Les apps pour Mac Apple Silicon devront toutes être signées
Année après année, Apple impose un peu plus la signature des applications, qui assure l'identité du développeur, dans l'objectif de renforcer la sécurité du Mac. Une nouvelle étape va être franchie avec macOS Big Sur sur les Mac Apple Silicon (les Mac Intel ne sont pas concernés) : les applications compilées pour Apple Silicon devront obligatoirement être signées pour être exécutées, sans quoi elles ne se lanceront pas.
Ce changement ne s'applique pas aux applications existantes, qui tournent sur Mac Intel : celles qui ne sont pas signées pourront toujours être exécutées, à travers Rosetta 2, sur les Mac Apple Silicon. Mais la signature deviendra donc la règle absolue dans l'environnement natif Apple Silicon.
Dans les notes de version des apps universelles, Apple indique que la nature de la signature importe peu : une signature ad-hoc simple, possible sans compte développeur payant, permettra d'exécuter une application sur son Mac à architecture ARM. Toutefois, ce type de signature est conçu pour un usage en local exclusivement. Une application signée ainsi n'est pas destinée à être distribuée publiquement.
De plus, Gatekeeper, le videur du Mac, ne se montre pas très sympathique envers les applications signées en ad-hoc, à qui il manque un justificatif supplémentaire (la notarisation) pour passer sans encombre. Un double-clic sur une telle app affiche une boîte de dialogue indiquant que l'app ne peut pas être ouverte, comme le montre le développeur Jeff Johnson :
Il faut utiliser l'astuce du clic secondaire suivi du clic sur « Ouvrir » dans le menu contextuel pour avoir droit à une boîte de dialogue (toujours assez alarmiste) permettant de lancer l'app :
Apple assure que la signature obligatoire des applications sur Mac Apple Silicon « ne remet pas en cause la possibilité historique pour les utilisateurs et les développeurs d'exécuter du code arbitraire sur leur Mac. » Selon la Pomme, ce changement est pris afin « de simplifier les politiques d'exécution sur les Mac Apple Silicon et permettre au système de mieux détecter les modifications de code. »
De fait, il ne devrait pas bouleverser les habitudes de la majorité des utilisateurs ni même des développeurs qui ont dû se plier dernièrement au processus de notarisation — nécessitant un compte payant — pour que leurs apps s'ouvrent sans alerte anxiogène. Ça n'en reste pas moins un tour de vis supplémentaire.
@19marine91
"Du coup avec Apple Silicon le problème de compatibilité m’inquiète un peu. "
WoW supporte déjà Metal le portage en natif devrait pas être un challenge.
Blizzard devrait suivre et pas impossible que ça passe déjà pas trop mal sur Rosseta 2 qui est vraiment impressionnant.
concernant Wow, on voit déjà quelques ajouts techniques qui ne sont pas portés au MAC.
et le prochain ajout de RTX de Directx 12/Nvidia (activé dans la beta de Shadowland) n'est évidemment PAS porté au Mac, ni en metal ni en rien.
Après l’ouverture dans les années 2000, MacOS se referme chaque année un peu plus. On va dire que c’est pour “le bien” de l’utilisateur, et de AAPL.
@mk3d
C'était prévisible… et prévu depuis longtemps. Je vois arriver du très très mauvais pour les prochaines années.
La plupart des applications sont déjà signées depuis longtemps (en tout cas mes apps les sont 😉).
Je ne suis pas sûr que ce soit vraiment un problème.
Un tel verrouillage doit faire plaisir aux autorités !
Je le pense depuis des années maintenant : Apple rêve, comme beaucoup depuis le début du monde, d'avoir le contrôle absolu sur les gens et ce qu'on leur permet de faire.
Avec une architecture de ce type, il suffit qu'un gouvernement interdise une application pour que personne ne puisse plus l'utiliser car Apple (qui respecte les lois) aura appuyé sur le bouton.
La sécurité n'excuse pas tout.
Je trouve que les personnes qui disent "Mais ça n'arrivera jamais" " il y aura toujours un moyen" ne réfléchissent pas assez.
@Lightman
Dans ce cas clic droit —> ouvrir 🤷♂️
@reborn
Ce ne sera plus possible sur les Mac AppleSilicon
@r e m y
Tu as déjà vu beaucoup d’applications non-signées ou tu comptes lire l’article ?
@quentinf33
Bien sûr qu'il y a encore des développeurs qui ne font pas signer leurs applications!
@r e m y
J’ai pas d’exemple concret...
@r e m y
J’ai compris qu’avec une signature ad-hoc c’est toujours possible.
@reborn
Une signature ad-hoc reste une signature! Et ça ne permet pas de distribuer son application. C'est juste pour son usage perso en local.
"... Une application signée ainsi n'est pas destinée à être distribuée publiquement."
Si un développeur indépendant mets en ligne une application gratuitement est-ce qu’elle sera utilisable du coup ?
Je ne pige pas trop 🤨
@Kenny31i
Non il devra la faire signer par Apple
@r e m y
Ah ok génial... 👍🏻
Apple restreint petit à petit ce qui fait qu’il est plaisant d’être créatif sur leur système. Je trouve ça dommage. A titre personnel je me pose des questions sur mon prochain renouvellement de matériel... sachant que j’ai tout Apple (TV, Mac, IPad, iPhone, Watch, etc.) mais que j’adhère de moins en moins à leur vision...
@Kenny31i
Si justement, ce sera toujours possible, avec clic droit ouvrir, c’est ce que dit l’article. La question c’est de savoir si cela restera possible longtemps...
@dodomu
Non! Le clic-droit "ouvrir" c'est pour passer GateKeeper si l'application n'est pas "notarisee". La signature sera la règle absolue et si une signature ad-hoc est possible (sans compte développeur payant) ce sera uniquement pour un usage local. L'application signée ainsi ne doit pas être distribuée publiquement
@r e m y
Mais si elle l’est, il sera toujours possible d’utiliser le clic droit.
@Kenny31i
Pour compléter ma réponse : ça sera toujours possible si le développeur signe son appli à lui même sans passer par Apple, donc avec une signature ad hoc.
@dodomu
Pour un usage local uniquement. Une application signée ainsi n'est pas destinée à être distribuée publiquement explique Apple.
@r e m y
Hum... je comprends votre réponse, mais entre l’usage désiré (exécution uniquement locale par l’auteur de la dite signature ad hoc) et ce qui sera possible dans les faits, il peut y avoir de la marge (les feux rouges ne sont pas destinés à être grillés, et pourtant...) et à la lumière de votre réponse je pense qu’il y a une zone de flou, la réponse n’est pas évidente, il faudrait remonter à la source pour avoir une chance d’avoir la réponse complète...
@r e m y
Ce n’est pas le sujet, mais tu ne ma pas dit ce que tu mettais en jeu dans notre paris ?
Florian Muller lui aussi considère que Fornite va revenir assez rapidement sur le store 😜
« All things considered, I believe the most likely development is that the court will deny Epic's motion for temporary relief and Epic will then say it's disappointed but at least it tried, and now it must live with the decision, and in the interest of their customers, they will comply with Apple's rules again (for the time being, while pursuing their litigation) in order to make Fortnite available for iOS again and to ensure continued access to Apple's developer tools with a view to the Unreal Engine as well. »
Wait&See
@Kenny31i
Tu ne rencontrera pas de soucis.
En 2020 un dev n’a pas de raisons valable de ne pas signer à minima une app pour son propre mac avant de la distribuer.
C’est pareil de l’autre coté
@reborn
En fait j’ai du mal à saisir le concept de ces signatures d’applications. Si le dev peut « auto signer » quelle est la valeur de cette signature « ad hoc » ? Quelle est l’autre façon de faire et qu’est-ce que ça change concrètement pour le dev ?
Je suis LAR-GUÉ (déso) 😅
@Kenny31i
Il s’agit d’identifier le dev, et de lui permettre de ne pas alerter Gatekeeper pour ses propres besoins à lui.
De ce que j’ai compris ça n’en fait pas une app notarizé pour autant.
Une app signé en ad-hoc sera l’équivalent d’une app qui n’est pas notarizé actuellement. Pour la lancer il faudra passer par un clic droit puis ouvrir.
Mais concrètement ce qui est important c’est que ça ne changera rien. Inutile de s’affoler
Apple s’est impliqué personnellement dans le portage de gros projet open source de l’x86 vers ARM. Ce n’est pas pour empêcher leur exécution par la suite..
https://www.macg.co/macos/2020/06/arm-apple-facilite-la-transition-de-plusieurs-projets-open-source-114881
@reborn
Merci 😅
En dehors de Blender ce ne sont que des bibliothèques, moteurs, environnement d'execution.
Ils s'assurent surtout que les développeurs de logiciels qui utilisent habituellement ces outils ne galèrent pas trop faute d'éléments adaptés.
@Kenny31i
En résumé si tu veux diffuser ton application, tu dois la faire signer par Apple..Si tu développes pour toi pas besoin de passer par Apple.
@hirtrey
J’ai hâte de voir les répercussions sur les petits utilitaires qu’on trouve sur Github
@Kenny31i
Genre iina.io ?
Pas de soucis particulier, c’est déjà notarizé :)
Si ça se lance sans alerte sous Catalina alors l’avenir ne devrait pas être un problème.
@reborn
Ok ok 👌🏻
Merci !
@hirtrey
Et pour la faire signer par Apple je suppose qu'il faut un compte développeur payant ?
@bl@ck warrior_69
Oui Apple ne fait pas de petit cadeau.
@hirtrey
> En résumé si tu veux diffuser ton application, tu dois la faire signer par Apple
Et donc lui céder le pouvoir de décision finale sur la possibilité à quiconque de pouvoir l'utiliser ou pas.
@byte_order
Pareil chez microsoft
@reborn
Super la justification. On peut aussi se mettre à voler et tuer, d'autre le font donc on peux.
@hirtrey
Non, c’est une piqûre de rappel
@reborn
« Pareil chez microsoft »
Oui, et ça n’en est que plus inquiétant.
Je dis ça sans agressivité, mais c’est l’anti-argument par excellence ;)
@Bigdidou
Oui, et ça n’en est que plus inquiétant.
Mais personne n’en parle :)
C’est drôle sachant que la plupart de ceux ici qui en on marre d’Apple car c’est fermé veulent migrer sous W10.
@byte_order
C'est exactement cela. Si tu fais trop de vague (comme Epic) elle te bloque toute tes application. Et tu n'as rien a dire.
@ hirtrey : « En résumé si tu veux diffuser ton application, tu dois la faire signer par Apple. »
Ce n’est pas ce qu’on peut lire dans la documentation.
Je n’ai malheureusement pas de machine avec une beta de Big Sur pour vérifier, mais tel que c’est écrit il n’y a pour l’instant rien empêchant la diffusion d’une application non notarisée.
@ Kenny31i : « En fait j’ai du mal à saisir le concept de ces signatures d’applications. Si le dev peut « auto signer » quelle est la valeur de cette signature « ad hoc » ? »
Sa valeur ? Permettre de vérifier que l’exécutable n’est pas modifié après coup (en douce, par un malware).
@reborn
> C’est pareil de l’autre coté
D'une, y'a pas *que* 2 côtés.
De deux, les PC ne sont pas encore lié à l'OS qui tourne dessus, et vice-versa.
@byte_order
"De deux, les PC ne sont pas encore lié à l'OS qui tourne dessus, et vice-versa."
Il y eu quelques sympathique tentatives côté UEFI 😛
@YetOneOtherGit
Secureboot ?
@reborn
Entre autre oui.
@YetOneOtherGit
> il y eu quelques sympathique tentatives côté UEFI
Exactement.
Et pourtant, quand Apple fait bien pire avec la puce T2, y'a plus personne pour voir le risque.
Etrange que la vigilance se dilue dans l'affect à un discours marketing...
@byte_order
"Et pourtant, quand Apple fait bien pire avec la puce T2, y'a plus personne pour voir le risque."
Plus la même époque plus les même enjeux.
La bataille de GNU\Linux sur le poste client était déjà une vieille histoire ;-)
@YetOneOtherGit
Pourquoi vouloir toujours tout ramener à GNU/Linux !?
Pas la même époque, mais l'enjeu de garder le contrôle sur nos usages sur nos appareils, cela me semble toujours d'actualité, bien au contraire.
Les citoyens contestent de plus en plus le droit de surveillance à leur gouvernement, mais embrassent de céder le contrôle de leurs usages numériques à des entreprises privées totalement hors d'atteinte juridiquement ?
Je pense, au contraire, c'est totalement d'actualité, et que c'est au coeur du sujet GAFAM : ils sont devenus trop puissants, et c'est dangereux.
J'ai toujours dit que j'étais pour la diversité, que je considère la meilleure défense contre bon nombre des problèmes de nos sociétés. Je suis donc, globalement, contre tout phénomène d'hyper concentration, que ce soit de pouvoir, de procédé, d'idée, etc.
Ramenez ma position au seul sujet de GNU\Linux (auquel, à ma connaissance, je n'ai contribué la moindre ligne, au passage, même si je participe un peu à quelques projets open source c'est vrai, mais rien d'extraordinaire non plus), c'est hyper réducteur, et pas digne du niveau de débat que vous vous auto-attribué si souvent.
Pages