Sécurité : dans macOS Mojave, un notaire pour arrêter les frais

Anthony Nelzin-Santos |

Avec macOS Mojave, Apple renforce encore son édifice sécuritaire, véritable citadelle de Vauban informatique. L’accès au micro et à la webcam est désormais conditionné, comme l’accès à la localisation ou aux photos, au consentement explicite de l’utilisateur. La base de données de Mail, l’historique des messages, les données Safari, ou encore les sauvegardes iTunes et Time Machine, sont désormais hors de portée des applications. Des applications de plus en plus contrôlées, au point qu’elles devront bientôt… passer devant le notaire.

Ce n’est pas une blague : l’Apple Notary Service est un nouveau système de certification des applications. Il vient prolonger le système du Developer ID, sorte de carte d’identité numérique du développeur. Seules les applications signées avec un certificat Developer ID peuvent être installées avec les réglages par défaut de Gatekeeper, et utiliser certains services comme CloudKit et les notifications push.

Un développeur crée des malwares ? Son certificat peut être révoqué, auquel cas ses applications ne peuvent plus être lancées. Une option « nucléaire », qui n’est plus nécessairement adaptée aux menaces récentes. L’infection de Transmission l’a prouvé : des applications tout à fait légitimes peuvent être corrompues à l’insu de leur développeur. Plutôt que le certificat du développeur, il faudrait pouvoir révoquer le certificat de l’application.

C’est précisément la raison d’être de l’Apple Notary Service : c’est une précaution supplémentaire, qui vérifie la présence de malwares avant de signer l’application, alors considérée comme « certifiée »1. Chaque application, et même chaque version de l’application, possédant une certification différente, la révocation d’un certificat peut désormais être chirurgicale. Le développeur est identifié, l’application est certifiée, l’utilisateur est rassuré.

L’Apple Notary Service est lancé en bêta avec macOS Mojave, qui vérifiera la certification et s’assurera de l’absence de malwares, et bloquera les applications malveillantes le cas échéant. Mais Apple veut aller vite : les développeurs devront faire certifier leurs applications dans le futur. Une prochaine version de macOS refusera purement et simplement d’exécuter les applications qui ne sont pas certifiées.


  1. Ou « notariée », si l’on voulait calquer sur l’anglais notarized app.

avatar bidibout (non vérifié) | 

Ça fonctionne de la même façon pour la validation des apps iOS ?

avatar stemou75 | 

Ça et le retour des Microsoft ou Adobe sur le Mac App Store, ça sent le Mac App Store obligatoire dans quelques temps .....

avatar byte_order | 

Mais nan, impossible quand j'évoquais ce risque de verrouillage de la distribution d'apps pour macOS y'a quelques temps, on me traitait de parano.

Sous couvert de sécurité accrue, Apple prépare bien tranquille la mise sous monopole exclusif de la distribution d'applications pour macOS, tout comme pour ses autres plateformes fermées.

avatar reborn | 

Pourtant Federighi affirme le contraire

Right now Mac developers can distribute their apps on the web and avoid Apple's fee structure. Will developers have the same level of control if they're creating a macOS app from an iOS app?

Federighi insisted that how an app is distributed and how much it costs will still be up to the developer.

https://www.wired.com/story/wwdc-2018-federighi-ios-apps-on-macos/

avatar Yacc | 

@byte_order

La grosse niche des dev web sur Mac fait que je ne crois peu à un système non désactivable.

avatar reborn | 

Ce sont les apps hors mac AppStore mais certifié par un compte dev Apple qui sont visé. Genre Transmission dont le certificat a etait révoqué par Apple lors des derniers soucis.

Une app hors MAS disposant d'un certificat n'a pas besoin d'avoir son execution confimé dans l'onglet securité de l'application réglage grace à ce certificat. Maintenant ces apps (ex Transmission) devront obligatoirement passé par le service notaire d'Apple lors d'une prochaine mouture de macOS.

Il ne s'agit pas d'un service app review comme sous iOS, et aucune ligne de conduite n'est imposé. Serait-ce un genre de virustotal.com qui attribue un certificat si l'app ne contient pas de code malicieux ?

Une app sans aucun certificat, ni lié à un compte dev apple et bien sur distribué en dehors du mac app store devrait pourvoir continuer à s'executer en confirmant son lancement dans l'onglet securité de l'app réglage.. ?

Voila soit j'ai bon, soit je raconte de la merde ?‍♂️

avatar BeePotato | 

@ reborn : « Voila soit j'ai bon, soit je raconte de la merde ?‍♂️ »

Non non, ce n'est pas de la merde — c'est tout bon. Une simple évolution du service actuel de signature pour les applications distribuées hors App Store, avec maintenant une granularité plus fine.

Mais évidemment, dit comme ça, ça ne colle pas avec le délire paranoïaque de certains ici. :-)

avatar C1rc3@0rc | 

@byte_order

C'est vrai que cette menace que l'on fait remarquer depuis des annees tend a s'instaurer progressivement et sournoisement, comme le crabe cuit a son insu dans la casserole...

Deja avec MacOS 10.12 l'option d'autoriser d'installer toutes les applications a simplement disparue. Maintenant c'est App Store ou App Store et developpeurs certifiés.

Certes on peut - encore pour le moment - passer par le terminal, mais il s'agit bien d'une fermeture et perte de fonction que tu décris.

Comme l’évoque @Stemou75 aujourd'hui - je l'avais aussi evoqué des la fin de la keynote - que les gros comme Microsoft et Adobe arrivent sur le Mac App Store laisse effectivement penser que l'installation d'applications pour l'utilisateur normal ne sera plus possible hors Mac App Store.

Maintenant il y a quelques commentaires a faire sur l'article:

«Avec macOS Mojave, Apple renforce encore son édifice sécuritaire, véritable citadelle de Vauban informatique. L’accès au micro et à la webcam est désormais conditionné, comme l’accès à la localisation ou aux photos, au consentement explicite de l’utilisateur. »

Deja on peut se dire: mais pourquoi cette fonction qui existe depuis des annees dans Android n'a pas ete realisée plus tot dans MacOS (en fait depuis l'apparition de Gatekeeper et SIP?)

En fait ce qui est remarquable c'est qu'Apple semble avoir changé de stratégie de sécurité.
Depuis Getekeepr, Apple prenait le contrôle de tout, considérant l'utilisateur comme un neuneu primaire.
Cette stratégie est un échec, donc Apple se met a faire comme les autres et définit un niveau de compétence pour un utilisateur actif dans la sécurité. C'est un énorme progrès.
Reste a intégrer l'usage des droits Unix dans cette stratégie et imposer la création de 2 comptes lors de l'installation de MacOS - 1 administrateur et 1 utilisateur - et de reserver les taches d'administrations au seul compte administrateur.

«La base de données de Mail, l’historique des messages, les données Safari, ou encore les sauvegardes iTunes et Time Machine, sont désormais hors de portée des applications.»

Ça et la suppression de Facebook et Twitter de l'OS ce sont des choses rationnelles dont qui posent la question du niveau d’incompétence des responsables securités en poste précédemment.

Tous ces éléments sont des évolutions bienvenues face aux aberrations que nous sommes plusieurs ici a dénoncer depuis des années.
Bon Apple a fini par entendre et reconnaître ses aberrations, mais que de temps perdu.

Reste maintenant l'autre gros chantier: sécuriser les fonctions cloud.
Et la pas d'alternative possible: tout ce qui peut potentiellement sortir de la machine doit être chiffré par défaut. A
ujourd'hui ce n'est pas le cas et les applications de tiers n'ont pas d'obligation de chiffrer leurs données qui peuvent se retrouver dans le cloud d'un rien. Il faut qu'Apple impose un système de chiffrement systématique de bout en bout.

avatar reborn | 

@C1rc3@0rc

Deja on peut se dire: mais pourquoi cette fonction qui existe depuis des annees dans Android n'a pas ete realisée plus tot dans MacOS (en fait depuis l'apparition de Gatekeeper?)

Remplace Android par iOS stp ?

Bien joué t’as essayé de faire passer ça en douce, genre encore un truc pompé chez la concurrence alors que depuis iOS 6 les permissions existent..

Apple a changé de stratégie

Non ils continuent sur leur lancé, par contre toi tu change de discours tout le temps en enfonçant des portes ouvertes

avatar C1rc3@0rc | 

@reborn

«Bien joué t’as essayé de faire passer ça en douce, genre encore un truc pompé chez la concurrence alors que depuis iOS 6 les permissions existent..»

Merci de rappeler qu'Apple a mis 5 ans pour porter cette fonction depuis iOS dans MacOS...

En fait en terme de date Apple et Google ont pompé sur les hack proposés par le jailbreak et les fork d'Android comme CyanogenMod...
Sinon la gestion des permissions d’accès aux ressources (micro, SD card, achats in-app ...) est apparue dans la 4eme version d'Android qui incluait aussi le multi-sessions, les comptes restreint (oui comme sur Linux et MacOS).

avatar maximejf | 

Bon il reste toujours Xcode et build. Apres, Xcode pourra faire sa crieuse pour compiler. Mais, je crois que le point tout simple, c'est le choix.
Il ne faut pas oublier, que pas mal de monde, transforme sa machine en poubelle ou la caverne à Ali est digne d'une épicerie. Et ça chipote. Mais ce sont des utilisateurs qui ont une connaissance zéro, car ils s'en foutent. Ils sont tout heureux de déléguer une taches ou des taches qui demandent du temps, des essais, ... certains sont justes heureux que ça marche. Apres quoi comment, ça touche une sans faire bouger l'autre. Et c'est une position qui doit se respecter, bien que débile, mais... tempus fugit !! A mes yeux c'est assez debile de passer du temps devant ses écrans sans comprendre ce qui se passe.
Mais, ils pourront dire pareil pour un autre domaine....
Apres ceux qui vont plus loin, ça sera une ligne de plus dans le terminal. amen.
Et les utilisateurs nul sont bien pour la vente. L'essai de la nouvelle machine dans l'apple store, est juste merveilleux, ça va vite, blabla.... évidement qu'il n'y a pas les brouettes de merde a trimbaler. mais... Et ça, cette ignorance, elle remonte à longtemps... avant l'ignorance du fonctionnement d'un lecteur CD.... etc.. Mais avant, on pouvait toucher, voir, ... et réparer. Physiquement. Maintenant, c'est hors de porté. C'est plus complexe. Mais pas plus compliqué si on a suivit, vécu les évolutions.... Parce que je pleins la flèche qui est à l'apple store qui voit arriver des systèmes dans des états pas possibles,.... et se farcit les commentaires comme quoi c'est pas sécurisé ... et j'en passe. C'est exactement comme dans la société, la sécurité à un prix. Et le modulo de liberté/sécurité tend vers 0 .... c'est certes triste, mais un fait.

avatar SidFik | 

faut-il en déduire que l'installation d'app tierce, non reconnues par apple vas être encore plus galère à lancer ?

avatar byte_order | 

Du tout.
Cela sera tout simplement impossible : "Une prochaine version de macOS refusera purement et simplement d’exécuter les applications qui ne sont pas certifiées."

avatar bugman | 

@byte_order

Et bien ça y'est, nous y sommes. ?

avatar Yacc | 

@bugman

nope ?

avatar bugman | 

@Yacc

...bientôt.
Je vais même plus loin en pensant qu'à plus ou moins long terme le MAS sera une obligation. Nous verrons.

avatar Yacc | 

@bugman

« Nous verrons. »

Comme tu dis, mais je ne crois pas à une impossibilité de ne pas passer outre pour les « power users » ?

avatar bugman | 

@Yacc

Si tu le sais et si je m'en doute, je suppose qu'Apple aussi.
Je peux me poser la question de savoir si c'est juste l'idée de départ (sécurisé le système) ou (aussi) l'envie de pouvoir contrôler un jour ce qui tourne sur ta machine comme ils le font avec iOS aujourd'hui.

avatar Moonwalker | 

Ce n'est là que l'interprétation du rédacteur de MacG, pas la position officielle d'Apple.

Sinon, t'en a pas marre de raconter les mêmes conneries à longueur d'années ?

À l'apparition du Mac App Store (2011) : Apple va fermer Mac OS X
À l'introduction de Gatekeeper (2012) : Apple va fermer Mac OS X
À l'ajout du S.I.P. (2015) : Apple va fermer OS X
Aujourd'hui, alors qu'on annonce simplement un renforcement du contrôle des app dans le Mac App Store et des développeurs certifiés : Apple va fermer macOS

Rassurez-vous, vous pourrez toujours installer vos merdes habituelles, téléchargées de n'importe où, de celles qui assurent une bonne fréquentation aux forums techniques de MacG.

avatar reborn | 

@Moonwalker

Rassurez-vous, vous pourrez toujours installer vos merdes habituelles, téléchargées de n'importe où, de celles qui assurent une bonne fréquentation aux forums techniques de MacG.

Ahah ah ?

avatar byte_order | 

> Rassurez-vous, vous pourrez toujours installer vos merdes habituelles, téléchargées de
> n'importe où, de celles qui assurent une bonne fréquentation aux forums techniques de MacG.

Si cela pouvait être vrai.
Mais macOS fourni à lui seul largement assez de composants, pourtant certifiés et téléchargement selon les plus hautes normes de qualité, pour alimenter ces forums.

avatar StephanMart | 

Est-ce que cela veut vouloir dire que l’on pourra on ne pourra plus installer d’applications téléchargés hors du MacApp store ?

avatar Moonwalker | 

Non.

Ça veut seulement dire qu'Apple renforce son contrôle sur les applications des développeurs certifiés.

C'est même plus souple puisqu'au lieu de révoquer le certificat du développeur, elle annulera celui de l'application.

Pour l'utilisateur ça ne changera rien. Les applications conçuent en dehors de la sphère d'Apple pourront toujours être installées à vos risques et périls.

avatar Fredol | 

Heu citadelle de Vauban en fait.
Sinon, ben si la sécurité doit en passer par là ma foi faudra se faire une raison et plein de boîtes seront rassurées.
Jusqu’au prochain hack

avatar pim | 

Il y a déjà moyen d’être en sécurité lors de tout téléchargement, en comparant la clé de hashage avec sa valeur récupérée par ailleurs. C’est très efficace, mais cela nécessite une étape supplémentaire de vérification. C’est ce genre d’étape qu’il faudrait automatiser, et pour tous les téléchargements, pas seulement pour les applications qui peuvent passer sous les fourches caudines du Mac Apple Store.

avatar jacobinet | 

C'est clair !

avatar françois bayrou | 

"Son certificat peut être révoqué, auquel cas ses applications ne peuvent plus être lancées."

En espérant, du coup, qu'il ne se révoque pas "tout seul"

https://www.engadget.com/2015/11/12/app-stores-failed-download-bug-traced-to-expired-security-certi

J'ai l'impression qu'on va bien se marrer …

avatar Benckes | 

Alors, en qualité de clerc, je dois dire que la traduction littérale de notary à notaire n’a que peu de sens, le droit anglo-saxon n’ayant pas d’équivalent au notariat latin.
Notary en anglais, ce serait plutôt « avocat en droit international » (notary public), ou avocat en immobilier, de mémoire « notary ».
Cette fonction de certification évoquée est du ressort des avocats dans la plupart des cas.

Je vous prie de m’excuser pour la digression

avatar Yacc | 
avatar pacou | 

Il y a une vingtaine d’années je militais contre ce type de protections intrusives qui
1/ déresponsabilisent l’utilisateur devant sa machine
2/ limitent la liberté du développeur obligé de payer sa dîme au concepteur de l’OS sur lequel tourne son logiciel

Aujourd’hui, c’est Apple et non plus Microsoft qui se démarque par de plus en plus de barreaux a ds prison dorée, et en plus on va lui dire merci.

Quelles seraient les solutions alternatives à autant de chapes de sécurité permettant indirectement (car si on peut révoquer un certificat pour de bonnes et légitimes raisons, on peut aussi le faire sans ces raisons) d’autoriser ou non l’utilisation de tel ou tel logiciel sur son ordinateur?

avatar reborn | 

@pacou

Il suffit d’executer une app sans certificat

avatar pacou | 

@reborn

Sauf si le système devient rigide et incontournable et empêche le lancement de telles applications.
Wait and see.

avatar Bigdidou | 

@pacou

"Sauf si le système devient rigide et incontournable et empêche le lancement de telles applications."

J'ai du mal à croire que ça ne puisse pas être désactivable, au moins par une ligne de commande;

avatar BeePotato | 

@ pacou : « Sauf si le système devient rigide et incontournable et empêche le lancement de telles applications. »

Ce qui n’est pas le cas pour l’instant, et n’est pas non plus annoncé comme étant prévu.

Si tu te places dans ce cas d’un système complètement verrouillé, alors oui ça devient problématique — mais on ne discute alors plus du tout de la même chose.

avatar Moonwalker | 

Avec un tel a priori et une telle paranoïa contre Apple, on se demande ce que vous foutez encore ici à discuter de la plateforme. Le comble serait que vous utilisiez un Mac. Je n'ose y croire.

Allez donc compiler votre distribution GNU-Linux après en avoir scrupuleusement examiné le code. Ça vous occupera un certain temps et ça nous fera des vacances.

avatar pacou | 

@Moonwalker
Ce n’est pas de la paranoïa.
L’amour ne doit pas rendre aveugle et faire perdre toute vigilance
Cela fait plus de 20 ans que j’achète Apple, j’ai toujours deux adresses @mac.com, cela n’est pas une raison pour accepter toute chose sans garder mon libre arbitre.

avatar guyotlo | 

@pacou

pas mieux

avatar pelipa91 | 

Un système qui existe dans l’aéro et le militaire depuis toujours ^^

avatar byte_order | 

... controlé par l'armée, donc l'Etat, donc les utilisateurs de l'armée in fine.

L'armée confie-t-elle à une entreprise privée, étrangère de surcroit, le pouvoir de revoquer tout ou partie des fonctions d'un système qu'elle a achetée ?
Pourquoi le particulier devrait le faire, lui ?

Toujours se demander qui controle celui qui controle ?

Après, si les macs ne sont plus vendus mais loués par Apple, là okay cela devient une condition du contrat de location.

avatar Bigdidou | 

@pelipa91

"Un système qui existe dans l’aéro et le militaire depuis toujours ^^"

Oui, enfin dans plein d'endroits dès que tu restreins les droits de l'utilisateur.

avatar Yacc | 

La seule question est pour moi : le jeu en vaudrait-il la chandelle pour Apple ?

En ce qui me concerne la réponse est : non.

avatar byte_order | 

@Yacc

Grenouille, bouillir, toussa.

avatar Yacc | 

@byte_order

Désolé comprends pas ?

avatar maximejf | 

Citadelle, c'st contre l'extérieur. C'est du xéno.. mais la faille sera toujours dans la place. Et on pourra toujours tout niquer depuis l'intérieur ! Heureusement. Mais ça niquera qu'une place. Il est marrant de voir que les sys. com emprunte du vocable à la biologie. Les sci cognitives appliquée utilise des mots de la neuro. Et même, le mot virus. ahha c'est mort un virus. Mais une bactérie non. Et donc, viendra le temps ou il faudra des antibiotiques pour computer ! Rassurer vous.
Notons que de vendre une machine au prix de deux iPad Pro, et culturellement, ou psychologiquement, l'ordinateur est à soi. Même si on ignore comment, il est important de savoir que le bidouillage est possible. Pas le cas d'iBidule. Lui, c'est compris qu'il est sous curiateur. et parfaitement accepté....
le jailbreak avec cydia store ? quelle nid a merde.

avatar maximejf | 

Je crois que commercialement c'est suicidaire de tuer les playboys des bacs à sable. Experts es word, certain spacebar men ( qui usent avec modération la touche tab, ou sinon à la manière de la space bar. Des pros qui ont compris que seul photoshop est à même pour une rotation, ou recadrer la photo des vacances. Il faut bien ça. On chipote pas avec les outils. Mais pas cher, mais du pro.
L'informatique doit tant aux playboys des bacs à sable.

CONNEXION UTILISATEUR