Gatekeeper : des satisfecit teintés de prudence

Florian Innocente |
Plusieurs développeurs ou spécialistes reconnus en sécurité ont réagi à l'annonce de Gatekeeper dans Mountain Lion. Ce système qui permettra de réduire les risques de nuisance et de propagation des malware dans OS X (lire aussi Gatekeeper : le garde-chiourme de Mountain Lion). L'accueil est généralement favorable chez ces professionnels interrogés par CNET, Macworld US ou à la lecture du blog de Panic Software. Panic justement qui avait été secrètement convié par Apple il y a une semaine à venir découvrir cette nouvelle fonctionnalité.



L'appréciation générale est qu'Apple va dans la bonne direction et qu'elle a choisi une solution équilibrée. Elle prend aussi à bras le corps le problème des malwares en s'appuyant sur son expérience avec iOS «Ils font preuve d'anticipation en observant que les logiciels malveillants pourraient être un problème pour Mac OS X» explique Charlie Miller, chercheur en sécurité reconnu dans son domaine «C'est vraiment la seule solution à long terme vis-à-vis des logiciels malveillants. Ils ont vu, avec iOS, que l'approche par le verrouillage fonctionne, et pour la plupart des gens ça ne pose pas de problème. J'ai le sentiment qu'ils essaient maintenant de faire évoluer OS X vers le modèle de sécurité d'iOS et c'est à mon avis intelligent de leur part».

Sur le fait de devoir signer son application, certains développeurs interrogés expliquent qu'ils le faisaient déjà, cela ne changera donc pas grand-chose. Si ce n'est que là c'est Apple qui fait office d'autorité et qu'elle pourra décider du sort d'un éditeur.

Il faut toutefois rappeler que Gatekeeper n'est pas une solution miracle pour éviter tout malware. OS X ne vérifiera que les applications obtenues via Internet. Pas celles récupérées depuis un volume externe. De même, à partir du moment où l'application a été lancée une première fois, si après coup elle vient à être identifiée et déclarée comme étant un malware (OS X vérifiera quotidiennement auprès des serveurs d'Apple une liste noire des certificats révoqués), son exécution ne sera pas bloquée pour autant. Mais elle pourrait être supprimée à l'occasion d'une mise à jour système.

Il est également possible de lancer une application non signée de manière ponctuelle sans changer de mode, par le biais d'un clic droit dans le Finder. Détail, lors du lancement pour la première fois d'une application au certificat révoqué, le bouton par défaut dans la boîte de dialogue proposera de mettre le logiciel à la corbeille…

L'inquiétude - prudente car il ne s'agit que d'hypothèses - qui revient le plus souvent dans les témoignages est qu'Apple pourrait restreindre à terme le cadre des applications pouvant être lancées. Dans Mountain Lion on a trois options pour autoriser l'ouverture d'un logiciel : uniquement les logiciels du Mac App Store ; les logiciels du MAS ou ceux obtenus hors du MAS mais signés et enfin, n'importe quel logiciel. Par défaut la seconde option sera cochée.

Mais Apple pourrait un jour n'autoriser que les applications du Mac App Store. On n'en est pas encore là toutefois, et Panic raconte que durant la présentation de Gatekeeper, Apple a pris soin de souligner l'importance à ses yeux de la communauté des développeurs, ceux présents sur le MAS, comme les autres. Le fait qu'elle propose plusieurs scénarios de lancement des applications et des méthodes d'y déroger dénote d'ailleurs une réelle flexibilité.

Toutefois, des décisions sans fondements techniques particuliers laissent aussi à penser que la route du Mac App Store est tout de même amicalement montrée aux développeurs. Le fait par exemple que la compatibilité avec le Centre de notifications et la synchronisation des documents avec iCloud ne sera possible que pour des logiciels distribués via le MAS. Apple, lors de cette réunion avec Panic, n'a pas souhaité dire s'il en irait autrement une fois l'OS finalisé.

Enfin, Apple pourrait aussi changer l'option par défaut et retenir la première option, celle qui n'autorise que le lancement d'applications du MAS. Rien n'empêcherait l'utilisateur de modifier ce réglage pour un autre plus souple, mais d'aucuns, chez les débutants par exemple, hésitent justement à toucher les réglages systèmes…

Pour l'heure c'est donc plutôt un satisfecit teinté d'un peu de prudence qui se dessine, l'avenir dira comment évolueront les choses. D'autant que plusieurs questions restent encore sans réponses. Sur des points techniques ou sur la question de savoir si Apple élargira la menace d'une révocation des certificats à des logiciels n'entrant pas dans la catégorie des malwares, mais dont le contenu (litigieux) ou la nature (hack systèmes) l'indisposerait.

L'un de ces développeurs en tout cas se prenait à rêver que le modèle de sécurité retenu pour OS X fasse école sur iOS, c'est-à-dire qu'Apple donne le choix entre installer des apps validées par ses soins et donner le champ libre pour installer aussi les autres, avec ce même procédé de signature n'obligeant pas à une validation et distribution sur l'App Store.

avatar Mathias10 | 
@macge J'ai lu sur Korben que justement, la deuxième option était cochée par defaut, ce qui comme la souligné korben possera beaucoup de problèmes pour les logiciels non signés dont les mamies (et nuls en info) verront l'installation leur être refusée.
avatar havox79 | 
T'inquiète pas je ne pense pas que mamie installera des apps non signé va !
avatar SolMJ | 
Je vois déjà la collectif des mamies libertaires manifester dans les rues pour le droit d'installer des applis non-signés sur leur Mac... Restons sérieux. J'ai lu l'article de Korben, c'est un beau troll velu là...
avatar Anonyme (non vérifié) | 
Perso, c'est plutôt une bonne chose et meme une très bonne. Le seul problème c'est que Apple n'en profite pas pour du même coup limiter ce que l'on pourra installer.
avatar toucan39 | 
Pourquoi toujours prêter à Apple de noirs dessins.
avatar domd | 
Faudra un jailbreak de Macos spécial mamies ...
avatar Anonyme (non vérifié) | 
Pour faire simple, sur iOS et son iPhone a part le store Apple on a pas trop le choix, par contre sur OSX quid des appli que l'on a soit même compilé? Des appli téléchargées soit même sur d'autres site? La est réellement le problème.
avatar SolMJ | 
[quote]Pourquoi toujours prêter à Apple de noirs dessins.[/quote] Parce que ça fait du click.
avatar LossId | 
@ toucan39 : une question se termine par '?' :) Tant qu'il y'aura des logiciels comme la suite CS5.5 (bientôt 6) qui ne passeront pas par le MAS, alors Apple ne pourra pas se limiter qu'à son magasin. Et même si cela arrive un jour, je pense que la scène underground se mettra en route. Sinon, beaucoup de switch se mettront en route...
avatar Jymini | 
@RobRiv C'est absolument faux. Il est possible d'installer une app sur iOS hors AppStore et sans jailbreaker ! Comment crois tu que font les entreprises qui distribuent une app à usage interne à leur milliers d'employés ? L'installation se fait via un simple site web et un profil d'approvisionnement. Ca revient à télécharger l'app depuis une page web. Mais rien n'empêche de le faire soit-même pour une app que l'on ne veut pas commercialiser sur l'AppStore et distribuer de manière massive. Exemple pour les developpeurs qui veulent distribuer une beta à + de 100 personnes, avant mise sur l'AppStore, sans se fatiguer à mettre en place eux-même la page web, il existe des services gratuits qui le font comme testflightapp.com
avatar lukasmars | 
"Pourquoi toujours prêter à Apple de noirs dessins." Parce que Apple veut appliquer sur OS X la même fermeture que sur iOS, donc n'autoriser que les applis du store.
avatar bugman | 
Bon (soupir)... doucement mais surement...
avatar denmakesmusic | 
Le danger à terme pour moi est celui-ci : l'impossibilité pour un développeur de créer un logiciel et de l'installer sur SA machine sans s'acquitter de l'abonnement payant annuel. @Jymini la possibilité de distribuer une app en interne est réservée aux grandes entreprises (+500 personnes il me semble) via un abonnement spécial (et + cher). Il reste vrai qu'un développeur ne peut pas installer SON app sur SON iphone sans payer... C'est pour moi un verrouillage totalement arbitraire qui cadre bien avec les nombreuses décisions arbitraires d'Apple, et j'en suis à mon 5ème Mac mais rien n'est acquis d'un côté comme de l'autre.
avatar Jimmy_ | 
Si le dernier paragraphe pouvait devenir réalité dans iOS 6 ça serait très bon mais ça sent plus la fermeture de feu le Mac à terme.
avatar Mathias10 | 
@solmj Tu ne comprend vraiment rien...et je n'ai meme pas envie d'expliquer...bref
avatar apenspel | 
Ça sent surtout la mise à l'écart des applications crackées, open source, bidouillées pour outrepasser les bridages (iBooks Author qui fonctionne bien sous 10.6.x), tout ce qui n'entre pas dans le schéma commercial que Apple cherche à imposer. Il m'étonnerait que Flash ait droit à sa signature digitale, par exemple.
avatar Augustin Caron | 
@ [b]mathias10[/b] Sur ce coup Korben est plutôt neuneu. Les mamies sont rarement des nerds de première bourre qui souhaitent installer des applis Unix exotiques et ultrasophistiquées sur leur babasse, fût-elle pommée. Et s’il en est une, elle trouvera sans problème le bouton où cliquer et la case à cocher pour le faire.
avatar Augustin Caron | 
@ [b]mathias10[/b] Au temps pour moi. Peut-être est-ce que Korben voulait dire que l’ennui avec les mamies nulles en info c’est qu’on allait avoir du mal à pourrir leur ordi avec des virus ou chevaux de troie prévus pour voler leur numéro et leur code secret de carte bancaire et que c’était bien gênant ?
avatar Woaha | 
Il faut boycotter le MAS. Il est évident qu'Apple cherche à contrôler un maximum les applications Mac en rendant le MAS de plus en plus indispensable pour les distribuer.
avatar lukasmars | 
Avec le MAS obligatoire, Apple contrôle à la fois les developpers et les utilisateurs, plus une commission de 30% sur les applis payantes Elle serait con de pas le faire , c'est tout bénef ! Le pire dans tout ça, c'est que les gens sont demandeurs puisqu’on leur promet plus de sécurité.
avatar toucan39 | 
Gatekeeper donne les 3 choix . Toute personne qui crée un programme peut l' installer sur sa machine et celles qu' il contrôle . Le MAS est fait pour faciliter la vie de plus de 80% des utilisateurs et hésiter les malwares.
avatar Trollolol | 
"«Ils font preuve d'anticipation en observant que les logiciels malveillants pourraient être un problème pour Mac OS X» explique Charlie Miller" MASTER OF THE OBVIOUS... Les logiciels malveillants pourraient être un problème, c'est vrai ? Sont pas la pour améliorer et étendre les capacités de la machine ? :o Ils anticipent rien du tout, MS à négliger cette partie et XP en a fait les frais, tout le monde le sait. Faut être con pour dire qu'ils "anticipent" alors que ça fait 10ans qu'on connait le problème et ses conséquences. J'pensais pas Mr Miller capable de sortir un truc comme ça... Think different, qu'ils disaient chez apple. xD
avatar SolMJ | 
@mathias "@solmj Tu ne comprend vraiment rien...et je n'ai meme pas envie d'expliquer...bref" Oui tu es un génie incompris... Comme c'est pratique.
avatar Orus | 
Mon Macintosh il est à moi, je l'ai acheté (à vil prix). Et je ne vois pas pourquoi j'accepterai que M. Apple et ses actionnaires, décident d’effacer sur mon ordi tel ou tel logiciels qui ne leur plairait plus ! Je veux pouvoir installer ce qui me plait et quand cela me plait. Je n'ai pas besoin d'un avis paternaliste ni de conseils. Quand je vois la naïveté de certains ici, ça fait peur; vous êtes mûrs pour big brother.
avatar SolMJ | 
Si Apple supprime le logiciel c'est parce que tu le lui auras demandé via Gatekeeper... Arrêtez d'extrapoler !
avatar lolopb | 
@Jymini : 'Comment crois tu que font les entreprises qui distribuent une app à usage interne à leur milliers d'employés ? L'installation se fait via un simple site web et un profil d'approvisionnement. Ca revient à télécharger l'app depuis une page web. Mais rien n'empêche de le faire soit-même pour une app que l'on ne veut pas commercialiser sur l'AppStore et distribuer de manière massive.' Oui, il y a le programme de développement entreprise pour les apps dites "in-house". Le programme coûte 299$/an et permet effectivement d'installer des apps sur iOS sans passer par le store. Mais, car il y a un mais, le programme interdit explicitement de fournir les apps à des personnes étrangères à la société, même des clients, c'est un usage interne à l'entreprise. Donc non on ne peut pas profiter de ce programme pour distribuer comme on veut à la planète entière. À noter que dorénavant le programme n'impose plus de nombre minimum d'employés comme auparavant.
avatar SolMJ | 
@ Trollolol "MASTER OF THE OBVIOUS... Les logiciels malveillants pourraient être un problème, c'est vrai ? Sont pas la pour améliorer et étendre les capacités de la machine ? :o" Ce que veut dire Miller c'est que les malwares pourraient être un problème pour Apple dans l'avenir (ce qu'ils ne sont pas aujourd'hui car il n'y en a pas (à une ou deux exceptions très spécifiques)). Enfin je suppose que tu avais très bien compris mais comme la plupart des troll tu as un don pour détourner les paroles des autres de leur sens initial...
avatar fantomx6 | 
"Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l'une ni l'autre et finit par perdre les deux" [b]Benjamin Franklin.[/b] Apple nous laisse sur le carreau avec ses applications "PRO" (Aperture, Logic, iWorks, et j'en oublie) qui évoluent très (trop) peu. La concurrence n'a pas encore décidé de se tourner vers l'App Store (Cubase, Ableton Live, Reason, Presonus Studio One, Microsoft Office,etc...) C'est le debut de la fin pour les "PROs" et cela confirme avec ce nouvel OS que ces derniers pourront aller se faire voir ailleurs. D'autres secteurs utilisent les produits Open Source et eux aussi sont dans le collimateur. Apple est-il en train de devenir un vendeur de iBidule ?
avatar elbacho | 
@mathias10 Le réglage par defaut est celui qui de la copie d'écran, soit [b]n'importe où[/b] Mais pour pouvoir dire du mal il faut faire croire le contraire, c'est le principe de toute propagande
avatar Mabeille | 
@SolMJ oui tu ne comprends pas le sens de l'article alors c'est un troll... j'aime bien ce genre de raisonnement je m'en vais l'appliquer de suite ... j'ai lu ton commentaire, c'est un beau troll velu là...
avatar negaca | 
Je suis peu être un idiot, mais la sécurité que nous promet Apple est quand même assez rassurante ! C'est pas le cas aujourd'hui, mais utiliser son ordinateur en toute sécurité sans se poser de questions comme un gros neuneu, c'est confortable mine de rien ! J'ai autre chose à faire de mon temps que de savoir si tous mes logiciels sont "secure" et si le MacBook peut contenir toutes mes infos sensibles, sans avoir à s'inquiéter d'un logiciel ultra exotique et en restant prudent = tout benef' Ouais, big brother, et alors ?
avatar Trollolol | 
@negaca "mais utiliser son ordinateur en toute sécurité sans se poser de questions comme un gros neuneu, c'est confortable mine de rien !" Tu peux aussi choisir la solution d'être mis en coma artificiel, être un légume qui ne se préoccupe de rien c'est confortable mine de rien ! :) "Ouais, big brother, et alors ? " http://www.youtube.com/watch?v=OYecfV3ubP8 ? Ca promet monts et merveilles et ça copie le grand méchant de l'époque. On sais pourquoi 1984 n'a pas été comme 1984, z'ont décider de changer l'année pour faire passer la pillule x)
avatar SolMJ | 
@Mabeille Ce que vous ne comprenez pas c'est que GateKeeper n'est pas plus intrusif qu'un bête firewall mais intégré à l'éco-système Apple, donc simplifié (3 règlages possibles). Dans tous les cas vous êtes libres de l'utiliser ou non. Si ça peut permettre à certaines personnes non techniciennes d'utiliser leur Mac en toute sécurité sans rien craindre de l'extérieur, pourquoi pas. Le reste n'est que supputation, point barre. J'utilise un OS pour ce qu'il est aujourd'hui et pas pour ce qu'il sera hypothétiquement dans mon esprit paranoïaque dans 10 ans. Mais ça c'est difficile à comprendre pour certains... Si un jour Apple pête les plombs et m'empêche sans moyen de configurer dans les options d'installer une quelconque application, et bien j'irais voir ailleurs c'est tout ! Tout ce foin aujourd'hui pour quoi... ?
avatar Trollolol | 
@SolMJ "Tout ce foin aujourd'hui pour quoi... ?" Pour éviter une dérive. Si les gens prennent de mauvaise habitudes maintenant, quand apple passera au niveau supérieur il sera trop tard. Les gens considèreront ça comme normal et la perte de contrôle ne sera pas au profit de l'utilisateur. L'exemple du libre est un bon exemple, si stallman et co n'avait rien fait et juste accepter, bah on aurait pas un monde comme il est aujourd'hui et avec le règne des sociétés privée on payerais pour le moindre ajout, voir la moindre màj puisqu'il n'y aurait aucune alternative à leur systèmes privateur détenant 100% des pdm desktop comme server et un IE6 like serait toujours à +95% de pdm.
avatar SolMJ | 
@Trollolol Sauf qu'aujourd'hui il y a justement des alternatives, si Apple applique un système similaire à celui d'iOS (à savoir interdiction ferme d'installer une application qui ne provient pas du store officiel) ils savent très bien que toute la communauté de développeurs Macintosh va se révolter... C'est vraiment pas dans leur intérêt. Pour moi ils cherchent à faire cohabiter le meilleur des deux mondes, à savoir la sécurité restricitve d'iOS pour ceux qui le veulent et la liberté d'un ordinateur classique pour les autres. Gatekeeper est la réponse parfaite à cela. Stop la parano. Et pour ceux qui ne seraient pas content, il y a Windows, Ubuntu, etc... allez voir ailleurs et cessez de nous les briser à chaque mise à jour d'OSX sur des faits qui n'existent que dans votre cerveau :)
avatar Trollolol | 
@SolMJ "C'est vraiment pas dans leur intérêt." Sisi, ne vendre que des apps depuis l'appstore avec leur 30% sur chaque ventes, c'est clairement dans leur intérêts financier de limiter l'install aux applis de l'appstore :) Et les dévs ne diront rien si ça peut leur apporter encore plus d'argent. Si l'appstore est le seul moyen pour obtenir du software ils pourront augmenter leur prix, les users n'auront pas d'autres choix que de payer. Si tu penses qu'on est parano, toi t'es vachement naïf :)
avatar SolMJ | 
Ça reste de la masturbation intellectuelle. J'utilise un système qui me convient actuellement : OSX. Le jour où il ne me conviendra plus (si ce jour arrive) je changerais. Il ne s'agit pas de naïveté mais de pragmatisme. Rien d'autre à dire.
avatar Mabeille | 
@SolMJ oui le gars se jette du 20 eme et dit jusqu'ici tout va bien...et pourtant la direction de la chute ne prévoyait rien de bon. App store rien a dire contre si ce n'est qu'Apple mise de plus en plus dessus... jusqu'ici tout va bien ... on verra après ML.
avatar imacophil | 
90% des malwares se situent entre le clavier et la chaise!
avatar lmouillart | 
@SolMJ quand dans dix ans tu auras dépensé 4000€ en films (fourchette basse), 4000€ en livres, 1000€ en apps tu iras voir ailleurs en jettant tout à la poubelle (puisque illisbile ailleur), ou tu te diras tiens j'aurais du dire à mon constructeur que cela ne me plaisait pas tellement sa stratégie d'hyperverouillage. C'est un OS pour grand publiques il y a plus de cryptage et de verrou dans tous les sans que ce que j'ai pu voir dans n'importe quel grosse entreprise, sauf ceux qui ont des OS. Si Apple voulait vraiment améliorer la sécurité des utilisateur de l'OS elle augmenterait le niveau de certification "Orange Book" de l'OS plutôt que de mettre des verrous sur lesquels elle seule procède les certificats racines.
avatar joneskind | 
@orus " Quand je vois la naïveté de certains ici, ça fait peur; vous êtes mûrs pour big brother" Pour le moment tu peux faire ce que tu veux de ton Mac alors arrête un peu tes procès d'intention deux secondes. Quand on devra Jailbreaker nos Mac, tu pourras switcher. Gatekeeper n'est en l'état qu'une solution pour se prémunir des malwares, exactement comme le firewall. Activable à volonté.
avatar Marc-Alouettes | 
"OS X vérifiera quotidiennement auprès des serveurs d'Apple une liste noire des certificats révoqués" Pourvu que cela soit VRAI et que l'on soit prévenu des merdes qui ne soient pas 64 bit clean et que l'on aurait pu installer par inadvertance. -------------------------------------------------------------------------------------------- @apenspel; "Il m'étonnerait que Flash ait droit à sa signature digitale, par exemple." Puisses-tu dire vrai car, pour moi, Flash est un malware. (mon iMac de 2006 ne le supporte plus) --------------------------------------------------------------------------------------------- @lukasmars: "Avec le MAS obligatoire, Apple contrôle à la fois les developpers et les utilisateurs, plus une commission de 30% sur les applis payantes" Autrement dit : Apple permet à des milliers de développeurs de bien gagner leur vie (70% des transactions) en faisant en sorte que les utilisateurs de leurs applis soient sécurisés gracieusement. (Merci qui ?) ---------------------------------------------------------------------------------------------- @fantomx6: "Apple est-il en train de devenir un vendeur de iBidule ?" Ce que tu appelles un iBidule est, en réalité, " la fin des Camions" annoncée par S. Jobs il y a quelques années. ---------------------------------------------------------------------------------------------- @SolMJ: "J'utilise un OS pour ce qu'il est aujourd'hui et pas pour ce qu'il sera hypothétiquement dans mon esprit paranoïaque dans 10 ans. Mais ça c'est difficile à comprendre pour certains..." D'autant plus difficile que les "certains" dont tu parles ne jurent QUE par Windows 8 qui n'existe pas encore

CONNEXION UTILISATEUR