Sécurité : dans macOS Mojave, un notaire pour arrêter les frais

Anthony Nelzin-Santos |

Avec macOS Mojave, Apple renforce encore son édifice sécuritaire, véritable citadelle de Vauban informatique. L’accès au micro et à la webcam est désormais conditionné, comme l’accès à la localisation ou aux photos, au consentement explicite de l’utilisateur. La base de données de Mail, l’historique des messages, les données Safari, ou encore les sauvegardes iTunes et Time Machine, sont désormais hors de portée des applications. Des applications de plus en plus contrôlées, au point qu’elles devront bientôt… passer devant le notaire.

Ce n’est pas une blague : l’Apple Notary Service est un nouveau système de certification des applications. Il vient prolonger le système du Developer ID, sorte de carte d’identité numérique du développeur. Seules les applications signées avec un certificat Developer ID peuvent être installées avec les réglages par défaut de Gatekeeper, et utiliser certains services comme CloudKit et les notifications push.

Un développeur crée des malwares ? Son certificat peut être révoqué, auquel cas ses applications ne peuvent plus être lancées. Une option « nucléaire », qui n’est plus nécessairement adaptée aux menaces récentes. L’infection de Transmission l’a prouvé : des applications tout à fait légitimes peuvent être corrompues à l’insu de leur développeur. Plutôt que le certificat du développeur, il faudrait pouvoir révoquer le certificat de l’application.

C’est précisément la raison d’être de l’Apple Notary Service : c’est une précaution supplémentaire, qui vérifie la présence de malwares avant de signer l’application, alors considérée comme « certifiée »1. Chaque application, et même chaque version de l’application, possédant une certification différente, la révocation d’un certificat peut désormais être chirurgicale. Le développeur est identifié, l’application est certifiée, l’utilisateur est rassuré.

L’Apple Notary Service est lancé en bêta avec macOS Mojave, qui vérifiera la certification et s’assurera de l’absence de malwares, et bloquera les applications malveillantes le cas échéant. Mais Apple veut aller vite : les développeurs devront faire certifier leurs applications dans le futur. Une prochaine version de macOS refusera purement et simplement d’exécuter les applications qui ne sont pas certifiées.


  1. Ou « notariée », si l’on voulait calquer sur l’anglais notarized app.

avatar jacobinet | 

C'est clair !

avatar françois bayrou | 

"Son certificat peut être révoqué, auquel cas ses applications ne peuvent plus être lancées."

En espérant, du coup, qu'il ne se révoque pas "tout seul"

https://www.engadget.com/2015/11/12/app-stores-failed-download-bug-trace...

J'ai l'impression qu'on va bien se marrer …

avatar Benckes | 

Alors, en qualité de clerc, je dois dire que la traduction littérale de notary à notaire n’a que peu de sens, le droit anglo-saxon n’ayant pas d’équivalent au notariat latin.
Notary en anglais, ce serait plutôt « avocat en droit international » (notary public), ou avocat en immobilier, de mémoire « notary ».
Cette fonction de certification évoquée est du ressort des avocats dans la plupart des cas.

Je vous prie de m’excuser pour la digression

avatar Yacc | 
avatar pacou | 

Il y a une vingtaine d’années je militais contre ce type de protections intrusives qui
1/ déresponsabilisent l’utilisateur devant sa machine
2/ limitent la liberté du développeur obligé de payer sa dîme au concepteur de l’OS sur lequel tourne son logiciel

Aujourd’hui, c’est Apple et non plus Microsoft qui se démarque par de plus en plus de barreaux a ds prison dorée, et en plus on va lui dire merci.

Quelles seraient les solutions alternatives à autant de chapes de sécurité permettant indirectement (car si on peut révoquer un certificat pour de bonnes et légitimes raisons, on peut aussi le faire sans ces raisons) d’autoriser ou non l’utilisation de tel ou tel logiciel sur son ordinateur?

avatar reborn | 

@pacou

Il suffit d’executer une app sans certificat

avatar pacou | 

@reborn

Sauf si le système devient rigide et incontournable et empêche le lancement de telles applications.
Wait and see.

avatar Bigdidou | 

@pacou

"Sauf si le système devient rigide et incontournable et empêche le lancement de telles applications."

J'ai du mal à croire que ça ne puisse pas être désactivable, au moins par une ligne de commande;

avatar BeePotato | 

@ pacou : « Sauf si le système devient rigide et incontournable et empêche le lancement de telles applications. »

Ce qui n’est pas le cas pour l’instant, et n’est pas non plus annoncé comme étant prévu.

Si tu te places dans ce cas d’un système complètement verrouillé, alors oui ça devient problématique — mais on ne discute alors plus du tout de la même chose.

avatar Moonwalker | 

Avec un tel a priori et une telle paranoïa contre Apple, on se demande ce que vous foutez encore ici à discuter de la plateforme. Le comble serait que vous utilisiez un Mac. Je n'ose y croire.

Allez donc compiler votre distribution GNU-Linux après en avoir scrupuleusement examiné le code. Ça vous occupera un certain temps et ça nous fera des vacances.

avatar pacou | 

@Moonwalker
Ce n’est pas de la paranoïa.
L’amour ne doit pas rendre aveugle et faire perdre toute vigilance
Cela fait plus de 20 ans que j’achète Apple, j’ai toujours deux adresses @mac.com, cela n’est pas une raison pour accepter toute chose sans garder mon libre arbitre.

avatar guyotlo | 

@pacou

pas mieux

avatar pelipa91 | 

Un système qui existe dans l’aéro et le militaire depuis toujours ^^

avatar byte_order | 

... controlé par l'armée, donc l'Etat, donc les utilisateurs de l'armée in fine.

L'armée confie-t-elle à une entreprise privée, étrangère de surcroit, le pouvoir de revoquer tout ou partie des fonctions d'un système qu'elle a achetée ?
Pourquoi le particulier devrait le faire, lui ?

Toujours se demander qui controle celui qui controle ?

Après, si les macs ne sont plus vendus mais loués par Apple, là okay cela devient une condition du contrat de location.

avatar Bigdidou | 

@pelipa91

"Un système qui existe dans l’aéro et le militaire depuis toujours ^^"

Oui, enfin dans plein d'endroits dès que tu restreins les droits de l'utilisateur.

avatar Yacc | 

La seule question est pour moi : le jeu en vaudrait-il la chandelle pour Apple ?

En ce qui me concerne la réponse est : non.

avatar byte_order | 

@Yacc

Grenouille, bouillir, toussa.

avatar Yacc | 

@byte_order

Désolé comprends pas ?

avatar maximejf | 

Citadelle, c'st contre l'extérieur. C'est du xéno.. mais la faille sera toujours dans la place. Et on pourra toujours tout niquer depuis l'intérieur ! Heureusement. Mais ça niquera qu'une place. Il est marrant de voir que les sys. com emprunte du vocable à la biologie. Les sci cognitives appliquée utilise des mots de la neuro. Et même, le mot virus. ahha c'est mort un virus. Mais une bactérie non. Et donc, viendra le temps ou il faudra des antibiotiques pour computer ! Rassurer vous.
Notons que de vendre une machine au prix de deux iPad Pro, et culturellement, ou psychologiquement, l'ordinateur est à soi. Même si on ignore comment, il est important de savoir que le bidouillage est possible. Pas le cas d'iBidule. Lui, c'est compris qu'il est sous curiateur. et parfaitement accepté....
le jailbreak avec cydia store ? quelle nid a merde.

avatar maximejf | 

Je crois que commercialement c'est suicidaire de tuer les playboys des bacs à sable. Experts es word, certain spacebar men ( qui usent avec modération la touche tab, ou sinon à la manière de la space bar. Des pros qui ont compris que seul photoshop est à même pour une rotation, ou recadrer la photo des vacances. Il faut bien ça. On chipote pas avec les outils. Mais pas cher, mais du pro.
L'informatique doit tant aux playboys des bacs à sable.

Pages

CONNEXION UTILISATEUR