Craig Federighi admet que le Mac a un problème de malware
Après Phil Schiller, c'est au tour de Craig Federighi d'être interrogé dans le cadre du procès opposant Epic Games à Apple. Le vice-président en charge de l'ingénierie logicielle s'est attaché à défendre le « jardin fermé » d'iOS. En dégommant au passage Android… et le Mac.
Pour Apple, l'iPhone et iOS ont représenté une opportunité unique de repenser la sécurité informatique. « Les utilisateurs d'iPhone sont plus prompts à télécharger des applications que les utilisateurs de Mac ou de PC », soutient-il. La mentalité « il y a une app pour ça » se traduit par une hausse des vecteurs d'attaque, ce d'autant qu'iOS représente une cible très populaire.
« Le Mac est un produit à succès et je l'aime énormément, mais il y a dix fois moins d'utilisateurs Mac que d'utilisateurs iOS », révèle Federighi. Ce qui donne à la louche une centaine de millions de Mac dans le monde. Pour les malandrins, iOS est donc un marché très attractif…
Avec iOS, Apple a voulu créer quelque chose de beaucoup plus sécurisé qu'Android, qui en prend d'ailleurs pour son rhume : « Dans la communauté de la sécurité informatique, il est reconnu qu'Android a un problème de malware qu'iOS est parvenu jusqu'à présent à éviter ». iOS est aussi mieux sécurisé que macOS, à lire entre les lignes de la déposition de Federighi : « Aujourd'hui, nous avons un niveau de malware sur Mac que nous ne trouvons pas acceptable ».
« Malheureusement, nous avons un problème de malware significativement plus important sur Mac », ajoute-t-il en s'appuyant sur des données internes d'Apple. Est-ce à dire qu'il faut s'attendre à ce que le constructeur serre encore plus la vis sécuritaire de macOS, après Gatekeeper, la signature des logiciels, la notarisation ?
Cette menace logicielle explique la position d'Apple sur les boutiques alternatives (interdites) dans iOS et l'installation d'apps en dehors du canal officiel (sideloading). Une telle ouverture mettrait les utilisateurs iOS dans une « très très mauvaise situation », assure-t-il. Federighi file la métaphore automobile :
« Le Mac, c'est comme une voiture avec laquelle vous pouvez faire du hors piste et conduire où vous voulez. Si vous conduisez correctement et si vous obéissez au code de la route et si vous êtes très prudent, oui [un Mac c'est très bien]. Mais sinon, je connais des membres de ma famille qui ont eu des malwares sur leur Mac ».
Cette déclaration concernant la sécurité (toute relative si on comprend bien ?) du Mac risque de hanter Apple pendant longtemps. « Dans l'ensemble, je pense que le Mac peut être utilisé en toute sécurité », tente de rassurer Federighi. Avec l'iPhone et iOS, c'est différent. « Nous avons été capable de créer quelque chose que même les enfants sont capables d'utiliser en toute sécurité. C'est vraiment un produit différent ». On pourrait rétorquer que beaucoup d'utilisateurs iOS ne sont pas des enfants et qu'il ne serait pas hors de propos de leur laisser un peu plus de liberté, en toute connaissance de cause bien sûr.
@Paul Position
"Bref, comme d'habitude : wait & see."
Mon analyse est largement partagée sur toutes les analyse du marché et ce prospective.
Après on peut se tromper mais je suis plutôt confiant 😉
@YetOneOtherGit
" Après on peut se tromper mais je suis plutôt confiant 😉 "
Je souhaite que tu sois entendu !
Pour en revenir au marché saturé, bien sûr que l'on peut investir un marché différent et qui semble plus porteur, mais lorsque que j'évoquais ce point, c'était bien sur le seul marché du personal computer, et Apple y grappille quelques petits pourcentages depuis quelques années, en grande partie par le célèbre" effet halo" de l'iPhone, même si, je te l'accorde bien volontiers, cela reste marginal.
Mais cela n’empêche pas les acteurs de ce marché d'essayer de faire bouger les lignes en leur faveur, chacun de leur coté, car l'immobilisme, même sur un marché mature, mène à la catastrophe.
@Paul Position
"Mais cela n’empêche pas les acteurs de ce marché d'essayer de faire bouger les lignes en leur faveur, chacun de leur coté, car l'immobilisme, même sur un marché mature, mène à la catastrophe."
Quasiment pas où diable vois tu une initiative ambitieuse ayant eu des résultats visant à faire bouger les frontières sur le marché du logiciel pour ordinateurs individuels sur la dernière décennie ?
La position des diverses major est quasiment inchangée depuis longtemps 😉
« On pourrait rétorquer que beaucoup d'utilisateurs iOS ne sont pas des enfants et qu'il ne serait pas hors de propos de leur laisser un peu plus de liberté, en toute connaissance de cause bien sûr »
Ce passage me paraît un peu alambiqué.
« beaucoup d’utilisateurs » : une estimation ? à la louche ?
« ne sont pas des enfants » : comment on mesure ça ?
« Un peu plus de liberté » : lesquelles par exemple ? On s’arrête où ?
@Chris K
Enlevez-moi cette liberté bordel, ça s’arrête pluuuuuuuuus !!!!!
> « Dans la communauté de la sécurité informatique, il est reconnu qu'Android a un problème de malware qu'iOS est parvenu jusqu'à présent à éviter ».
1ière nouvelle, tous les malwares made in china qui trainent sur l'appstore n'existe pas. Tu nous en dira tant de mensonges craig. :)
D'ailleurs ça aurait été bien de mettre un lien faire l'article macg/igen du dèv qui avait fait passer avec succés un malware et qui s'est vu cloturer son compte dev quand il a annoncer qu'apple vérifie à moitié et qu'il avait fait ça pour démontrer que la fameuse sécurité du tout contrôlé pour + de sécurité c'est du pipeau. :)
Enfin le problème de malware de macOS n'est pas vraiment une surprise, on en entend parler régulièrement, alors que sur iOS rien de tout ça. Ça marche et puis c'est tout.
Très amusant ce procès EPIC/Apple,
Ces fameux 30% de rétrocession c'est quelque chose ! Ils vendraient pères et mères !
@pomme-z
Au delà de ça l’enjeu c’est la jurisprudence. C’est tous les autres environnements similaires qui sont concerné Playstation, Xbox, Nintendo..
@pomme-z
30% c'est le prix du travail de la "distribution" mondiale de ton App !
Combien, crois-tu, que les artistes payaient les maisons de disque ET distributeurs, afin que leur créations se trouvent en magasins ?
30 % ?
50 % ?
70 % ?
Perso, si je regarde la vidéo de Serge Gainsbourg brûler une billet de 500FF (Franc Français à l'époque), c'est plus proche du 70%…
Donc, "distribuer" une app est un travail qui mérite salaire ! Pour être au cœur de l'iPhone, avec validation des expert iOS, 30% me semble correcte !
Pour ceux qui veulent la liberté, il existe:
- Androids
- PlayStation
-Xbox
- Nintendo
-Raspberry Pi
-Linux
- Windows
- J'en oublie ?
@Crunch Crunch
"- J'en oublie ?"
iOS libre.
Le titre de l’article est un peu trompeur. Le sens de l’article serait plutôt « Craig Federighi admet que le Mac a un problème de malware afin de justifier les positions d’Apple sur ios ».
Un peu long, certes…
@DahuLArthropode
Ou : « dans l’optique de bientôt lui couper la chique »
C’est magnifique de voir Mickaël être d’accord avec le FBI et le gouvernement français. Créez des backdoors pour que ceux qui veulent et en ont besoin, puissent le faire. Tant pis si ça détruit la sécurité de l’ensemble. 👏👏👏
@MickaelBazoge
Moins que l’article. À moins bien évidemment de faire totalement abstraction de la technique, mais dans ce cas pourquoi écrire sur un site spécialisé ?
Là, c’est exactement ce que vous demandez. Pouvoir inscrire sur le disque comme vous le souhaitez. Et espérer que ce qui vous permettra de le faire ne sera pas détourné. Même logique, même demande, même résultat.
@Nesus
Il y a une nuance entre une ouverture rationalisée et encadrée du système (avec des outils comme Gatekeeper ou la notarisation) et une backdoor. Par ailleurs, même le jardin fermé d'iOS n'est pas exempté de malwares, via des systèmes détournés comme l'installation de profils.
@MickaelBazoge
Donc c’est bien ce que je dis. Dans votre esprit il existe une ouverture rationalisée. Même argument que le FBI ou notre état qui veut un black door. Les exemples que vous citez ne suffisent pas.
Et votre argument ultime, c’est : oui, mais c’est pas exempt. Donc on peut faire pire…
Non, c’est n’est pas exempt. Parce que même très fermé, il n’empêche qu’appel a besoin d’écrire et qu’il y a des malins pour détourner. Sauf que le canal d’entré étant très limité, c’est possible de le gérer.
Quant au certificat, c’est exactement le problème dont je parle. C’est la permission à un tiers d’écrire sur le disque et donc de trouver des moyens de détourner l’ensemble.
@Nesus
Je ne suis pas sûr de suivre le raisonnement. Et je ne vois toujours pas pourquoi demander une ouverture contrôlée équivaut à demander une backdoor 🤷
@Nesus
Euh personne ne demande accès à des données chiffrés ici..
@Nesus
J’ai du mal à comprendre votre dérive initiale: en quoi une ouverture limitée d’iOS revient à demander une backdoor ? Vous pouvez ré expliquer ?
@Patrick_C
Oui.
Ce qui fait la sécurité d’iOS, c’est simplement la limitation extrême que chaque programme peut faire. L’accès à l’écriture sur le disque n’est permise que par le système. Toute application qui veut le faire doit en demander la permission au système et ne peut le faire que dans son bac à sable. Pour le faire, elle doit avoir été certifiée (les fameux certificats) et garder son intégrité. De même que pour interagir avec le système, toute application doit utiliser des règles pré-définies appelée api. C’est ce mécanisme extrêmement limité qui fait la sécurité. Et uniquement lui. Sinon iOS aurait les mêmes problèmes qu’android ou macOS.
Demander un accès à travers cette protection pour pouvoir installer ce qu’on veut ; qui ne serait pas validé par le système, c’est créer la possibilité de fouiller et trouver une faille dans ce système. Ce que fait le jailbreak au passage.
C’est exactement le mécanisme que demande des gouvernements. Avoir des autorisations spéciales dans un système qui n’est pas prévu pour ça. On l’appelle communément backdoor pour définir la raison de sa création, mais du point de vu du système, c’est juste une faille potentiel, parce qu’elle a une autorisation supérieure ou égale au reste du système. Si vous donnez un accès à l’écriture, de facto, vous créez une backdoor. Certes personne ne la nommera comme cela, puisque qu’à la base elle n’aura pas vocation à espionner l’utilisateur sans qu’il s’en rende compte, mais ça sera exactement la même vulnérabilité et surtout, elle finira par devenir un moyen de détourner l’usage et l’outil de l’utilisateur, par le hacker. Aucun système n’est inviolable et vu le gain qu’il y aurait à hacker des appareils iOS, nul doute que ça serait encore plus le sport que cela est déjà.
Pour schématiser à l’extrême, ça revient à donner un accès administrateur à un utilisateur (en vérité, c’est plus complexe que ça, mais au bout du bout, ça revient à cela). Le problème, c’est que l’utilisateur qui n’y connaît rien sera bloqué, mais celui qui à les connaissances n’aura aucun mal à transformer son compte utilisateur en administrateur et il n’aura aucun mal à créer des applications qui feront de même. Ça peut-être une bonne chose pour ajouter des fonctions au système (ce qu’ont fait les kext pendant longtemps), mais c’est surtout un super vecteur pour un hack en bon et dû forme.
C’est d’autant plus absurde, que si vous voulez faire ce que vous voulez de votre téléphone, vous avez deux options. La première supportée par Apple. Vous vous payez un compte développeur et en adhoc vous pouvez faire exactement ce que vous voulez, même créer des api privées.
Sinon, vous avez le jailbreak, vous avez un accès ssh et rien ne vous arrête.
Ici on a la réclamation de bidouillers qui ne maîtrisent pas grand chose, mais qui voudraient jouer aux grands. Se moquant totalement de la théorie du taquet.
Ça ne poserait pas de problème si chacun pouvait choisir entre sa sécurité et le risque que crée l’ouverture. Sauf que mettre de mécanisme en place, c’est créer une vulnérabilité. Et l’immense majorité n’est ni capable de voir où est le problème, ni s’en prémunir.
Si ce n’est pas clair, n’hésitez pas.
@Nesus
Oula. On peut débattre sans porter de jugement ^^
Je ne suis pas d’accord avec Mickaël, mais ça reste de la discussion bon enfant. C’est plutôt sain d’avoir des avis divergents.
Il faudrait une étude de sécurité menée en bonne et due forme pour être catégorique sur le sujet. En l’occurrence, la seule menée montre qu’il y a une très grande majorité de malwares sur Android et peu sur iOS. Mais iOS touche aussi moins de monde. Ceci étant, macOS a plus de malwares que iOS alors que la base du système est la même. On n’a donc aucune certitude sur les causes, juste sur les conséquences.
Pour déterminer les causes, il faudrait étudier les vecteurs d’attaque des différents malwares. Là-dessus, on a des articles de presse, mais rien d’autre. Il faudrait une étude en bonne et due forme pour trancher.
Donc pour l’instant, on ne peut que débattre. En restant cool. Énervés, mais cool avec les gens. 😅
@FloMo
Tout ça existe, malheureusement pour l’avoir, il faut arrêter d’être fainéant et de se contenter de donner son avis parce qu’on pense qu’il est le bon. D’où mon énervement contre l’auteur. Et c’est vraiment à sa portée.
@Florent Morin
> Pour déterminer les causes, il faudrait étudier les vecteurs d’attaque des différents malwares. Là-dessus, on a des articles de presse, mais rien d’autre. Il faudrait une étude en bonne et due forme pour trancher.
L'avarice, la paresse intellectuelle, que certains grands groupes de la tech pousse à avoir, et le QI moyen des utilisateurs ? :)
https://media4.giphy.com/media/xT77XWum9yH7zNkFW0/giphy.gif?cid=5e214886...
@MickaelBazoge
D’ailleurs depuis le temps que vous nous pondez des articles avec votre partie pris visant à expliquer au monde entier que c’est uniquement pour faire plus d’argent, on attend toujours votre explication pour faire autrement. C’est pourtant pas ni le temps, ni l’exposition qui vous manque pour nous démontrer techniquement comment Apple pourrait faire autrement pour donner l’accès tout en conservant la sécurité. Bizarrement.
C’est encore plus drôle dans un article où il est clairement démontré que l’ensemble des mesures prises par macOS sont insuffisantes. Mais bon Craig ne sait pas de quoi il parle.
@Nesus
Désolé, je ne suis pas payé par Apple pour trouver des réponses techniques à leurs problèmes…
@MickaelBazoge
Dans ce cas, arrêtez à longueur d’article sur le sujet d’expliquer qu’il faut faire autrement, si vous ne savez pas comment. Vous êtes censé faire du journalisme donc du travail documenté pour expliquer la mécanique du système et ses limites. Pas pour donner votre opinion, tout en alimentant une illusion de système sécurisé et ouvert à l’installation de ce qu’on veut… Ouvrez un blog sinon.
Vous oubliez juste en permanence qu’il y a de vrais experts qui trouveront toujours la faille pour s’y engouffrer et plus vous ouvrez les porte et plus ils s’installeront chez vous. Et c’est ni votre niveau, ni le mien qui va l’empêcher.
Quant à Apple, iOS ont trouvé la solution. Solution qui en plus les aide à faire de l’argent. Mais j’ai bien compris, elle ne vous plait pas.
@Nesus
Merci pour la définition du bon journaliste 🤡 ! Je vais continuer à faire comme je l’entends.
@MickaelBazoge
"Je vais continuer à faire comme je l’entends."
Volontiers.
Je ne suis pas toujours d’accord avec tes positions, et c’est tant mieux.
Merci de continuer.
@MickaelBazoge
"Je vais continuer à faire comme je l’entends."
La part “opinion” du travail de MacGe reste très raisonnable et pour moi plutôt attachante.
Cela donne une identité et une coloration, plus encore avec des membres de la rédaction ne partageant pas exactement les mêmes positions.
Et nous sommes très loin des tropismes manichéens de bien de vos semblants de concurrents 👍🖖
@MickaelBazoge
Ça ne m’étonne absolument pas. Je n’avais absolument pas d’espoir de ce côté. Le jour où vous voudrez savoir de quoi vous parlez. Passer par Anthony Nelzin, demandez lui de vous mettre en contact avec le Toulousain devenu Senior Enginer Software chez Apple. Il vous expliquera la raison technique. Comme ça vous aurez la même source que moi.
@Nesus
Ohhhh si, il sait très bien de quoi il parle, le bougre 😵💫🤖🤑
@MickaelBazoge
Ahahahah ! Pan 💥
@Nesus
Vous ne comprenez pas ce qu’est une backdoor. Votre propos est un non-sens.
@minipapy
Ça doit être ça. Ou alors c’est vous qui n’avez aucune réflexion sur ce qu’est techniquement une Backdoor. C’est n’est pas parce que lundi vous appelez ça une porte, mardi une porte cochère et mercredi une porte cachée que ça en fait moins un point d’entrer et que ça fonction ne change. Mais bon, vous êtes content, vous avez répondu avant de réfléchir. Tout va bien.
@Nesus
Qu’Apple retire toutes ses API publiques et ferme complètement tout le système aux développeurs externes, les vulnérabilités existeront toujours, peu importe que le système soit ouvert ou fermé.
Vous me faites penser à ceux qui s’imaginent que parce qu’un code source est public, il est moins sûr. Le fait d’être propriétaire et privé ne sécurise rien. C’est même plus généralement le contraire.
@minipapy
Woaw, c’est beau de mettre autant de choses qui n’ont rien à voir dans le même panier pour me faire dire autre chose que mon propos en plus.
Excusez-moi, mais vu votre compréhension, je m’arrête là.
@Nesus
Ok, donc comme attendu, vous n’avez rien démontré.
Mais bon, au vu de votre 1er commentaire, je ne peux pas parler de déception ou même de surprise.
Bonne soirée.
"On pourrait rétorquer que beaucoup d'utilisateurs iOS ne sont pas des enfants"
Je pense que du point de vu des informaticiens et des spécialistes en sécurité la plupart des adultes restent des enfants en matière de sécurité informatique.
@macam
Oui. Mais ledit informaticien qui n’a pas accès aux outils dont il a besoin parce que le système qu’il utilise considère qu’il est lui-même un enfant, il fait comment ?
C’est tout le problème de ne pas avoir le choix.
@macam
Tout juste !
En entreprise j'en ai connu (des adultes) qui trouvaient le SI (Service Informatique) I compétant, car celui-ci leur interdisaient la liberté d'installer eux-mème les app 😅
@macam
Arf 😅 J’avais pas pensé à ça effectivement.
iOS est parfait !
Je ne VEUX pas plus de liberté, car je sais que celle-ci est au prix de contraintes BEAUCOUP TROP CHÈRE (et je ne parle pas d'argent !)
Le prix du "sauvage" est trop chère à payer, pour le proposer à tous !
Ceux qui veulent du "sauvage" n'ont qu'à acheter un Androïd ou mieux un PC, ou encore mieux un Raspberry Pi avec Ubuntu !
Le choix ne manque pas ! Ne venez pas détruire ce magnifique produit (et service) qu'a créé Apple avec l'iPhone, l'AppleWatch, l'iPad, etc !
@Crunch Crunch
Mais qu’est ce ça vous coute?
Si vous vous sentez utilisateur lambda, vous téléchargerez certainement les app les plus connues et qui suffiront à vos besoins.
À partir de là, je vois pas ce qui vous pousse à cliquer sur tout ce qui existe juste à ce que ce ça pète.
@Crunch Crunch
"iOS est parfait !"
Pour ton nombril, peut-être.
Mais je m’en fous de ton nombril. Le seul nombril qui importe, c’est le mien.
Et dans mon nombril, iOS est une grosse merde contrôlante et je rêve qu’ils soient forcé par la loi d’autoriser le sideloading bien profond.
Le truc génial, c’est que tu ne seras jamais obligé d’installer un truc par la tranche si tu préfères être contrôlé par Sa Sainte Pomme.
@Crunch Crunch
Deux affirmations qui posent question :
1. « iOS est parfait ! »
Entendez-vous par là spécifiquement iOS 14.5.1 ?
Si oui, est-ce que la version 14.6 à venir porterait atteinte à la perfection ?
Ou alors, est-ce que la perfection elle-même est perfectible ?
Sinon, voulez-vous dire qu'Apple devrait opérer un freeze définitif sur cet iOS parfait, afin de ne pas mettre en péril la perfection atteinte ?
2. « Je ne VEUX pas plus de liberté »
Est-ce que vous avez décidé de cela de votre libre arbitre ?
Si oui, et si cela implique que vous vous en remettez à votre libre arbitre, n'est-il pas antinomique de décider d'y renoncer ?
Sinon, quel est le juste degré de liberté acceptable pour votre sécurité ?
Et quelles contraintes êtes-vous prêt à accepter afin de ne pas subir plus de liberté, voire trop ?
Question subsidiaire : est-ce que l'incertitude quantique vous angoisse ?
@Crunch Crunch
> iOS est parfait !
Et non, absolument pas et au contraire ios est très imparfait. Même qu'apple le démontrera elle-même avec la prochaine mise à jour qui corrigera des trucs ou ajoutera des fonctionnalités copiées encore une fois sur android.
C'est con d'être trahï par son maitre quand on est un décérébré qui ne sait pas réfléchir par lui-même, hein ? :)
@Ecrapince
Au-delà d’être insultant, c’est faux.
(On peut débattre sans s’insulter)
Certes, iOS n’est pas parfait. C’est une évidence.
Après, ça peut être parfait en termes de ressenti. C’est autre chose.
Par contre, pour se copier, ils le font mutuellement.
L’exemple le plus récent est Android 12 avec ses fonctionnalités de respect de la vie privée directement pompée sur iOS 14.
Si on veut aller plus loin, Fushia (le futur Android) a carrément repris comme socle technique de ses apps LLVM au lieu de JVM : en gros, ça se rapproche techniquement de iOS.
Et si on fait un retour en arrière, les premiers Android copiaient les BlackBerry avec un vrai clavier physique.
Apple a aussi copié des trucs sur Android : je ne dis pas contraire.
Il faut aussi savoir que les 2 géants travaillent régulièrement ensemble pour l’apprentissage automatique (support de Core ML dans TensorFlow) ou pour la sécurité (TLS 1.3).
S’il y a concurrence, elle est aujourd’hui plutôt saine. Les équipes se parlent. Et après, chacun fait à sa sauce, pour ses utilisateurs.
Par contre, si on préfère le side loading, ça pourrait bloquer tôt ou tard car Android bloque de plus en plus l’installation manuelle d’APK du fait de la prolifération de malwares. On l’a vu en 2018 quand Fortnite est passé au side loading : plein de faux Fortnite qui étaient en fait des malwares se sont propagés. Et Google a bien réagi en renforçant la place de Google Play.
Pages