Les apps pour Mac Apple Silicon devront toutes être signées

Stéphane Moussie |

Année après année, Apple impose un peu plus la signature des applications, qui assure l'identité du développeur, dans l'objectif de renforcer la sécurité du Mac. Une nouvelle étape va être franchie avec macOS Big Sur sur les Mac Apple Silicon (les Mac Intel ne sont pas concernés) : les applications compilées pour Apple Silicon devront obligatoirement être signées pour être exécutées, sans quoi elles ne se lanceront pas.

Ce changement ne s'applique pas aux applications existantes, qui tournent sur Mac Intel : celles qui ne sont pas signées pourront toujours être exécutées, à travers Rosetta 2, sur les Mac Apple Silicon. Mais la signature deviendra donc la règle absolue dans l'environnement natif Apple Silicon.

Dans les notes de version des apps universelles, Apple indique que la nature de la signature importe peu : une signature ad-hoc simple, possible sans compte développeur payant, permettra d'exécuter une application sur son Mac à architecture ARM. Toutefois, ce type de signature est conçu pour un usage en local exclusivement. Une application signée ainsi n'est pas destinée à être distribuée publiquement.

De plus, Gatekeeper, le videur du Mac, ne se montre pas très sympathique envers les applications signées en ad-hoc, à qui il manque un justificatif supplémentaire (la notarisation) pour passer sans encombre. Un double-clic sur une telle app affiche une boîte de dialogue indiquant que l'app ne peut pas être ouverte, comme le montre le développeur Jeff Johnson :

Boîte de dialogue quand on double-clic sur une app signée simplement en ad-hoc

Il faut utiliser l'astuce du clic secondaire suivi du clic sur « Ouvrir » dans le menu contextuel pour avoir droit à une boîte de dialogue (toujours assez alarmiste) permettant de lancer l'app :

Apple assure que la signature obligatoire des applications sur Mac Apple Silicon « ne remet pas en cause la possibilité historique pour les utilisateurs et les développeurs d'exécuter du code arbitraire sur leur Mac. » Selon la Pomme, ce changement est pris afin « de simplifier les politiques d'exécution sur les Mac Apple Silicon et permettre au système de mieux détecter les modifications de code. »

De fait, il ne devrait pas bouleverser les habitudes de la majorité des utilisateurs ni même des développeurs qui ont dû se plier dernièrement au processus de notarisation — nécessitant un compte payant — pour que leurs apps s'ouvrent sans alerte anxiogène. Ça n'en reste pas moins un tour de vis supplémentaire.

avatar reborn | 

@byte_order

Ce que tu raconte n’a ni queue ni tête.. 🤦‍♂️

avatar lmouillart | 

Bien-sur que si ça à du sens ce qu'il dit. Apple pourrait très bien intégrer plusieurs autorités de certifications et s'en remettre à elle pour vérifier ou invalider des applicatifs ou le faire en parallèle.
Une sorte de proposition avec un poil de concurrence, et un poil non hyper centralisée, un peu à l'image des autorités de certifications racines.

avatar denisnone | 

Je pense qu’on aura toujours une simple ligne de commande terminal pour désactiver toutes ces protections. Donc si vous êtes un professionnel, vous pourrez vous débrouiller.
En même temps les gens sans connaissances techniques seront protégés des logiciels malveillants.

avatar reborn | 

@denisnone

Il suffit de désactiver SIP. On retrouve un macos équivalent à ce que l’on avait avant El Capitan.

avatar switch (non vérifié) | 

Désactiver le SIP est différent de désactiver Gatekeeper !
Désactiver SIP est une tolérance qu'Apple pourrait bien supprimer dans une prochaine version de macOS (ce dernier avec les applications Apple est déjà écrit sur une partition verrouillée en écriture).
--
Ce qui serait dramatique serait le passable obligé par le Mac App Store pour installer des applications, mais vu que l'accès à l'espace se stockage est encore accessible sans restrictions sur macOS, il semble peu envisageable qu'Apple le fasse, sauf à sacrifier le Finder (comme sur iOS), ce qui serait pure folie pour un OS d'ordinateur.
--
Apple pousse donc vers la "notarisation obligatoire", mais dans ce cas elle va devoir fournir une application dédiée pour le processus de signature/notarisation, qui est actuellement presque impossible à réaliser avec le seul terminal et qui impose l'utilisation de l'appli AppWrapper, ce n'est pas une partie de plaisir tant il y a d'options disponibles et surtout car il faut un Mac avec la dernière dernière version de XCode et que Apple ne cesse de modifier les spécifications nécessaires à l'obtention d'un "harderned runtime" officiellement notarié.
Bref, hors de Xcode, point de salut...

avatar reborn | 

@switch

Désactiver SIP est une tolérance qu'Apple pourrait bien supprimer dans une prochaine version de macOS

Aucune chance, c’est vitale pour les devs. Et pour ceux qui veulent bidouiller macOS. C’est pas mes mots ce sont d’Apple.

Software state of the union, 2020

avatar switch (non vérifié) | 

Merci, c'est une bonne nouvelle.

avatar Bigdidou | 

@reborn

« Aucune chance etc... »
« C’est pas mes mots ce sont d’Apple. »

Tu réalises à quel point ça rend l’argument fragile ? ;)

avatar reborn | 

@Bigdidou

Plus fragile que les arguments qui ne sorte que de la tête d’adepte de théorie du complot ?

J’invente rien, je n’extrapole rien..

Ce sont les propos du VP tools et frameworks d’Apple.

Après si les gens n’ont pas une once de confiance en Apple ou Microsoft il faut passer à autre chose..

Sur ce plan là le discours d’Apple ne change pas depuis des années.

Par contre l’avenir de win32 chez Microsoft.. 😄

Depuis 2015 c’est difficile d’y voir clair

avatar Bigdidou | 

@reborn

« J’invente rien, je n’extrapole rien.. »

Je sais bien, mais enfin, sans complotisme, tu connais bien les revirements voire même les reniements magistraux d’App’r, non ?

avatar reborn | 

@Bigdidou

Je veux bien une piqûre de rappel

avatar Bigdidou | 

@reborn

« Il suffit de désactiver SIP. »

Et tu penses qu’il va rester indéfiniment desactivable ?

Je pensais même que ce n’était plus le cas...

avatar reborn | 
avatar switch (non vérifié) | 

Si j'ai bien compris, Apple va donc réellement supprimer l'option "N'importe où" pour les applications téléchargées et l'option clic droit > Ouvrir dans macOS Big Sur sur les Mac Apple Silicon (les Mac Intel ne sont pas concernés).
--
Concernant les applis compilées et destinées à s'exécuter localement, il va falloir leur adjoindre un certificat ad-hoc: à priori aucun problème pour les utilisateurs de XCode qui le fera automatiquement. Par contre les autres environnements de développement (ou les plug-ins) vont devoir à minima ajouter un certificat ad-hoc pour leur exécution locale.
--
Reste une inconnue: si une appli est signée avec un certificat développeur certifié (compte dev payant) mais NON notariée, pourra t'on quand même l'ouvrir (après son téléchargement) sur les Mac ARM ou est-ce que la notarisation sera obligatoire pour distribuer les applications ARM ?

avatar en chanson | 

Comment les éditeurs vont accepter cela ? La fermeture continue doucement mais sûrement

avatar Bigdidou | 

@en chanson

« Comment les éditeurs vont accepter cela ? « 

Ils sont très probablement ravis.
Ce que leur propose Apple c’est un outil très puissant pour bloquer le piratage des apps, ainsi que tout ce peut enlever une DRM...

avatar YetOneOtherGit | 

@en chanson

"Comment les éditeurs vont accepter cela ?"

Ceux qui comptent ?

Très bien 👍

avatar R5555 | 

C'est dingue, y'a 20 ans, tout le monde gueulait contre les paladium et autre sorte de verrous logiciels, aujourd'hui, alors que les systèmes n'ont jamais été aussi sécurisés, on acclame chaque nouvelle perte de liberté.

avatar oomu | 

Oui. Un gros travail de sape des mentalités et de peur du hacker russe.

Alors qu’il n’y a aucune raison que l’industrie ne me propose pas des outils de contrôle de ce que fait ma machine tout en me laissant utiliser un client torrent ou émulateur arm expérimental.

avatar oomu | 

Ce sont des débats passionnants

Mais en ce qui me concerne c’est trop tard. Tous ces ajouts et complexification de macOS ne m’intéressent pas et si évidemment Linux n’inquiète pas Apple, personnellement j’y tiens.

Je ne vois plus actuellement l’intérêt du matériel face aux contraintes et manques du logiciel Apple.

Il ne s’agit pas de prédire l’avenir ou de fantasmer la destruction du mac par l’app store mais un désintérêt de ma part par ce que propose Apple désormais sur mac et macOS.

J’ai réinvestit sur pc, je n’ai plus acheté de mac (portable ou autre) depuis fin 2013. Peu probable qu’un mac arm me motive. Ou un premier prix sur un portable léger pour suivre l’évolution, mais ça serait uniquement par passion geek.

Mon point: répondre « fantasme » n’est pas un contre-argument convaincant. On peut légitimement voir peu d’intérêt dans le mac actuel et n’être pas intéressé par les contraintes de SIP et T2

Honnêtement, uefi secure boot et SElinux ne me dérangent pas. Tout reste sous mon contrôle sans millions de popups. Et bien sur tout ce qui est académique et open source est devenu bien plus facile sous windows que macOS, ce qui est un comble !

Apple vire Python quand Microsoft fait tout pour que ça soit d’un clic avec un Windows de base.

Pourquoi devrais je patienter que homebrew arrive à s’adapter à tout ce qu’Apple casse sans proposer mieux ?

avatar YetOneOtherGit | 

@oomu

Comme je l’ai souvent dit le PC est aujourd’hui une belle alternative pour peu qu’on y mette le prix.

W10 est un OS qui n’a plus grande chose à voir avec les abjection du passé en dehors du nom, MS s’ouvre vraiment à d’autres écosystèmes assimilés au diable dans le passé...

Et pour GNU\Linux il y a de superbes distributions orientées grand public qui elles aussi n’ont rien à voir avec les pensum du passé.

Et pour ceux qui veulent pousser leurs désires de liberté encore plus loin y a même ça,:

https://raptorcs.com/TALOSII/

(Ça fait un rien mal au fesses mais c’est fun au possible)

Apple a choisi ses cibles, quand on ne s’y retrouve pas il ne faut pas avoir peur de voir ailleurs 😝

avatar oomu | 

"Comme je l’ai souvent dit le PC est aujourd’hui une belle alternative pour peu qu’on y mette le prix."

C'est exact. Faut juste sortir des sentiers battus.

"W10 est un OS qui n’a plus grande chose à voir avec les abjection du passé en dehors du nom, MS s’ouvre vraiment à d’autres écosystèmes assimilés au diable dans le passé..."

il reste encore quelques "abjections", et ayant grandi dans les années 70/80s il m'est physiquement (y a des neurones qui sont figés, bétonnés, c'est fini) impossible de pas avoir un petit malaise avec Microsoft :)

Mais oui, sérieusement, Windows 10, et le revirement de MS sur l'opensource/logiciel libre/linux, est un gigantesque progrès par rapport à Windows 8 et précédents ou l'actuel Apple.

-
"Et pour GNU\Linux il y a de superbes distributions orientées grand public qui elles aussi n’ont rien à voir avec les pensum du passé."

Linux reste un univers en perpétuel chantier. y a de très belles choses, oui. Malheureusement manque toujours les applications de production autre que le monde développeur ou quelques domaines précis.

Par contre, pour tout ce qui est académique, calculs, développement, serveurs, besoin quotidiens, etc, c'est un vrai plaisir.

-

"https://raptorcs.com/TALOSII/"

double processeur power9, whoAAAh :)

-
"Apple a choisi ses cibles, quand on ne s’y retrouve pas il ne faut pas avoir peur de voir ailleurs 😝"

je tiens ce propos depuis en gros 2 ans sur macg très régulièrement.

avatar YetOneOtherGit | 

@oomu

"double processeur power9, whoAAAh :)"

On c’est fait plaisir en achetant une machine c’est pas très onéreux et c’est assez fun 😋

Tout est en open source même le firmware

avatar YetOneOtherGit | 

@oomu

"je tiens ce propos depuis en gros 2 ans sur macg très régulièrement."

c’est le bon sens pragmatique 😉

avatar YetOneOtherGit | 

@oomu

"double processeur power9, whoAAAh :)"

Au passage IBM vient d’annoncer le POWER 10

https://newsroom.ibm.com/2020-08-17-IBM-Reveals-Next-Generation-IBM-POWER10-Processor

avatar YetOneOtherGit | 

@oomu

"Mais oui, sérieusement, Windows 10, et le revirement de MS sur l'opensource/logiciel libre/linux, est un gigantesque progrès par rapport à Windows 8 et précédents ou l'actuel Apple.
"

J’ai réussi à me tenir à l’écart de tous les produits MS jusqu’à VMS++ aka NT et encore juste en « exploration »

Cela m’a évité bien des traumatismes 😝

avatar BeePotato | 

@ oomu : « Mais oui, sérieusement, Windows 10, et le revirement de MS sur l'opensource/logiciel libre/linux, est un gigantesque progrès par rapport à Windows 8 et précédents ou l'actuel Apple. »

Ce progrès est évidemment énorme par rapport aux Windows précédents.
Cependant, je ne vois pas en quoi il le serait par rapport à Mac OS. WSL est pour l’instant encore loin d’offrir le même confort d’utilisation que Mac OS.

avatar YetOneOtherGit | 

@BeePotato

"Cependant, je ne vois pas en quoi il le serait par rapport à Mac OS"

Ce n’était ni son propos ni le mien.

Nous étions dans le périmètre de l’univers MS.

C’est plus qu’un progrès, c’est un des symboles d’un changement fort de doctrine de la part de MS.

Après si tu veux élargir à un comparatif avec MacOS : au vu des progressions de la version 2 de WSL, je n’ai pas beaucoup de doute sur le fait que l’avantage Unix natif de MacOS ne perdure pas très longtemps 😎

avatar BeePotato | 

@ YetOneOtherGit : « Ce n’était ni son propos ni le mien. »

Vu que je m’adressais explicitement à oomu, il n’était pas nécessaire de préciser que ce n’était pas de ton propos que je parlais. ;-)

En revanche, c’était bel et bien le propos d’oomu : « Mais oui, sérieusement, Windows 10, et le revirement de MS sur l'opensource/logiciel libre/linux, est un gigantesque progrès par rapport à Windows 8 et précédents ou l'actuel Apple. »

Vu le contexte, le terme « l’actuel Apple » dans cette phrase ne peut pas faire référence à iOS ou ses dérivés et désigne bel et bien Mac OS.

« Après si tu veux élargir à un comparatif avec MacOS »

Ce n’est pas moi qui veux. C’est oomu qui l’a fait.

« au vu des progressions de la version 2 de WSL, je n’ai pas beaucoup de doute sur le fait que l’avantage Unix natif de MacOS ne perdure pas très longtemps 😎 »

WSL présente un avantage pour certains utilisateurs par rapport à Mac OS : le fait que ce soit un Linux, permettant donc d’avoir les mêmes versions des logiciels que sur d’autres Linux. Pour certains utilisateurs, cet avantage est décisif.
Pour d’autres (dont moi, on l’aura deviné), il ne l’est pas.
Et du coup, je compare le reste et le confort d’utilisation au quotidien (l’intégration avec le reste de l’OS, en gros). Et là, malgré les (nécessaires) progrès réalisés depuis la première version de WSL, je ne vois rien qui me fasse envie par rapport à ce que j’ai depuis 20 ans avec Mac OS.

avatar YetOneOtherGit | 

@BeePotato

"Vu que je m’adressais explicitement à oomu, il n’était pas nécessaire de préciser que ce n’était pas de ton propos que je parlais. ;-)"

Nous avons le même propos Oomu et moi, même si nos éléments se dispatchent dans plusieurs échanges ;-)

avatar YetOneOtherGit | 

@BeePotato

"« Mais oui, sérieusement, Windows 10, et le revirement de MS sur l'opensource/logiciel libre/linux, est un gigantesque progrès par rapport à Windows 8 et précédents ou l'actuel Apple. »"

Ce propos est une réponse au mien ;-)

Et abondait dans mon sens 😎

On perd facilement le fil 😉

avatar YetOneOtherGit | 

@BeePotato

"C’est oomu qui l’a fait."

Effectivement j’avais zappé la fin de son propos 😉😎

avatar YetOneOtherGit | 

@BeePotato

"je ne vois rien qui me fasse envie par rapport à ce que j’ai depuis 20 ans avec Mac OS."

Je me placé dans une perspective plus large que les usages personnels des uns et des autres.

Globalement l’avantage Unix natif de MacOS qui a attiré une large part de la communauté des Dev Web tant à se réduire de plus en plus.

Tel est mon propos 😉

avatar BeePotato | 

@ YetOneOtherGit : « Je me placé dans une perspective plus large que les usages personnels des uns et des autres. »

Ben… l’intérêt de cet aspect de Mac OS est lié aux usages qu’en ont les uns et les autres. C’est pour ces usages qu’il est intéressant, et non simplement parce qu’il existe.

D’autre part, juste après tu te focalises sur un usage particulier (les développeurs web).

avatar YetOneOtherGit | 

@BeePotato

"Ben… l’intérêt de cet aspect de Mac OS est lié aux usages qu’en ont les uns et les autres"

Non à la somme des usages des uns et des autres ce qui est fort différent.

avatar BeePotato | 

@ YetOneOtherGit : « Non à la somme des usages des uns et des autres ce qui est fort différent. »

L’expression « les usages qu’en ont les uns et les autres » désigne bien l’ensemble de ces usages. Non, il n’y a pas de différence, si ce n’est celle que tu sembles absolument vouloir trouver. :-)

Bref, ces usages ne se limitent heureusement pas à ceux des développeurs web, et il en existe pour lesquels l’avantage de la partie Unix de Mac OS n’a pas disparu. Pas la peine de s’étendre plus que ça sur ce sujet.

avatar YetOneOtherGit | 

@BeePotato

"Pas la peine de s’étendre plus que ça sur ce sujet."

Ça vaut peut-être la peine, que peuvent représenter ceux utilisant l’héritage Unix de Mac OS en dehors des Dev Web d’un point de vue commercial ?

avatar BeePotato | 

@ YetOneOtherGit : « Ça vaut peut-être la peine, que peuvent représenter ceux utilisant l’héritage Unix de Mac OS en dehors des Dev Web d’un point de vue commercial ? »

Je ne sais pas et je m’en fous, vu que je n’ai jamais abordé cette question d’un point de vue commercial (ni montré le moindre intérêt à le faire), ne faisant que répondre à un passage d’un commentaire d’oomu qui présentait WSL comme un « gigantesque progrès » par rapport à Mac OS. Donc pour moi, ce n’est vraiment pas la peine de s’étendre plus que ça sur ce sujet.

avatar YetOneOtherGit | 

@BeePotato

"Je ne sais pas et je m’en fous"

Comprendre les enjeux de son fournisseur est rarement inutile 🤗

avatar BeePotato | 

@ YetOneOtherGit : « Comprendre les enjeux de son fournisseur est rarement inutile 🤗 »

Sans doute, mais ce n’était pas l’objet du petit bout de discussion (à peine une remarque, en fait) dans lequel je m’étais lancé en répondant à oomu. Ne partageant pas ton désir de faire évoluer le sujet vers autre chose, je m’arrête là.

avatar YetOneOtherGit | 

@BeePotato

Pas de soucis 🖖

avatar Glop0606 | 

C'est marrant comme je me retrouve dans vos propos. Je n'ai plus racheté de mac depuis aussi 2012: trop de choses soudées, trop de problèmes inutilement créer comme le fameux clavier papillon, trop de (non)compromis dans les ports ou dans la possibilité de mettre à jour son matériel, maintenant même contrôle total sur ce que je peux installer sur ma machine, etc...
Je suis toujours aussi admiratif d'Apple dans sa façon de mener ses projets et la persévérance qu'ils ont dans l'aboutissement de leurs produits (et qui sont excellents), cependant au quotidien je remarque que la cage dorée devient parfois étroite (pas d'Epix, de jeux streamés, bâton dans les roues pour des solutions comme spotify, etc...) et surtout ça peut être très honéreux.
J'ai reinvestit cette année dans mon ancien PC de 2012. Pour relativement peu d'argent, j'ai une machine à jour extrêmement puissante. Si on rentre dans les détails, c'est vrai que le PC est beaucoup plus complexe à maitriser qu' OSX mais vous savez quoi, à la fin j'ai appris plein de nouveaux trucs en recherchant sur Internet les réglages les plus appropriés, à quoi correspond les différents Secure Boot, TMP, et autres UEFI. Certains diront perte de temps ou geek, je dirai connaissance et maîtrise de l'outil que l'on utilise.

avatar kitetrip | 

Puisqu’on vous a prévenu que le macOS devient un joujou comme iOS...

avatar Al_Copett | 

Si tout ce que j'ai pu lire se concrétise, uniquement les applications venant de l'Apple store et de développeurs enregistrés seront exécutables.
Alors, je ne pense pas réinvestir dans un Mac, j'utilise des softs qui sont écrits par des développeurs non enregistrés, mais pas des guignols, pour mes hobbies aux quels je ne vais certainement pas renoncés. Donc, j'irai voir ailleurs après plus de 15 ans avec Apple, ils poussent vraiment le bouchon un peu trop loin. Toutes les machines sont fermées, pas de possibilités de changer un SSD vendu à des prix frôlant le racket ou la RAM. Vendre des machines, dont on ne peut pas utiliser toute la puissance du processeur, par ce que trop fines mais si "design". C'est beau, c'est cher, mais ça sert à rien, très peu pour moi.
Je laisse ça aux victimes consentantes d'Apple qui les plume, je n'ai pas des tendances SM.

avatar reborn | 

@Al_Copett

Tu va migrer sur quel OS du coup ?

avatar YetOneOtherGit | 

@Al_Copett

"Si tout ce que j'ai pu lire se concrétise, uniquement les applications venant de l'Apple store et de développeurs enregistrés seront exécutables."

Si toutes ce que tu as pu lire auquel tu veux bien donner crédit 😎

Tout ce qui est écrit en ligne est loin d’être parole d’évangiles 😉

avatar YetOneOtherGit | 

@Al_Copett

"C'est beau, c'est cher, mais ça sert à rien, très peu pour moi."

Pas de panique il y a moyen de vivre remarquablement ses activités numériques en dehors de l’écosystème Apple 👍

avatar BeePotato | 

@ Al_Copett : « Si tout ce que j'ai pu lire se concrétise, uniquement les applications venant de l'Apple store et de développeurs enregistrés seront exécutables. »

Je ne sais pas ce que tu as pu lire, mais si on s’en réfère à ce qu’Apple a écrit sur ce sujet dans sa documentation, ce n’est pas le cas (comme l’indique d’ailleurs l’article).

avatar oomu | 

reborn:

"Après si les gens n’ont pas une once de confiance en Apple ou Microsoft il faut passer à autre chose.."

et c'est exactement ça.

avatar zspy59 | 

Très bonne chose pour celles et ceux qui installent n’importe quoi sur leur machine sans réfléchir, mais pour les autres, c’est assez décevant 😏

Pages

CONNEXION UTILISATEUR