Fermer le menu   
header

Gatekeeper : des satisfecit teintés de prudence

par Florian Innocente le 18 février 2012 à 06:31

Plusieurs développeurs ou spécialistes reconnus en sécurité ont réagi à l'annonce de Gatekeeper dans Mountain Lion. Ce système qui permettra de réduire les risques de nuisance et de propagation des malware dans OS X (lire aussi Gatekeeper : le garde-chiourme de Mountain Lion). L'accueil est généralement favorable chez ces professionnels interrogés par CNET, Macworld US ou à la lecture du blog de Panic Software. Panic justement qui avait été secrètement convié par Apple il y a une semaine à venir découvrir cette nouvelle fonctionnalité.

L'appréciation générale est qu'Apple va dans la bonne direction et qu'elle a choisi une solution équilibrée. Elle prend aussi à bras le corps le problème des malwares en s'appuyant sur son expérience avec iOS «Ils font preuve d'anticipation en observant que les logiciels malveillants pourraient être un problème pour Mac OS X» explique Charlie Miller, chercheur en sécurité reconnu dans son domaine «C'est vraiment la seule solution à long terme vis-à-vis des logiciels malveillants. Ils ont vu, avec iOS, que l'approche par le verrouillage fonctionne, et pour la plupart des gens ça ne pose pas de problème. J'ai le sentiment qu'ils essaient maintenant de faire évoluer OS X vers le modèle de sécurité d'iOS et c'est à mon avis intelligent de leur part».

Sur le fait de devoir signer son application, certains développeurs interrogés expliquent qu'ils le faisaient déjà, cela ne changera donc pas grand-chose. Si ce n'est que là c'est Apple qui fait office d'autorité et qu'elle pourra décider du sort d'un éditeur.

Il faut toutefois rappeler que Gatekeeper n'est pas une solution miracle pour éviter tout malware. OS X ne vérifiera que les applications obtenues via Internet. Pas celles récupérées depuis un volume externe. De même, à partir du moment où l'application a été lancée une première fois, si après coup elle vient à être identifiée et déclarée comme étant un malware (OS X vérifiera quotidiennement auprès des serveurs d'Apple une liste noire des certificats révoqués), son exécution ne sera pas bloquée pour autant. Mais elle pourrait être supprimée à l'occasion d'une mise à jour système.

Il est également possible de lancer une application non signée de manière ponctuelle sans changer de mode, par le biais d'un clic droit dans le Finder. Détail, lors du lancement pour la première fois d'une application au certificat révoqué, le bouton par défaut dans la boîte de dialogue proposera de mettre le logiciel à la corbeille…

L'inquiétude - prudente car il ne s'agit que d'hypothèses - qui revient le plus souvent dans les témoignages est qu'Apple pourrait restreindre à terme le cadre des applications pouvant être lancées. Dans Mountain Lion on a trois options pour autoriser l'ouverture d'un logiciel : uniquement les logiciels du Mac App Store ; les logiciels du MAS ou ceux obtenus hors du MAS mais signés et enfin, n'importe quel logiciel. Par défaut la seconde option sera cochée.

Mais Apple pourrait un jour n'autoriser que les applications du Mac App Store. On n'en est pas encore là toutefois, et Panic raconte que durant la présentation de Gatekeeper, Apple a pris soin de souligner l'importance à ses yeux de la communauté des développeurs, ceux présents sur le MAS, comme les autres. Le fait qu'elle propose plusieurs scénarios de lancement des applications et des méthodes d'y déroger dénote d'ailleurs une réelle flexibilité.

Toutefois, des décisions sans fondements techniques particuliers laissent aussi à penser que la route du Mac App Store est tout de même amicalement montrée aux développeurs. Le fait par exemple que la compatibilité avec le Centre de notifications et la synchronisation des documents avec iCloud ne sera possible que pour des logiciels distribués via le MAS. Apple, lors de cette réunion avec Panic, n'a pas souhaité dire s'il en irait autrement une fois l'OS finalisé.

Enfin, Apple pourrait aussi changer l'option par défaut et retenir la première option, celle qui n'autorise que le lancement d'applications du MAS. Rien n'empêcherait l'utilisateur de modifier ce réglage pour un autre plus souple, mais d'aucuns, chez les débutants par exemple, hésitent justement à toucher les réglages systèmes…

Pour l'heure c'est donc plutôt un satisfecit teinté d'un peu de prudence qui se dessine, l'avenir dira comment évolueront les choses. D'autant que plusieurs questions restent encore sans réponses. Sur des points techniques ou sur la question de savoir si Apple élargira la menace d'une révocation des certificats à des logiciels n'entrant pas dans la catégorie des malwares, mais dont le contenu (litigieux) ou la nature (hack systèmes) l'indisposerait.

L'un de ces développeurs en tout cas se prenait à rêver que le modèle de sécurité retenu pour OS X fasse école sur iOS, c'est-à-dire qu'Apple donne le choix entre installer des apps validées par ses soins et donner le champ libre pour installer aussi les autres, avec ce même procédé de signature n'obligeant pas à une validation et distribution sur l'App Store.

Catégorie : 

Commentaire(s)

avatar Mathias10 18/02/2012 - 07:59

@macge
J'ai lu sur Korben que justement, la deuxième option était cochée par defaut, ce qui comme la souligné korben possera beaucoup de problèmes pour les logiciels non signés dont les mamies (et nuls en info) verront l'installation leur être refusée.

avatar havox79 18/02/2012 - 09:02

T'inquiète pas je ne pense pas que mamie installera des apps non signé va !

avatar SolMJ 18/02/2012 - 09:15

Je vois déjà la collectif des mamies libertaires manifester dans les rues pour le droit d'installer des applis non-signés sur leur Mac... Restons sérieux.

J'ai lu l'article de Korben, c'est un beau troll velu là...

avatar Anonyme (non vérifié) 18/02/2012 - 09:18

Perso, c'est plutôt une bonne chose et meme une très bonne. Le seul problème c'est que Apple n'en profite pas pour du même coup limiter ce que l'on pourra installer.

avatar toucan39 18/02/2012 - 09:21

Pourquoi toujours prêter à Apple de noirs dessins.

avatar domd 18/02/2012 - 09:21

Faudra un jailbreak de Macos spécial mamies ...

avatar Anonyme (non vérifié) 18/02/2012 - 09:21

Pour faire simple, sur iOS et son iPhone a part le store Apple on a pas trop le choix, par contre sur OSX quid des appli que l'on a soit même compilé? Des appli téléchargées soit même sur d'autres site? La est réellement le problème.

avatar SolMJ 18/02/2012 - 09:29

[quote]Pourquoi toujours prêter à Apple de noirs dessins.[/quote]

Parce que ça fait du click.

avatar LossId 18/02/2012 - 09:50

@ toucan39 : une question se termine par '?' :)

Tant qu'il y'aura des logiciels comme la suite CS5.5 (bientôt 6) qui ne passeront pas par le MAS, alors Apple ne pourra pas se limiter qu'à son magasin. Et même si cela arrive un jour, je pense que la scène underground se mettra en route. Sinon, beaucoup de switch se mettront en route...

avatar Jymini 18/02/2012 - 10:09

@RobRiv

C'est absolument faux. Il est possible d'installer une app sur iOS hors AppStore et sans jailbreaker !
Comment crois tu que font les entreprises qui distribuent une app à usage interne à leur milliers d'employés ? L'installation se fait via un simple site web et un profil d'approvisionnement. Ca revient à télécharger l'app depuis une page web.

Mais rien n'empêche de le faire soit-même pour une app que l'on ne veut pas commercialiser sur l'AppStore et distribuer de manière massive.

Exemple pour les developpeurs qui veulent distribuer une beta à + de 100 personnes, avant mise sur l'AppStore, sans se fatiguer à mettre en place eux-même la page web, il existe des services gratuits qui le font comme testflightapp.com

avatar lukasmars 18/02/2012 - 10:10

"Pourquoi toujours prêter à Apple de noirs dessins."

Parce que Apple veut appliquer sur OS X la même fermeture que sur iOS, donc n'autoriser que les applis du store.

avatar bugman 18/02/2012 - 10:12

Bon (soupir)... doucement mais surement...

avatar denmakesmusic 18/02/2012 - 10:53

Le danger à terme pour moi est celui-ci : l'impossibilité pour un développeur de créer un logiciel et de l'installer sur SA machine sans s'acquitter de l'abonnement payant annuel.

@Jymini la possibilité de distribuer une app en interne est réservée aux grandes entreprises (+500 personnes il me semble) via un abonnement spécial (et + cher).

Il reste vrai qu'un développeur ne peut pas installer SON app sur SON iphone sans payer...
C'est pour moi un verrouillage totalement arbitraire qui cadre bien avec les nombreuses décisions arbitraires d'Apple, et j'en suis à mon 5ème Mac mais rien n'est acquis d'un côté comme de l'autre.

avatar Jimmy_ 18/02/2012 - 11:00

Si le dernier paragraphe pouvait devenir réalité dans iOS 6 ça serait très bon mais ça sent plus la fermeture de feu le Mac à terme.

avatar Mathias10 18/02/2012 - 11:25

@solmj

Tu ne comprend vraiment rien...et je n'ai meme pas envie d'expliquer...bref

avatar apenspel 18/02/2012 - 11:27

Ça sent surtout la mise à l'écart des applications crackées, open source, bidouillées pour outrepasser les bridages (iBooks Author qui fonctionne bien sous 10.6.x), tout ce qui n'entre pas dans le schéma commercial que Apple cherche à imposer.
Il m'étonnerait que Flash ait droit à sa signature digitale, par exemple.

avatar Augustin Caron 18/02/2012 - 11:44

@ [b]mathias10[/b]

Sur ce coup Korben est plutôt neuneu. Les mamies sont rarement des nerds de première bourre qui souhaitent installer des applis Unix exotiques et ultrasophistiquées sur leur babasse, fût-elle pommée. Et s’il en est une, elle trouvera sans problème le bouton où cliquer et la case à cocher pour le faire.

avatar Augustin Caron 18/02/2012 - 11:48

@ [b]mathias10[/b]

Au temps pour moi. Peut-être est-ce que Korben voulait dire que l’ennui avec les mamies nulles en info c’est qu’on allait avoir du mal à pourrir leur ordi avec des virus ou chevaux de troie prévus pour voler leur numéro et leur code secret de carte bancaire et que c’était bien gênant ?

avatar Woaha 18/02/2012 - 11:52

Il faut boycotter le MAS. Il est évident qu'Apple cherche à contrôler un maximum les applications Mac en rendant le MAS de plus en plus indispensable pour les distribuer.

avatar lukasmars 18/02/2012 - 12:46

Avec le MAS obligatoire, Apple contrôle à la fois les developpers et les utilisateurs, plus une commission de 30% sur les applis payantes
Elle serait con de pas le faire , c'est tout bénef !

Le pire dans tout ça, c'est que les gens sont demandeurs puisqu’on leur promet plus de sécurité.

avatar toucan39 18/02/2012 - 12:49

Gatekeeper donne les 3 choix . Toute personne qui crée un programme peut l' installer sur sa machine et celles qu' il contrôle .
Le MAS est fait pour faciliter la vie de plus de 80% des utilisateurs et hésiter les malwares.

avatar Trollolol 18/02/2012 - 13:01

"«Ils font preuve d'anticipation en observant que les logiciels malveillants pourraient être un problème pour Mac OS X» explique Charlie Miller"

MASTER OF THE OBVIOUS... Les logiciels malveillants pourraient être un problème, c'est vrai ? Sont pas la pour améliorer et étendre les capacités de la machine ? :o

Ils anticipent rien du tout, MS à négliger cette partie et XP en a fait les frais, tout le monde le sait. Faut être con pour dire qu'ils "anticipent" alors que ça fait 10ans qu'on connait le problème et ses conséquences.

J'pensais pas Mr Miller capable de sortir un truc comme ça...

Think different, qu'ils disaient chez apple. xD

avatar SolMJ 18/02/2012 - 13:05

@mathias

"@solmj

Tu ne comprend vraiment rien...et je n'ai meme pas envie d'expliquer...bref"

Oui tu es un génie incompris... Comme c'est pratique.

avatar Orus 18/02/2012 - 13:09

Mon Macintosh il est à moi, je l'ai acheté (à vil prix). Et je ne vois pas pourquoi j'accepterai que M. Apple et ses actionnaires, décident d’effacer sur mon ordi tel ou tel logiciels qui ne leur plairait plus ! Je veux pouvoir installer ce qui me plait et quand cela me plait. Je n'ai pas besoin d'un avis paternaliste ni de conseils.
Quand je vois la naïveté de certains ici, ça fait peur; vous êtes mûrs pour big brother.

avatar SolMJ 18/02/2012 - 13:20

Si Apple supprime le logiciel c'est parce que tu le lui auras demandé via Gatekeeper... Arrêtez d'extrapoler !

Pages

Connexion utilisateur