Notarisation des apps : un nouvel outil imposé bientôt, SD Notary se met à la page
D'ici la fin de l'année, les développeurs seront obligés d'utiliser un nouvel outil fourni par Apple pour « notarier » leurs applications, c'est-à-dire pour faire certifier qu'elles ne contiennent pas de code malveillant, une mesure chaudement recommandée pour faciliter leur installation. À partir du 1er novembre 2023, l'outil altool ne pourra plus réaliser cette procédure, il faudra impérativement utiliser notarytool, qui a été introduit à la WWDC 2021.
Apple suggère aux développeurs deux méthodes pour exploiter cet outil : soit passer par Xcode 14, soit s'en servir directement en lignes de commande. Une troisième solution vient d'émerger avec SD Notary 2. Cet utilitaire dont la première version remonte à 2019 a été mis à jour pour prendre en compte notarytool.
SD Notary 2 habille le notaire d'Apple d'une interface graphique qui le démystifie un peu. Cette nouvelle version requiert macOS 11.3 au minimum et elle est toujours gratuite. Des détails techniques sont disponibles sur le site de Late Night Software.
Est ce que les apps qui ne seront pas disponible par l’AppStore pourront être notariées ? Et est ce que l’utilisateur sera informé au moment de l’installation, du téléchargement ?
Bien sûr! Le fait de notariser (je ne sais comment on dit en français) n'est pas lié à l'AppStore.
Et l'utilisateur est informé au moment d'installer l'app si celle-ci n'est pas notarisee ou, pour celles qui le sont, si la version que l'on a téléchargée est différente, ne serait-ce que d'un octet, de celle qui a été notarisee.
(ce qui montre bien qu'Apple peut sécuriser l'environnement applicatif sans pour autant que ça impose son store comme seule source de téléchargement)
@r e m y
"Le fait de notariser (je ne sais comment on dit en français)"
Si je ne m’abuse, la "notarisation électronique" est une appellation usitée par les notaires pour désigner le processus de certification et d’authentification numérique de documents. Si les pros historiques utilisent ce même terme, académique française ou pas, ça me suffit.
La notarisation ne concerne que les apps en dehors de l'App Store, puisque celles sur le store doivent déjà passer par une validation bien plus poussée…
Quand aux apps non notariées, il est tout simplement impossible de les lancer directement; il faut utiliser le menu contextuel du Finder (clic droit) pour faire « ouvrir » puis valider l'avertissement. Si on fait juste un double clic, le Finder dit que l'app est endommagée et doit être mise à la poubelle, ou un truc du genre…
@jerome74
Merci pour cette précision.
Du coup je suppose qu’ils vont appliquer la meme méthode sur iOS ?
Une idée de comment marche cette validation car je suppose que la vérification de code malveillant doit être mise à jour régulièrement au fur et à mesure des découvertes de failles non ?
Donc comment sait on de quand date la vérification, je suppose la date de fourniture de l’App. Elle peut être saine au moment de la validation mais ne plus l’être au bout de 6 mois si une faille est découverte ou je fais fausse route ?
@Seb42
Si je comprends bien le processus, ce n’est pas pour des failles mais plutôt du code malveillant pour exécuter des choses à l’insu de l’utilisateur lors de son installation/utilisation.
Et certainement que si XProtect est mis à jour, il va contrôler les applications mêmes notarisé pour éviter des malwares et autres joyeusetés.
Et je me demande si une application notarisé ne doit pas non plus respecter certaines règles au niveau accès des fichiers (un peu comme sur le Mac App Store, où tu es obligé de faire du sandboxing, c’est-à-dire que tu ne peux pas accéder aux fichiers de l’utilisateur sans demander son consentement).
« À partir du 1er novembre 2023, l'outil altool ne pourra plus réaliser cette procédure »
Altool les opticiens ? 😈
@stephmouss
😈