Sécurité Mountain Lion : accès aux contacts et pédagogie

Nicolas Furno |
Dans OS X Mountain Lion, les applications qui veulent accéder à votre carnet d'adresses doivent demander votre autorisation. Cette mesure imaginée pour renforcer la sécurité de vos données et inspirée par ce qui se fait dans iOS a surtout contribué à développer une certaine paranoïa. Le message par défaut est très flou, on sait juste qu'une application veut accéder aux contacts, mais on ne sait pas à quels contacts, ni pour quelle raison.



On l'a vu récemment avec le cas d'OmniGraffle (79,99 €), cette alerte suscite beaucoup de questions (lire : OmniGraffle et l'explication de son intérêt pour Contacts). Alors que les applications n'accèdent souvent qu'à une seule fiche — la vôtre — et encore, souvent uniquement à votre adresse mail, ce message évoque certains cas malheureux, comme celui de Path (Gratuit) sur iOS qui avait provoqué la polémique (lire : Path télécharge votre carnet d'adresses sur ses serveurs).

Daniel Jalkut, le développeur de MarsEdit (31,99 €) explique sur son blog comment les développeurs peuvent faire preuve de pédagogie et ajouter une explication à la boîte de dialogue standard. C'est au développeur toutefois de faire la démarche et d'expliquer pourquoi l'accès aux contacts est nécessaire.



Ajoutons qu'Apple utilise elle aussi cette méthode. Dans Pages (15,99 €) par exemple, la fonction de publipostage et de fusion utilise votre carnet d'adresses pour vous permettre de remplir plus rapidement votre document. Apple a pris soin d'expliquer dans la boîte de dialogue les raisons de la demande, mais aussi de rappeler la méthode pour révoquer l'autorisation.



OS X Mountain Lion rassemble en effet toutes les autorisations d'accès dans les Préférences Système, panneau "Sécurité et confidentialité" et onglet "Confidentialité". Si vous ne voulez plus autoriser une application, décochez-la simplement dans la liste et elle ne pourra plus accéder aux contacts.

avatar bugman | 

@ ckjbeos, hadrien.eu, Johnny B. Good : Ok, je comprend... notre incompréhension.

[u]Ce n'est pas de savoir "qui" et le fait de demander une autorisation qui me pose problème[/u] (bien au contraire), mais le fait qu'on lui permet [u]via un message système[/u] d'expliquer pourquoi. Je pars sur le principe que ce genre de message système m'est donné par le système [u]et uniquement lui[/u] (ici pour une question de sécurité). Je lui fais confiance (au système), sauf que là, le développeur peut y ajouter son baratin (ce qu'il veut) et induire l'utilisateur dans une fenêtre venant du système (et non de l'application).
Have you understood ?

avatar Mme Michu | 

@bugman " le développeur peut y ajouter son baratin"
Ce que tu appelles un baratin est en faite un contrat engageant l'éditeur face à la loi.
Ce texte est indispensable à l'utilisateur pour lui permettre de faire "esprit critique"
Si le texte est limpide, l'usager comprendra ce qu'on lui propose
Il n'y a de liberté que dans les choix éclairés.

avatar marc_os | 

[b]bugman[/b], vous préférez donc l'alerte brute sans aucun commentaire sur le comment du pourquoi de l'accès d'une application au contacts ?

avatar bugman | 

@Mme Michu :
Ca fera une belle patte à tes columbiformes.
"bein quoi Apple, ton OS y m'a dit que j'allais envoyer un bisou à Mme Michu !" :/

avatar bugman | 

@ marc_os : (je me permet le tutoiement)

Le seul problème que je vois c'est que bien qu'Apple pense que l'utilisateur doit donner son approbation sur ce qui lui semble être des données personnelles (ce qu'elles sont), elle laisse au developpeur (à qui elle ne fait pas à première vue toute confiance) la possibilité d'éditer un message sur une fenêtre venant de l'OS. Ceci pourrait inciter l'utilisateur à faire confiance à ce message.

Une solution : Empêcher l'éditeur de fournir ce message personnel. L'OS fait son boulot et laisse l'utilisateur voir avec l'editeur si son intrusion est effectivement pertinente. Sauf que là ce n'est plus OSX qui s'adresse à moi mais l'éditeur directement.

[15:57] : Oui c'est cela. Le message personnel n'apporte rien. Je trouve cela même dangereux. Tu noteras au passage que rien n'indique dans la fenêtre qui s'adresse à toi (L'OS ? Le dev ?)

avatar en ballade | 

Ça ressemble à du windows ces messages d alerte

avatar Mme Michu | 

@bugman
"bein quoi Apple, ton OS y m'a dit que j'allais envoyer un bisou à Mme Michu !"
Les imbéciles (dont tu fais parti?) vont peut-être valider un message idiot...
(moi et mes amies en tout cas elles refuseraient)

S'il n'y a pas de médicaments contre la bêtise par contre
il ne peut y avoir de choix intelligent qui ne soit un choix informé.
Donc oui un message expliquant (justifiant) l'accès aux données personnelles
est indispensable pour donner la liberté de choix aux personnes "intelligentes"

avatar iGates | 

ML me pose aussi de problèmes avec un script qui copie des événements de mon agenda Google visible dans Calendar (ancien iCal). Ce script ne marche plus lorsque il s'agit d'un agenda Google. Dans le moniteur d'activité Calendar se met à consommer plus de 100% de la mémoire et puis il ne répond plus jusqu'à ce que j'arrête le script. Si j'exécute le même script avec un calendrier local il ne pose pas de problème. C'est peut être lié à la "sécurité"?

avatar bugman | 

@Mme Michu : Oh là pas de méprise ! C'etait en reference à ton message :
[quote]Tu remplaces "GrosVirus" par Facebook ou Google et je vois des milliers de pigeons cliquer sur "accepter"[/quote]
A prendre au second degré (avec un certain humour), aucunement envie de t'embrasser ou je ne sais quoi d'autre. (...enfin, je ne veux pas dire pour autant que ça me répugnerait non plus hein... je ne veux en aucun cas te froisser)... en plus il y avait des guillemets !
Pour info (au cas où), je ne suis pas non plus zoophile (référence aux pigeons).

"moi et mes amies en tout cas elles refuseraient"
C'est pas très gentil par contre. Ça me donne comme l'impression d'avoir une sale maladie bien degeu.
:(

Je crois que je vais définitivement arrêter tout commentaire sur MagG. Ca devient compliquer de dire un truc ici, sans penser qu'on va encore choquer quelqu'un. :/

Je suis sincèrement désolé pour la méprise Mme Michu.

avatar Mme Michu | 

@ bugman "Je crois que je vais définitivement arrêter tout commentaire sur MagG"
Nonnn :
Oui c'est compliquer de nous comprendre les uns les autres sur Internet
Mais non, ne t'en va pas, car malgré les difficultés, cela vaut la peine.
Pardon bugman d'avoir jouée les vierges effarouchées ;-)
non tu ne m'as pas blessé.
Tout ceci dit et avec le respect que tu mérites
j'avoue n'avoir toujours pas compris ce que tu reprochais à cette boite de dialogue :
Ce n'est pas la panacée certes, mais un sacrée progrès par rapport aux messages absconses
de l'informatique de grand-papa, ou du silence pudique auquel nous étions habituées

Alors promis Achille (bugman) tu ne retournes pas sous ta tente ;-)

avatar CKJBeOS | 

@bugman oui pour autant (vu que je suis dev) je vois pas le problème ;) pour expliquer un peu. Après de toute façon si on veut nuire on y arrivera !
donc je comprends votre remarque mais je ne suis pas forcement du même avis ;) Désolé

avatar bugman | 

@ Mme Michu :
Pour l'explication je peux difficilement faire mieux, désolé (j'ai même souligné certains passages).
Pour le reste, rien de bien grave me concernant.

avatar hadrien.eu | 

Laisse tomber bugman… t'es trop borné…

avatar bugman | 

@ hadrien.eu : Oui, oui, on va faire comme ça. (faudrait aussi arrêter de d'adresser à moi du coup, parce que la politesse m'oblige à répondre).
@ CKJBeOS :Pas de mal.

avatar hadrien.eu | 

Si tu veux pas qu'on te réponde, ne t'exprime pas en public et garde tes monologues pour ton blog. C'est ton pote Mabeille ou vous partagez le même cerveau malade ?

avatar bugman | 

@hadrien.eu : "du coup" puisque tu veux que je laisse tomber (que j'arrête ce qui te semble être des monologues, bref que je la ferme). Et vu qu'il n'y a rien de vraiment constructif dans ton dernier message [17:14] de toutes façons, il faudrait dans ton cas songer sérieusement à me lâcher définitivement la grappe.
Comme tu veux que je laisse tombé le clavier, arrête de m'interpeler ! (à la base cela m'allait déjà très bien)

Le cerveau malade il appartient certainement à celui qui m'agresse alors que je suis rester, ici, plus que courtois en son encontre.

Mabeille, n'est pas là (pas de commentaire de sa part ici), adresse toi directement à lui (ou elle) pour connaitre son état mental. Je n'ai rien à voir avec cette personne.

C'est bon, on a fini ?

avatar lyon3 | 

@Bugman
Je vais faire preuve de pédagogie :
"GrosVirus" ne sera pas disponible sur le MAS si Apple fait bien son boulot donc pas de risque pour Mme Michu.
"GentilProgramme" lui sera plus transparent envers l'utilisateur en lui disant pourquoi il accède aux contacts. Après le problème que tu soulève peut se résoudre facilement. La vraie question c'est : est-ce que j'ai confiance dans l'éditeur (genre depuis son rachat par Google je suis pas sur d'autoriser Sparow à accéder à mon contacts quelque soit le message qui doit écrit.

avatar bugman | 

@Lyon3 : Salut.

Moi aussi je vais faire preuve d'un peu de pédagogie (en plus c'est drôle, c'est dans le titre) :
http://oi48.tinypic.com/1h8lzm.jpg

Personne ne voit le problème de sécurité qu'offre cette fonction ?
Doit on encore faire toutes confiances aux messages que nous adresse notre OS ?
A part nous qui trainons ici, une personne ne pourrait pas être piégé par ce genre de message (rien n'indique que ce n'est pas une fenêtre système entièrement écrite par Apple, pour rappel) ?
Suis je complètement parano, débile ou fou ? (voir les trois)

Edit : Alors oui, oui, oui et oui (parce que je le vois arriver gros comme une maison) : "Oui mais même sans ce message, l'application pourrait se servir d'un autre moyen pour essayer de t'inciter à faire la manipulation"
Réponse : Le message vient directement du système (de l'OS), de l'utilisateur "sys", du Mac.
Ok avec ça ? Pas Ok ? On peut en discuter sans s'en prendre plein la tête ?

avatar hadrien.eu | 

Et tu crois que ça sert à quoi la révocation des certificat gatekeeper ??

avatar bugman | 

@hadrien.eu : Je peux me permettre une réponse ? (ça a l'air d'aller mieux)
Tu as regardé le montage ? Dans l'exemple gatekeeper serait mis hors fonction avant la révocation et le programme envoyé par mail ne serait pas signé.
Mais si ce n'est pas possible tant mieux. (ne me laisse pas sur ma faim, ce serait cool).

Mais la question n'est même pas vraiment là. Le truc c'est qu'une personne passant un message dans une fenêtre d'[u]avertissement système[/u] peut te demander de faire ce qu'il veut sur ta machine (couper gatekeeper, faire un petit sudo sympa...). Je parle pour les utilisateurs sans grande notion informatique.

Je ne pige pas pourquoi je suis le seul que cela fait tiquer.

avatar hadrien.eu | 

Bouducon… mais si l'app n'a pas de certificat valide, elle ne se lance pas et n'affiche pas le message ! Tu le fais exprès, rassure moi -_-

avatar hadrien.eu | 

Et si je t'envoie le virus belge par mail, tu vas formater ton DD ? On peut prendre les gens pour des cons, mais pas plus qu'ils ne le sont !

avatar bugman | 

@hadrien.eu : Non, juste que tu ne comprends pas mon message (c'est peut être de ma faute).

- Tu as gatekeeper avec la règle de sécurité pour les applications signées. (pourquoi pas)
- Tu telecharges et lance une application "machin". (pas de problème, elle se lance, elle est signé)
- Cette application te balance cela : http://oi48.tinypic.com/1h8lzm.jpg
- Tu fais confiance à la fenêtre de ton OS en pensant que ceci est bien un message 100% Apple. (Ok ?)
- Tu coupes gatekeeper (Ton application lancé devrait continuer à tourner, non ?)
- Tu continus la procedure en cliquant sur "OK" dans la fenêtre.
- Ton application recupere ton mail et l'envoi sur un serveur.
- Un mail est envoyé (l'expéditeur est Apple, mais ne l'est pas vraiment)
- Dans le courrier une pièce jointe et une notice te demandant de lancer l'application (la pièce jointe). gatekeeper est toujours à ce moment là coupé.
- Patatra ! Une application non signée qui fait ce qu'elle veut avec ses cheveux !
(elle est où la tracibilité ? il est où le contrat entre le dev et l'utilisateur ?... dans l'pigeon !)

C'est mieux ?

Sinon, encore une fois (parce que je me doute bien que j'ai pu me tromper quelque part, je ne fais pas dans le programme malveillant), ce n'est pas ce qui me semble le plus important la dedans.

Je me permet de le remettre :

Le truc c'est qu'une personne passant un message dans une fenêtre d'avertissement système peut te demander de faire ce qu'il veut sur ta machine (couper gatekeeper, faire un petit sudo sympa...). Je parle pour les utilisateurs sans grande notion informatique.

"On peut prendre les gens pour des cons, mais pas plus qu'ils ne le sont !"
Pfffiou ! Rien qu'hier j'en ai appris de bien belles sur les utilisateurs. T'as pas idée.

Faut pas grand chose pour que j'accepte ce que l'on nous présente ici, hein... je ne sais pas moi un petit "message de l'application machin :", une bulle, n'importe (qui fait une différence entre le message de l'OS et le message du dev) mais pas en brut de décoffrage, comme ici.

Le concept est bon, l'implémentation bof.
Et bein, 4 pages ! ^^'

avatar Mme Michu | 

@bugman ...
Je viens de comprendre le problème que tu soulèves. J'aurais préféré ne pas perdre de temps et l'avoir compris dès ton premier message. Avec toi je suis d'accord (si je t'ai bien compris cette fois-ci) les messages provenant de l'OS Apple doivent être clairement différenciés des messages en provenance de l'application. Ce n'est donc pas la pertinence des messages que tu mettais en question mais l'ambiguité de l'origine des messages.

avatar bugman | 

@Mme Michu : C'est bien ça.
Et depuis mon premier message :
"Laisser le devellopeur éditer un message personnel dans une fenêtre système ne me semble pas une idée pertinente."

Pages

CONNEXION UTILISATEUR