres de leur appareil pour décocher une sécurité. En le faisant, une fenêtre rappelle que les données sont plus vulnérables face aux attaques d’apps provenant de sources inconnues.
Dans le cas d'Apple, on pourrait imaginer une procédure qui soit volontairement plus compliquée que sur Android. En attendant, une telle modification ne changerait rien pour les utilisateurs souhaitant rester dans les clous. Leur situation ne serait pas plus risquée contrairement à ce que peut laisser penser Apple.
Apple en remet une couche contre le sideloading
Bruce Schneier observe que si la modération des applications sur l'App Store permet d'éviter les malwares, ce n'est pas la seule arme dont dispose Apple. L'entreprise peut toujours boucher les failles techniques utilisées par les apps ne provenant pas des canaux officiels. Il note que d'éventuelles boutiques alternatives pourraient avoir les mêmes exigences niveau sécurité qu'Apple, si ce n'est plus. Au final, le sideloading donnerait aux utilisateurs plus de choix sans nuire à ceux voulant rester dans le jardin de la Pomme.
Enfin, le cryptologue réfute l'idée qu'un App Store surveillé uniquement par Apple soit la meilleure des solutions. Selon lui, l'App Store a pu laisser passer des applications néfastes et en refuser d'autres qui auraient pu s'avérer bien pratiques. Il prend l'exemple de la suppression des VPN de l'App Store chinois en 2017. Faute de sideloading, les clients se sont retrouvés démunis.
Nous ne pouvons pas, et ne devons pas faire confiance à une seule entreprise pour prendre les bonnes décisions en matière de sécurité, de confidentialité et de protection des appareils pour des milliards d'utilisateurs.
Bruce Schneier conclut son courrier en rappelant qu'il existe déjà une plateforme ouverte : l'ordinateur. S'il y a bien des virus et des malwares, cette plateforme fonctionne plutôt bien pour les milliards d'utilisateurs s'en servant quotidiennement. Cette idée avait été contredite par Craig Federighi, qui avait soutenu lors du procès contre Epic que le Mac avait un problème de malwares, contrairement à iOS. Cette déclaration avait été balayée par la juge, qui avait estimé que ces paroles n'étaient pas basées sur des chiffres et avaient pour unique but de mettre en valeur le concept fermé d'iOS. Elle allait même plus loin en suggérant qu'Apple pourrait concevoir pour son système mobile un mécanisme de validation et de distribution des apps similaire au Mac, sans pour autant nuire à la sécurité des utilisateurs.
Imposer d'avoir le choix... où est le problème? 😳
Laisser ouverte la porte de la prison ne vous oblige pas à en sortir!
@r e m y :
« Imposer d'avoir le choix... où est le problème? 😳 »
Oui, cet "argument" est toujours proprement sidérant.
La fin du monopole d'Apple sur la distribution des applications iOS et iPadOS bénéficierait avant toute chose aux développeurs (ce qui n'empêche pas qu'à chaque article sur le sujet on a droit aux sempiternel "si vous n'êtes pas contents rien ne vous retient d'aller sur Android" de la part des adorateurs de la Pomme...), mais également aux utilisateurs finaux. Que ce soit les premiers ou les seconds, rien et strictement rien ne les obligera à abandonner l'App Store. Le plus drôle étant ceux qui disent : "oui, mais peut-être que certaines applications n'y seront plus disponibles", avec ce côté schizophrène de :
1. Je veux continuer à utiliser une application qui me plaît.
2. Mais je ne fais pas du tout confiance au développeur de celle-ci, dont le seul but est de piller mes données personnelles, alors j'exige qu'il soit soumis à la domination d'Apple.
@webHAL1
"Oui, cet "argument" est toujours proprement sidérant."
Et pourtant… croire qu’un changement de paradigme serait sans conséquences pour ceux qui ne le désirent pas est bien naïf.
Ce n’est nullement une simple possibilité en plus qu’on pourrait ignorer sans souci si on ne la désire pas.
Moi ce qui me sidère c’est le peu de considération de chaque camp pour l’autre.
Les désirs de chaque camp sont légitimes ce serait un bel effort de chercher vraiment à les comprendre et à avoir du respect pour eux sans tomber sur des arguments spécieux pour tenter de donner la force de la rationalité à ses désirs personnels.
Un rien d’empathie semble devenir une denrée rare de nos jours ou pour beaucoup ses désirs personnels doivent être satisfaits quoi qu’il en coûte.
@debione
"Ou alors, qu'Apple ne vendent plus de device, mais les louent. "
En fait c’est exactement la réalité. Apple vous a vendu un appareil mais vous loue le système d’exploitation et leur apps, c’est dans le contrat de licence, avec toutes les restrictions qui y sont attaché.
Rien de vous empêche d’installer votre propre software (système d’exploitation, apps, drivers, …) et de faire tout ce que vous voulez avec votre appareil.
@FloMo
Et il y aura bien des applications qui quitteront l’AppStore et il faudra céder au side loading si on veut toujours utiliser cette application. Option 100% AppStore ou pas
@frankm
+1
Ou alors faire jouer la concurrence et switcher sur une app concurrente qui elle reste dispo sur l'AppStore.
C'est parce que la politique de Google c'est :
- si ça passe par chez nous on vérifie code, et signatures
- si c'est par sideloading démerdez-vous. On vérifiera juste de temps en temps qu'il n'y a pas de vers dans le fruit.
On pourrait très bien envisager :
- rajouter une nouvelle boutique (et donc les autorités de certifications qui vont avec).
- rajouter les applications qui sont signées par la boutique validée, et donc avec des contraintes plus hautes ou faibles qu'Apple.
- que le sideloading soit autorisé, ou interdit.
C'est un problème économique et politique et absolument pas technique.
“le projet de loi demande à ce que l'installation d'applications tierces soit possible, elle n'exige pas qu'Apple rende la démarche aisée. “
Ça peut aller jusqu’à quel extrême “ne pas rendre la démarche aisée” ?
Un procédure de 15 minutes minimum pour un utilisateur expérimenté avec moult messages d’alerte, de reboot, de conformations… ça passe? 🤔
@ YetOneOtherGit:
Dans le cadre des lois! ;) Cela est déjà régit par la loi, un juste milieu. :)
@debione
"Dans le cadre des lois! ;) Cela est déjà régit par la loi, un juste milieu. :)"
De quelle loi parles-tu ? 🤔
Ce sera justement une deuxième couche intéressante si on évolue vers une obligation d’ouverture : comment jouer avec l’obligation.
Et cela ouvrira encore bien des procédures 😋
Il suffira juste d'un jeu populaire ou d'une offre alléchante pour que tout le monde désactive les sécurités pour installer n'importe quoi.
Et c'est exactement ce qu'il se passe sur le Mac, pour installer quelque chose il faut forcément bypasser les systèmes de sécurité et du coup il y a les problèmes de malwares qu'on connaît.
En bref dans tout les cas on n'ouvre une nouvelle porte, et elle va pas être très bien défendu...
"...les problèmes de malwares qu'on connaît."
C'est qui "on" ???
Moi, en 40 ans, les seuls malwares que j'aie vus sur mes Macs, ce sont ceux que j'ai téléchargés volontairement depuis le Mac AppStore (qui y figurent toujours d'ailleurs)
@r e m y
C'est vrai qu'on entend pas du tout parler régulièrement des malwares sur Mac , tu suis un peu l'actualité ou pas?
Je ne sais pas quels sont les sites d'actualité que tu suis, mais je serais curieux que tu me trouves quelques-uns de ces articles sur des malwares Mac, avec la proportion de Mac infectés... 🤦♂️
Le dernier malware réellement dangereux qui ait été identifié sur Mac c'est Silver Sparrow il y a plus d'un an! (Et dans le cas de ce malware, on est au niveau d'un Pegasus sur iPhone en terme de complexité)
@r e m y :
« [...] je serais curieux que tu me trouves quelques-uns de ces articles sur des malwares Mac, avec la proportion de Mac infectés... 🤦♂️ »
Dans le même ordre d'idée, j'ai demandé de nombreuses fois la proportion d'utilisateurs Android qui avait été infectés avoir avoir téléchargé une version vérolée de Fortnite, lorsque celui-ci a été retiré du Play Store de Google, puisque c'est, à chaque fois, L'exemple (avec un L majuscule, s'il vous plaît) qu'on nous sort.
Étonnamment, aucune personne qui utilise cet argument n'a jamais été capable de me donner le moindre chiffre. À chaque fois, c'est : "tiens, regarde cet article qui dit clai-re-ment qu'il y a eu des versions vérolées qui ont circulé sur le Web, si ça ce n'est pas une preuve é-cla-tan-te !". À se demander si certains utilisateurs Apple n'auraient pas, eux aussi, une "vision malhonnête et simpliste"... :-D
Le soucis c’est qu’à partir du moment où un gros éditeur (epic par exemple) exigera de désactiver la sécurité pour pouvoir installer une app populaire, ça sera ouvert aux quatre vents sans réfléchir par masse d’utilisateurs.
@heu
les éditeurs sont pour la boutique apple (pour la visibilité) mais avec moyen de paiement alternatifs sans commission d’apple
ça s’appelle avoir le beurre et l’argent du beurre
les éditeurs sont pour la boutique apple (pour la visibilité) mais avec moyen de paiement alternatifs sans commission d’apple
ça s’appelle avoir le beurre et l’argent du beurre
Sauf que si Apple autorise le sideloading alors clairement elle peut imposer son système de paiement (avec la taxe qu'elle veut).
@heu
La sécurité autorisant le sideloading n'a aucune raison d'etre activable a vie. Elle peut parfaitement être a désactiver a chaque fois, n'autorisant une fenêtre d'installation d'app en sideloading qu'à une seule app. La sécurité se remettant automatiquement en place en suite.
C'est le cas sur Android, par exemple. C'est pas la porte est ouverte une fois et elle reste grande ouverte ensuite, hein. La porte se referme automatiquement, la nuance c'est que c'est le propriétaire du terminal qui a la clé, pas le constructeur de l'appareil,.
@byte_order
Ah bon ? C’est nouveau ? Car personnellement, quand je l’ai activé une fois, c’était toujours activé 😉
Ce spécialiste dit quelque chose de pas faux, mais c'est seulement une partie de l'équation car il se base sur la rationalité des gens,... Dans la vraie vie:
-"Je peux économiser 1 euro et télécharger gratuitement toutes les apps"
- "regarde il y a un tuto sur internet: voilà paramètres->cocher autorisé les applications tierces -> appuyer sur ok, j'accepte, scroller sans lire les avertissements voilà :)"
- "télécharger sur mon warezd'amour"
vous connaissez la suite...
@Glop0606
Très bien résumé oui.
Cet expert en sécurité vit sur un nuage de naïveté.
@Oracle
Je ne vois pas en quoi il vit sur un nuage de naïveté. à partir du moment où tu sais ce que tu fais il n'y a aucun risque.
Pour le coup tout ce qu'il dit est vrai, Apple ne veut juste pas proposer à ses utilisateurs une façon alternative de télécharger des apps à la manière d'un Mac et masque ça à coups de mensonges.
L'iPhone étant le device le plus vendu chez Apple, ils ont tout intérêt à garder l'App Store comme seul point d'entrée pour le téléchargement d'apps.
Je pensais que rebondir sur le message de Glop0606 suffisait à clarifier ce que j'en pense avant d'embrayer sur la naïveté, mais je peux paraphraser :
- Ce qu'il dit n'est pas faux
- Mais ce n'est qu'une partie de l'équation
- Car c'est oublier que la plus grosse faille est entre l'écran et la chaise
Les gardes fou d'Apple protègent tous ses utilisateurs, pas seulement les plus geeks / sensibilisés / dégourdis / élus suprêmes.
Le sideloading est la boite de Pandore qui est celle, documentée, des autres plateformes. Federighi avait décidé de comparer iOS et MacOS dans une tentative bien hasardeuse, il aurait mieux fait de pousser son étude pour comparer avec la concurrence.
@Oracle
> il aurait mieux fait de pousser son étude pour comparer avec la concurrence
Et c'est assez intéressant de constater qu'il ne l'a pas fait. Pourtant, si l'évidence et l'ampleur de la catastrophe sur Android du sideloading est si palpable, y'a aucun problème pour produire des faits etablis.
@aelzhu
“Je ne vois pas en quoi il vit sur un nuage de naïveté. à partir du moment où tu sais ce que tu fais il n'y a aucun risque.”
Il releve la naïveté (un semblant faux cul l’expert, qui prend partie, certes) entre la theorie et la pratique. Les milliards d’utilisateurs que compte Apple ne sont pas tous aussi degourdis et aware que la plupart des utilisateurs macgé. Pour la majorite, quand ils vont avoir un lien pour telecharger candy crush et qu’ils feront pas la difference entre l’app store officiel et un app store aux memes couleurs, feront immediatement sauter le message preventif et feront de leur iDevice une machine a coudre. Elle est la la verite.
Entièrement d'accord, faut juste faire marcher sa caboche et ne pas télécharger n'importe quoi n'importe où :)
@aelzhu
et deja ca c’est trop pour une majorité (oui une majorité) d’utilisateurs.
@Glop0606
Bah c’est leur problème. Et c’est très loin d’être dramatique sur android alors que c’est très simple
mais c'est seulement une partie de l'équation car il se base sur la rationalité des gens
Non comme il l'a dit la naïveté des uns n'aura aucune conséquence sur ceux qui ne feront pas n'importe quoi.
“L'entreprise peut toujours boucher les failles techniques utilisées par les apps ne provenant pas des canaux officiels. “
Pour un expert en securite, balancer un truc pareil ca fait bizarre. Mais c’est la culture americaine malheureusement, zero prevention, mais roulez jeunesse, si ca casse, on repare… 🥲
@Paquito06
Les failles sont sur l'OS. C'est logique de dire que la meilleure façon de rendre sûr quelque chose c'est d'en corriger les failles, pas de mettre un garde (et, accessoirement, un péage) a l'entrée.
C'est comme si vous disiez que la sécurité d'une centrale nucléaire d'EDF repose sur le fait que c'est EDF qui fait les rondes le long du grillage, pas sur la vérification, la maintenance et la correction des défaillances...
.
@byte_order
“Les failles sont sur l'OS. C'est logique de dire que la meilleure façon de rendre sûr quelque chose c'est d'en corriger les failles, pas de mettre un garde (et, accessoirement, un péage) a l'entrée.
C'est comme si vous disiez que la sécurité d'une centrale nucléaire d'EDF repose sur le fait que c'est EDF qui fait les rondes le long du grillage, pas sur la vérification, la maintenance et la correction des défaillances...
.”
Est ce qu’on peut parier que si apple autorise le sideloading, il n’y aura aucun probleme lié a la securite reporté, que ca vienne de l’OS ou de l’app installee?
Très content de ce que dit ce monsieur.
C'est mon matériel, j'ai le droit d'installer ce que je veux dessus.
Si Apple veut censurer les apps parce que le contenu de l'application n'est pas conforme à leurs mœurs, j'aimerais pouvoir le faire sur un autre store, ou télécharger un .dmg par exemple.
Si je suis dans une dictature, j'aimerais pouvoir installer des applications permettant de me protéger d'un gouvernement tyrannique.
@Dylem
“Très content de ce que dit ce monsieur.
C'est mon matériel, j'ai le droit d'installer ce que je veux dessus.”
Ce discours n’est (helas, certes) pas recevable. On ne peut pas tjrs jouïr pleinement de ce qu’on achete (parce qu’on accepte des conditions generales apple, parce qu’il y a des lois, etc.).
“Si Apple veut censurer les apps parce que le contenu de l'application n'est pas conforme à leurs mœurs, j'aimerais pouvoir le faire sur un autre store, ou télécharger un .dmg par exemple.”
La censure serait que tu n’aies pas la choix d’acceder a un autre store (hors tu peux, il existe google play, il te faut seulement le materiel adequat). Ce n’est pas de la censure si un store ne propose pas qq chose que tu peux trouver ailleurs.
“Si je suis dans une dictature, j'aimerais pouvoir installer des applications permettant de me protéger d'un gouvernement tyrannique. “
C’est dans la Constitution, il faut prendre les armes pour s’emanciper du tyran, mais ca depasse un peu Apple là 😅
Wahou, vous vivez dans un monde différent du miens les gars.
Vous vous rendez compte de ce que vous dîtes?
Apple n'a pas le droit de m'interdire d'installer des applications hors du store, et tout le monde va dans mon sens, sauf les Apple Addict qui défendent Apple comme s'ils étaient payés.
Incroyable.
@Dylem
“Wahou, vous vivez dans un monde différent du miens les gars.
Vous vous rendez compte de ce que vous dîtes?
Apple n'a pas le droit de m'interdire d'installer des applications hors du store, et tout le monde va dans mon sens, sauf les Apple Addict qui défendent Apple comme s'ils étaient payés.
Incroyable. “
Si Apple peut t’en empecher. Ca fait 15 ans que ca dure, et c’est encore le cas, la preuve.
J'étais sur Android jusqu'en 2021, jamais eu aucun virus.
N'empêche, tu as aucun argument, c'est magique.
A part " si faut aller sur android lol " au secours le niveau de réflexion des fans d'Apple, c'est hors-sol, un vrai syndrome de Stockholm.
@Dylem
“J'étais sur Android jusqu'en 2021, jamais eu aucun virus.”
Mais tu peux etre un utilisateur qui fait attention, etc. Ce n’est pas parce que tu n’en as pas qu’ils n’existent pas. C’est pas ca qui manque sous android, on va pas se la raconter.
“N'empêche, tu as aucun argument, c'est magique.”
De quoi tu parles? Je cherche pas a argumenter, je me moque du sideloading, qu’il existe ou pas, ca change rien pour moi. Je constate, nuance, on vit bien sans depuis 15 ans, est ce qu’on vivrait mieux avec? Pas sûr. Mais je veux bien te lire a ce sujet, aucun souci. J’ai lu l’article, et le mec qui te sort “on a qu’a autoriser le sideloading et s’il y a des failles, suffit de colmater”. Il fait rever, ca c’est magique en revanche venant d’un expert en securite.
“A part " si faut aller sur android lol " au secours le niveau de réflexion des fans d'Apple, c'est hors-sol, un vrai syndrome de Stockholm.”
Ok. Comment tu fais quand tu trouves pas ce que tu veux en rayon? Bah tu vas ailleurs, tu te la colles et fais l’avion avec.
Qu’est ce que tu as sur android que tu n’as pas sur ios qui justifierait le sideloading? Pour le moment, on sait tjrs pas.
@Paquito06 Cherche pas à argumenter avec lui, il te dira qu’il a raison et que tu as tort. Tu perds ton temps avec lui…
@osxkiller92 Toi, t'es le pire, donc franchement, juste chut. mdr
Regarde ton premier commentaire que tu m'as fait, j'ai l'habitude de la joute verbale, et toi t'as le niveau d'un complotiste de Twitter qui cite du Idriss Aberkane.
@Dylem Voilà c’est ce que j’attendais, on a touché le fond, tu n’as plus d’arguments donc maintenant je devrai me taire. LOL c’est qu’il se prendrait presque pour mon daron ce jeune écervelé.
Allez va prendre ton Xanax et au dodo, t’as l’air fatigué (et t’es fatiguant).
Bisous, je vais arrêter de perdre mon temps avec toi 🤣😘
@osxkiller92 A ta place, j'arrêterais de mettre des " LOOOL", des "MDR" et des "🤣😘" partout, ça te rendra peut-être moins ridicule et + crédible. Tu ne m'as pas donné le moindre début d'argument, tu es pathétique.
@osxkiller92
“Cherche pas à argumenter avec lui, il te dira qu’il a raison et que tu as tort. Tu perds ton temps avec lui…”
Je cherche surtout a comprendre pourquoi il veut du sideloading sur iOS. Bon, peut etre pas tant car il a switché d’android a iOS 🤷🏼♂️
@Paquito06
Donc, vous en êtes à vous demander pourquoi une personne souhaite installer n'importe quel programme sur sa machine qu'il a acheté?
D'accord, c'est lunaire, mais pourquoi pas.
@Dylem
“Donc, vous en êtes à vous demander pourquoi une personne souhaite installer n'importe quel programme sur sa machine qu'il a acheté?
D'accord, c'est lunaire, mais pourquoi pas. “
Non, je me demande qu’est ce qui existe en dehors de l’app store qu’on pourrait installer grace au sideloading? (Avec bien evidemment une analyse risque/benefice pour les 2 milliards d’utilisateurs).
En d’autres termes, qui est en galere aujourd’hui et ne peut pas installer une app car elle n’est pas presente sur l’app store?
@Paquito06
Certaines entreprises souhaiteraient peut être d’abroger de Apple et e pas présenter ces applications sur le store de Apple peut être. Le fait de créer ma propre application personnel sans devoir la partager à Apple, ce que j’ai pu faire sur android pour ma part. Faut arrêter de croire que la demande d’existe pas c’est totalement faux. Je donnerais pas le nom de mon entreprise mais sous android ils proposent une version hors store alors que sur iOS pas d’autres choix donc il est fort possible qu’Ils proposent également une version ios hors store si cela était possible, je tiens à préciser que mon entreprise a aussi des applications dans le store android.
@Insomnia
“Certaines entreprises souhaiteraient peut être d’abroger de Apple et e pas présenter ces applications sur le store de Apple peut être. Le fait de créer ma propre application personnel sans devoir la partager à Apple, ce que j’ai pu faire sur android pour ma part. Faut arrêter de croire que la demande d’existe pas c’est totalement faux. Je donnerais pas le nom de mon entreprise mais sous android ils proposent une version hors store alors que sur iOS pas d’autres choix donc il est fort possible qu’Ils proposent également une version ios hors store si cela était possible, je tiens à préciser que mon entreprise a aussi des applications dans le store android.”
En voici une raison plus serieuse que l’utilisation qu’en ferait Ross Ulbricht!
Pourquoi ton entreprise ne souhaite pas rendre une app dispo sur le store d’apple?
@Paquito06
Sûrement parce que l’application me permet d’accéder à mes données de congé etc…sans lien avec les données de mon boulot
Pages