Craig Federighi dit tout le mal qu'il pense du sideloading, « le meilleur ami des cybercriminels »

Mickaël Bazoge |

Invité du Web Summit actuellement en cours à Lisbonne, Craig Federighi a mis le paquet pour défendre le modèle de jardin fermé de l'App Store. Un modèle où Apple a la haute main sur à peu près tout, pour plusieurs bonnes raisons (selon le constructeur) : la sécurité des terminaux et des utilisateurs, la confidentialité et le respect de la vie privée.

« Aucun système n'est parfait », admet le vice-président de l'ingénierie logicielle, mais il n'a pas manqué de souligner qu'iOS était la plateforme la moins infectée par les malwares. Et cela s'explique d'après lui par l'absence de sideloading, c'est à dire le téléchargement d'apps depuis autre chose que l'App Store, contournant ainsi les protections mises en place par Apple.

Le sideloading, c'est « la porte ouverte aux malwares », martèle-t-il, en oubliant un peu vite qu'il existe des mesures de protection qui existent depuis longtemps sur Mac. Federighi avait d'ailleurs eu les oreilles qui ont sifflé durant le procès avec Epic : la juge avait en effet estimé qu'il travestissait la vérité, après sa déclaration sur le Mac en proie aux malwares.

Le Mac en proie aux malwares : Federighi « travestit la vérité » pour défendre le modèle iOS, selon la juge

Le Mac en proie aux malwares : Federighi « travestit la vérité » pour défendre le modèle iOS, selon la juge

Pour appuyer ses propos, le VP fait appel à Europol, qui recommande d'installer des apps uniquement depuis les boutiques officielles. « Le sideloading met la sécurité des appareils et la sécurité des données des utilisateurs à risque », assure-t-il.

Cette attaque à boulet rouge contre le sideloading ne tombe pas par hasard. Ce principe pourrait en effet être imposé par le Digital Market Act (DMA) européen, en cours de discussion depuis la fin de l'année dernière et contre lequel Apple bataille. Tim Cook avait eu le même discours durant VivaTech, en juin dernier.

Pour Tim Cook, forcer le sideloading comme le voudrait Bruxelles « détruirait » la sécurité de l

Pour Tim Cook, forcer le sideloading comme le voudrait Bruxelles « détruirait » la sécurité de l'iPhone

Craig Federighi a filé une métaphore inédite pour défendre le modèle de l'App Store. Il a pris en exemple une maison équipée d'un système de sécurité dernier cri pour se défendre des tentatives d'infraction des voleurs. Soudain, une nouvelle loi est votée, qui oblige les maisons à intégrer une porte spéciale pour les livraisons. Mais voilà : dès qu'une porte est ouverte, tout le monde peut s'infiltrer dans la maison.

« Le sideloading, c'est cette porte déverrouillée », accuse-t-il. La possibilité de télécharger des apps depuis internet ou une boutique tierce, ce serait « donner aux cybercriminels un moyen de s'infiltrer dans un iPhone ». Le sideloading ? C'est « le meilleur ami des cybercriminels », enfonce-t-il. Un appareil compromis peut même représenter un danger pour un réseau entier, prévient le VP.

« Des malwares dans une app sideloadée peuvent mettre en péril des infrastructures gouvernementales, affecter les réseaux d'entreprise ou les services publics ».

Federighi soulève aussi un point intéressant : pourquoi ne pas laisser les utilisateurs décider par eux-mêmes ? L'histoire nous apprend cependant que les choses ne se déroulent jamais comme on le voudrait. Les gens seraient poussés ou forcés à installer des apps depuis autre chose que l'App Store, y compris ceux qui ne veulent pas sortir de la boutique officielle.

Cela peut passer par des copies conformes de la boutique officielle bourrées d'adwares et de logiciels malveillants. Ou encore par des applications populaires qui ne sont pas disponibles dans l'App Store (Federighi prend l'exemple d'un « réseau social » qui ressemble beaucoup à Facebook). Pour le dirigeant, le choix pour l'utilisateur est clair : la plateforme iOS sécurisée et respectueuse de la vie privée, ou une autre qui peut proposer le sideloading avec tous les dangers inhérents.


avatar anton96 | 

On aurait dit un vieux discours de politicien sur les jeux vidéos des années 80.

Mais enfin quand ils s’agit de défendre ses intérêts financiers…. De quoi je m’étonne Enfait, rien.

avatar iBaby | 

@anton96

Oh pour les intérêts financiers on peut faire confiance à la commission européenne, elle veille au grain concernant la libéralisation du marché. Je suis pour qu’on fiche la paix à Apple et que les autres aillent voir ailleurs si les vergers donnent plus de fruits.😩

avatar anton96 | 

@iBaby

Non mais ailleurs, il y a qu’Android et la aussi ça commence de plus en plus à se fermer.

À une époque où les apps sont de plus en plus cloisonnées directement par le système, on devrait avoir encore moins peur pour la sécurité que quand tout était ouvert.

avatar iBaby | 

@anton96

Je ne vois pas trop la philosophie qui sous-tend le besoin d’ouverture logicielle. Il y a iOS qui est le plus sécurisé et très largement adopté par les développeurs. Il y a macOS pour les utilisateurs plus pointus, dont l’offre logicielle est plus « libre ». Si c’est pour télécharger n’importe quoi, prenez un Mac.

avatar mapiolca | 

@anton96

Les apps sont cloisonnées si elle respecte les guidelines du store d’Apple, mais si elle sont en dehors alors elle font ce qu’elles veulent, enfin je pense.

avatar Lukas Apple Fan | 

Très bien mais dans ce cas il faut ouvrir l’App Store au émulateur par exemple ou aux logiciels de torrent.

avatar cecile_aelita | 

Je n’y connais rien dans le jaibrake et tout ces trucs 🙂mais est ce que si Apple autorisait l’installation d’applications en dehors de l’app’store, on aurait la possibilité d’avoir des fonctions qui affectent plus profondément le système (comme le fait le jailbrake)? : du genre, customiser le centre de contrôle, les animations lors d’un passage d’un écran à l’autre etc etc …
Ou bien le jailbrake modifie aussi des choses au sein de l’OS pour que ce soit possible et du coup les applications proposées en dehors de l’app store ne pourraient pas faire grand chose de plus que celles proposées dans l’app store (en dehors de rapporter + aux développeurs évidement)😘☺️.

avatar quentinf33 (non vérifié) | 

@cecile_aelita

C’est exactement la deuxième partie de ton commentaire. Modifier les apparences système nécessiterait un accès aux dossiers système, via une élévation des privilèges. En revanche une app peut bien évidemment exploiter une faille pour parvenir à ça (jailbreaking). Mais par défaut impossible. Sauf erreur de ma part…

avatar cecile_aelita | 

@quentinf33

Merci Quentin pour ta réponse 🙂.
Du coup ça serait quoi la plus value pour l’utilisateur de télécharger une application en dehors de l’app store ? (Désolé si la question est un peu bête 😊, mais du coup j’entends souvent les gens dire qu’ils voudraient pouvoir le faire… mais ça serait dans quel objectif ? 🙂)

avatar quentinf33 (non vérifié) | 

@cecile_aelita

Comme sur le Mac, un exemple que j’aimerais beaucoup, c’est RetroArch. Pourquoi l’émulation serait interdite sur l’app store ? Oui, les gens qui ont des émulateurs les utilisent illégalement. Mais l’utilisation d’émulateurs n’est en aucun cas illégale… oui le .torrent est utilisé dans 99,8% des cas de façon illégale. Mais parfois le torrent est plus pratique pour moi, alors que l’élément que je télécharge est parfaitement licite !

Le sideloading permet ça. Et comme sous macOS, comme sous Windows, il y aurait un risque, si tu installes quelque chose, tu es responsable et tu te plains pas si tu chopes un malware…

Et très honnêtement, si l’installation hors App Store était possible, combien le feraient ?…

avatar cecile_aelita | 

@quentinf33

Ok merci pour l’exemple! Je comprends mieux 😊🙂

avatar Shawny | 

@quentinf33

Quand les deux exemples qui viennent en premier ce sont les émulateurs et les torrents (qui oui effectivement en eux même sont pas illégaux, mais ne nous voilons pas la face), on se demande bien pourquoi Apple est pas très chaud 🙃

avatar quentinf33 (non vérifié) | 

@Shawny

L’émulation permet de conserver le jeu vidéo.
Le torrent je l’utilise principalement sur TASvideos.org

Il y a un soucis ?

avatar Shawny | 

@quentinf33

Non aucun, je te crois sans soucis, mais avoue que ton utilisation de ces deux technos est marginale. Pour la masse les torrents c’est le dernier Disney gratuit et les émulateurs un moyen de jouer à tout sans rien payer.

avatar quentinf33 (non vérifié) | 

@Shawny

Le problème de l’émulation est que je n’ai pas d’autre choix que pirater les jeux de GB, SNES, Megadrive etc car ils ne sont plus commercialisés.

avatar cecile_aelita | 

@quentinf33

Légalement je ne suis pas sure que l’argument « j’ai piraté parce que ce n’est plus en vente » soit très recevable 😋😋😘😘!!

avatar quentinf33 (non vérifié) | 

@cecile_aelita

Évidemment que non c’est pas recevable. Mais les éditeurs ne font rien pour maintenir la disponibilité de leurs jeux.

Ah si, quand Nintendo ressort d’anciens jeux, ça crie au scandale parce qu’ils sortent rien de nouveau… les gens qui savent ce qu’ils veulent, comme d’habitude.

avatar cecile_aelita | 

@quentinf33

Et oui 😊!
Ça reste une histoire financière tout ça 🙂

avatar Shawny | 

@quentinf33

Bien sûr mais c’est un autre débat pour le coup. Le fait de ne pas avoir d’autre solution ne rend malheureusement pas la chose légale. Je comprends l’envie, mais je peux aussi comprendre qu’Apple n’ai pas envie de voir ça sur ses plateformes.

avatar quentinf33 (non vérifié) | 

@Shawny

Oui mais ils ne peuvent pas arbitrairement dire « non, l’usage principal est illégal donc on ne l’autorise pas »… c’est parfaitement légal d’avoir le jeu et de le dumper soi-même (même si une fois de plus, 99% des gens ne le font pas ^^)…

Ce qu’ils font relève clairement du procès d’intention, c’est contre-productif.

avatar cecile_aelita | 

@quentinf33

« c’est parfaitement légal d’avoir le jeu et de le dumper soi-même »

Je n’ai pas compris cette partie. Qu’entends tu par « Dumper toi même »? 🙂

avatar dodomu | 

@cecile_aelita

En franglais, "faire un dump" c'est réaliser une copie.
Dans le cadre des jeux retro, "faire un dump" c'est prendre par exemple la cartouche d'un jeu (cartouche NES, Super NES, Master System, Mega Drive, etc, mais ça marcherait aussi pour un CD PlayStation) , et utiliser un appareil particulier dans lequel on insère la cartouche, et le dit appareil va lire le contenu de la dite cartouche, et le stocker dans un fichier.
Ce ficher, qui est la représentation numérique du support sur lequel était stocké le jeu initialement, peut ensuite être utilisé dans un émulateur, qui est un programme qui va simuler le fonctionnement de l’électronique de la console.
Mais le dit fichier peut aussi être partagé par Internet, ce qui permet à des gens n'ayant pas le jeu original d'y jouer quand même.
Sur Internet, il est généralement admis (attention, c'est ce qui ce dit, je ne sais pas si c'est juridiquement valable) que les émulateur en eux-même ne sont pas illégaux (la console n'étant pas protégée juridiquement), par contre la détention de copie des jeux originaux serait elle illégale, car assimilable à de la contrefaçon (le jeu étant protégé car considéré comme une œuvre issue d'un processus de création), sauf dans le cas où l'on possède le jeu original, auquel cas il s'agit plutôt d'une copie privée.
C'est pour ça que quentinf33 disait que posséder un jeu et le dumper soi-même n’étais pas illégal 😉

avatar cecile_aelita | 

@dodomu

Merci dodomu pour cette explication très claire 😊

avatar vicento | 

@cecile_aelita

Le sauvegarder en tant que fichier informatique. Fichier qui peut ensuite être utilisé dans un émulateur.

avatar cecile_aelita | 

@vicento

Merci 😊

avatar mat16963 | 

@Shawny

Et ? Est-ce à Apple de dire ce qui est bon ou pas à cause d’une utilisation détournée majoritaire d’un logiciel ?

2-3 messages anxiogènes (avec une action manuelle dans les réglages) comme Apple sait si bien y faite pour activer le Sideloading, en se dédouanant de toute responsabilité seraient suffisants. Ou alors effectivement garder l’App Store comme seul et unique moyen, mais arrêter d’interdire arbitrairement certaines catégories d’app (ou juste des app spécifiques pour des raisons obscures)… car ne pas être d’accord avec les 30% d’Apple est une chose. Le développeur peut choisir de se passer de l’App Store ou non. Mais tout bonnement interdire des app sans raison valable ? Peut-on dire que c’est le développeur qui a choisi de s’aventurer sur un terrain que Maîtresse Apple n’aime pas (à un instant T, car tout peut changer avec l’App Store) ?!

avatar Shawny | 

@mat16963

Encore une fois ça dépend de quels apps on parle… à titre tout à fait personnel je n’ai jamais été bloqué dans mon utilisation de l’iPhone, j’ai toujours trouvé ce qu’il me fallait et je n’ai jamais été frustré.

Du coup si tu as deux trois exemples d’apps qui ont été refusées sans aucune raison valable ça m’intéresse vraiment. Pas des apps qui ne conviennent pas à Apple pour des raisons de respect des bonnes mœurs évidement…

avatar cecile_aelita | 

@quentinf33

Sans mettre en doute ta parole, je te crois sans soucis, mais Shawny a raison je trouve… pour un utilisateur qui va utiliser le torrent pour des usages légaux, 99 n’en feront pas autant 🙂. C’est souvent comme ça malheureusement, ce sont ceux qui n’ont rien demandé de mal qui payent pour ceux qui abusent au niveau de la loi 😊😘.

avatar quentinf33 (non vérifié) | 

@cecile_aelita

« 99 n’en feront pas autant »

C’est pourtant exactement ce que j’ai dit avant…

avatar cecile_aelita | 

@quentinf33

Oui oui 😊!! Ce que je veux dire c’est que si « tout le monde a conscience » que 99% des usages sont illegaux, je peux comprendre qu’Apple n’ait pas envie d’appuyer cette piste 🙂.

avatar fte | 

@cecile_aelita

"pour un utilisateur qui va utiliser le torrent pour des usages légaux, 99 n’en feront pas autant 🙂"

Intéressante proportion.

Qui sort d’où ?

Ensuite on peut se poser une question : à partir de quel taux d’abus devrait-on interdire quelque chose, y compris les usages légaux ? 98% ? 9% ? 23% ? 2.3% ? 2.3% mesurés comment par ailleurs, nombre de connections, nombre de TB échangés, temps de connexion…

Ou on fait tout au doigt mouillé, pour vaguement déterminer le sens des suppositions. Ça marche aussi.

Ou mieux, on laisse une multinationale d’ailleurs décider selon ses intérêts propres en écoutant ses fables de protection de la sécurité de ses clients.

Pile poil.

On s’en balance des faits mesurables. C’est gênant les faits mesurables. Beurk.

avatar cecile_aelita | 

@fte

Non tu as raison en effet, la majorité des gens utilisent le torrent pour télécharger des distributions Linux 😘😋

avatar YetOneOtherGit | 

@cecile_aelita

"distributions Linux"

GNU/Linux 😎😉

https://fr.wikipedia.org/wiki/Linux_ou_GNU/Linux

C’est politique et philosophique donc : fondamental 😎

Après je ne pousse pas jusqu’à utiliser le noyau Hurd quand même. 🥸

avatar cecile_aelita | 

@YetOneOtherGit

Je t’ai trouvé un surnom 😋😋!! « Jamy » parce que t’es toujours là pour apporter des compléments d’informations 😋😋😘😘🥰

avatar fte | 

@cecile_aelita

Peut-être.

Tiens, dans mon pays, télécharger en torrent la dernière série Netflix est parfaitement légal. Qu’importe. Ce n’est pas le propos.

Le propos est : à partir de quel taux d’usages douteux, mesuré comment, interdit-on un logiciel, qui mesure, selon quels critères, qui vérifie les mesures, qui décide de l’interdiction, dans quelles régions du monde ?

Apple pour le monde entier sans cadre légal ni aucune vérification ?

Ça semble la meilleure solution en effet.

avatar cecile_aelita | 

@fte
«  ça semble la meilleure solution en effet. »

Tu vois qu’on est d’accord 😋😋🥰🥰

avatar YetOneOtherGit | 

@fte

"On s’en balance des faits mesurables. C’est gênant les faits mesurables. Beurk."

Si on essayait de mesurer la proportion d’utilisateurs d’iPhone qui veut l’ouverture? Ce serait intéressant peut-être 😈

Je reste persuadé que la proportion qui mène se combat respectable pour l’ouverture ne parle pas au nom de la majorité dont elle veut le bien.

Je peux me tromper, mais… 😉

avatar cecile_aelita | 

@fte

« Ensuite on peut se poser une question : à partir de quel taux d’abus devrait-on interdire quelque chose, y compris les usages légaux ? 98% ? 9% ? 23% ? 2.3% ? 2.3% mesurés comment par ailleurs, nombre de connections, nombre de TB échangés, temps de connexion… »

Il faut au moins un nombre décimal à 2 chiffres après la virgule (ça paraîtra plus crédible comme valeur 😋😋).
Moi je propose > 64,38% (c’est classe comme nombre je trouve 😋😅😘😘)

Mesurer comment…. Bonne question ! Faut utiliser un terme inventé suffisamment nébuleux pour que personne comprenne : « le taux de refluxion descendant » 😘😘😛

avatar fte | 

@cecile_aelita

"« le taux de refluxion descendant » 😘😘😛"

Je valide ! 😂

avatar cecile_aelita | 

@fte

😋😋🥰🥰

avatar Boboss29 | 

Quand j'étais sur android, je trouvais "génial" de prendre n'importe quel APK payant et de l'installer gratos, limite je m'en vantais, en car facile... Bon déjà ça ne permet pas aux dév de vivre... Ensuite rien n'empêche de distribuer une app complétement vérolée sur un forum... Pourquoi Apple permet Apple Pay, de bloquer le suivi publicitaire, et est très pointu sur la confidentialité ? Justement car leur store est fermé... Je préfère ce système clos mais sur pour mon smartphone, et avoir plus de "liberté" sur mon ordinateur. Après si ce modèle ne convient pas (ios) il reste android et une multitude de modèles de smartphones différents. On ne peut pas vouloir être sur un système coute que coute et ne pas accepter leurs conditions... La sécurité c'est ce qui m'a fait quitter android voilà presque 7 ans. Ils ont surement progressé depuis, mais ça m'a bien gavé. J'ai pas envie de perdre tous les avantages d'ios pour juste quelques irréductibles qui veulent installer des trucs chelous sur leurs appareils...

avatar 0MiguelAnge0 | 

@cecile_aelita

C’est déjà le cas sur Mac: est ce un repère de criminels?

Apple considère que tous leurs clients sont des buses ecervelées qui vont se faire plumer par la suite.

Mais si cela ne leur rapportait pas des milliards par an aurait-il un autre discours..?!

avatar cecile_aelita | 

@0MiguelAnge0

« Apple considère que tous leurs clients sont des buses ecervelées qui vont se faire plumer par la suite. »

Pourquoi partir dans des extrémités tout de suite ? 😊
Apple estime peut être que sa clientèle est moins douée en informatique que des pirates qui veulent arnaquer les gens (et je l’en remercie parce que, en ce qui me concerne c’est le cas 😋).

Les sites de banques renforcent la sécurité d’accès à tes comptes … ça ne veut pas dire qu’ils te prennent pour une buse écervelée qui va se faire plumer, mais je suis contente qu’ils le fassent quand même 😘😋!

Après on n’a pas le même point de vue, c’est indéniable. Je comprends que ça t’agace vu que les choix d’Apple ne semblent pas te convenir 🙂. Moi en tout cas ils me conviennent parfaitement, c’est juste une histoire d’usage tout ça 😋😘

avatar 0MiguelAnge0 | 

@cecile_aelita

Ce que je regrette, c’est le manque de choix comme sur le Mac. Tu peux que télécharger du store si tu es plus rassurée, mais, d’autres peuvent aussi s’en passer d’une manière native.

Ce qui est complètement ironique, c’est que les pires cas de hacks ont été par des failles 0 day ou autres.
Donc il y a beaucoup de discours marketing de la part de la mêche argentée…

avatar cecile_aelita | 

@0MiguelAnge0

Alors je vais peut être être naïve mais je me dis que si Apple permet à d’autres stores de s’ouvrir … plus personne ne proposera des applis sur l’app store … ça va faire comme sur le macApp store … 😊.
Parce que (de ce que j’ai compris, je ne suis pas spécialiste là dedans, loin de là 😊), c’est plus contraignant de passer par l’app store (car Apple est très rigoureuse et pointilleuse …).
La nature étant ce qu’elle est (je sais de quoi je parle pour essayer de mobiliser 35 parents d’élèves par an dans des projets pour leurs enfants lol), dès que c’est un minimum contraignant … même pour une bonne raison, tu n’as plus personne 😅.
🥰

avatar Paquito06 | 

“« Aucun système n'est parfait », admet le vice-président de l'ingénierie logicielle, mais il n'a pas manqué de souligner qu'iOS était la plateforme la moins infectée par les malwares.”

On ne peut pas lui donner tort, historiquement parlant avec 10-15 ans de recul, car l’app store est bien moins verolé. Maintenant, est ce que cette difference s’explique vraiment par le sideloading?
Aussi, le store d’Apple est bien plus stricte que Google sur les data privacy (pour une fois que la rigidite d’Apple aide😅).

avatar lmouillart | 

J'irais plus loin en disant qu'un terminal actif est la porte ouverte pour faire n'importe quoi.
Vive les DEC VT05 !

avatar occam | 

@lmouillart

👏😇

avatar YetOneOtherGit | 

@lmouillart

"J'irais plus loin en disant qu'un terminal actif est la porte ouverte pour faire n'importe quoi."

quand on voit le nombre d’accès SSH ouverts sur certaines infra la question se pose effectivement 🤣🤣🤣

avatar redchou | 

Ça commence à flipper on dirait… 🤔

Pages

CONNEXION UTILISATEUR