Comment Apple veut sécuriser votre iPhone, les App Store tiers et le side loading ?

Alors que l’échéance approche – l’ouverture est prévue pour le mois prochain – il est temps de faire un point sur les efforts d’Apple pour que nos iPhone ouverts à des kiosques applicatifs alternatifs restent le plus sûrs possible.

Sommaire

Le 25 janvier dernier, Apple annonçait des changements dans iOS, Safari et l’App Store afin de se mettre en conformité avec les exigences européennes, fixées par le Digital Markets Act, la nouvelle législation européenne sur les marchés numériques.

Ce règlement contraint les grands acteurs de la tech à se plier à certaines règles, afin d’éviter de se trouver en situation de position possiblement dominante. Ainsi, Apple et son App Store d’iOS sont considérés comme un gatekeeper, un « contrôleur d’accès » en français, ce qui implique que le service doit être régulé, par l’exécutif européen. À l’opposé, la Commission européenne a tout récemment déclaré que l’application Message, d’Apple, n’avait pas besoin de s’ouvrir à la concurrence.

Image 1 : Comment Apple veut sécuriser votre iPhone, les App Store tiers et le side loading ?

L’exclusivité de l’App Store s’arrête en mars

Pour respecter le règlement européen, Apple va introduire dans le courant du mois de mars prochain une mise à jour d’iOS (version 17.4), qui donnera aux utilisateurs la possibilité d’installer des kiosques de téléchargements alternatifs s’ils le souhaitent.

Un moyen pour Apple de répondre aux exigences légales tout en essayant de préserver l’écosystème qui a été créé depuis 2008 et l’introduction de l’App Store. Car, si le modèle d’Apple était jusque-là très verrouillé, hors du jailbreak, il l’était en partie pour des raisons de sécurité. Construire un jardin clos est un bon moyen d’éviter que les choses tournent mal à l’intérieur.

Mais maintenant que des brèches ont été ouvertes dans les murs, Apple doit préserver l’expérience et les données des utilisateurs d’iOS, même s’ils ont décidé de tourner le dos à son App Store. Comment le géant de Cupertino va-t-il s’y prendre ? Comment cela va-t-il fonctionner ? Quelles précautions et protections Apple a-t-il mis en place ? Nos réponses en quelques questions.

Où pourra-t-on télécharger des App Store alternatifs ?

Dès votre iPhone mis à jour sous iOS 17.4, ne cherchez pas les stores applicatifs tiers au sein de l’App Store. Un document technique d’Apple destiné aux développeurs est clair sur ce point : « les utilisateurs pourront télécharger une application de place de marché alternative depuis le site Web du développeur de cette place de marché. » Et ce sera d’ailleurs la seule méthode pour les installer.

Pour pouvoir installer et utiliser un autre kiosque, les utilisateurs devront également, depuis les Réglages d’iOS, autoriser les « marketplaces » comme les appelle Apple qui souhaite se réserver l’appellation App Store.

Qui pourra proposer des App Store tiers ?

Votre voisin ou plus vraisemblablement un groupe de hackers mal intentionnés ne risque-t-il pas de se lancer dans la création d’un App Store personnel ? Apple a prévu ce cas de figure et nous explique que certains critères, notamment financiers, de préexistence et de fiabilité, devront être respectés.
Autrement dit, Epic Games pourra lancer son propre magasin d’applications, si le cœur lui en dit, mais les organismes plus interlopes ne le pourront pas si facilement.

Bien entendu, ces alternatives à l’App Store devront utiliser des API et des plates-formes techniques fournies par Apple. Ce ne sera donc pas une jungle sans nom. Apple continuera de contrôler l’expérience utilisateur globale d’une certaine manière, même si le géant américain précise régulièrement qu’il ne pourra pas être tenu responsable de la distribution de contenus illégaux ou pirates, par exemple.

Chaque store devra faire sa propre police et mettre en place sa politique de modération de contenus.

L'App Store, d'Apple, va faire face à une concurrence directe, dès le mois de mars 2024.
L’App Store, d’Apple, va faire face à une concurrence directe, dès le mois de mars 2024.

Comment éviter les applications qui ne sont pas celles qu’elles disent être ?

Pour faire en sorte d’éviter que les kiosques de téléchargement autres que celui d’Apple puissent proposer des applications qui prétendent être ce qu’elles ne sont pas, ou usurpent l’identité d’une autre, Apple va faire appel à une solution technique mise en place dans macOS depuis 2018 : la notarization.

Ce procédé peut être décrit comme un processus de signature numérique d’un logiciel, et il intervient une fois le développement terminé et l’application prête à être soumise à l’App Store et à ses concurrents. C’est ainsi un moyen de s’assurer que chaque application téléchargée est la bonne. Après une phase de vérification, Apple fournit une clé d’installation au développeur pour l’application visée. C’est cette clé qui fera que l’appli pourra être installée sur votre iPhone.

En l’espèce, la notarization consiste en un ensemble de vérifications basiques et standards de sécurité. Apple explique que « les applis seront scannées pour détecter des malwares, virus et autres menaces ». Par ailleurs, des personnes seront chargées de s’assurer que les applications sont conformes à la façon dont leurs développeurs les présentent.

Mais les développeurs des applis, qui devront avoir un compte développeur Apple, quoi qu’il en soit, n’auront pas le droit de collecter et transmettre des données privées et/ou sensibles, pas plus que leurs applications ne pourront accéder à des contenus de manière non autorisée ou réduire le niveau de sécurité de l’iPhone.

Enfin, bien entendu, les premières applications qui devront passer par les fourches caudines de la notarization sont les App Store alternatifs eux-mêmes.

Image 2 : Comment Apple veut sécuriser votre iPhone, les App Store tiers et le side loading ?

Quelle est la différence entre la notarization et l’App Review actuelle ?

Il est important de préciser ici que ce processus de vérification est différent du processus d’App Review auxquels sont soumises les applis passant par l’App Store.

La notarization ne comporte pas d’examen de la qualité de l’application (même si les applis présentées doivent être dépourvues de bugs dans la mesure du possible) ou de surveillance du contenu proposé. Apple ne pourra donc pas garantir qu’il n’y aura pas de contenu illicite ou pornographique dans les applications « notarizées » qui ne seront pas distribuées via son App Store. Cette surveillance particulière sera à la charge de chaque kiosque de téléchargement.

Quelles fonctions de sécurité et d’accompagnement seront toujours disponibles ?

Le passage par une autre plate-forme de téléchargement applicative va forcément avoir un impact sur les fonctions de suivi au quotidien proposées par Apple. Néanmoins, les fonctions Temps d’écran, de contrôle parental et Spotlight ne seront pas touchées. Elles sont liées à iOS et pas à l’App Store, d’Apple.

En revanche, Temps d’écran ne pourra pas verrouiller les achats intégrés dans les applications téléchargées ailleurs que dans l’App Store. De même, le partage familial d’application ne sera pas géré pour les autres places de marché applicatives.

Dans un même esprit, Apple ne pourra pas s’assurer que vous soyez remboursé par un autre App Store que le sien, idem pour les abonnements, qu’il s’agisse de leur gestion ou de leur résiliation.
Enfin, Apple indique qu’il ne pourra pas aider les utilisateurs en cas de violation de leurs données privées, d’abus, de fraudes ou de manipulation par les applications téléchargées hors de son Store.

Il faudra donc faire attention à quel kiosque vous faites confiance.

Image 3 : Comment Apple veut sécuriser votre iPhone, les App Store tiers et le side loading ?

Que se passera-t-il si vous désinstallez un kiosque de téléchargement ?

Les applications déjà installées par ce moyen le resteront. En revanche, il ne sera plus possible de télécharger de nouvelles applis depuis ce magasin, logique, pas plus qu’il ne sera possible de mettre à jour les applications déjà présentes. Ce n’est pas forcément une bonne chose pour la stabilité et la sécurité des applis, mais c’est un moyen d’éviter que des mises à jour non vérifiées ne soient poussées vers votre iPhone.

Il est évident que cette ouverture d’iOS après 17 ans d’existence va entraîner de nombreux changements et qu’Apple, pas plus que quiconque, ne peut prendre l’entière mesure de ce que cela va entraîner. Après avoir joué le rôle de Cassandre, ces dernières années, depuis que le projet du DMA est connu, le géant de Cupertino a fait les efforts nécessaires à la préservation de l’écosystème dont il a posé les bases et qui s’est construit grâce aux dizaines de millions de développeurs, qui donnent vie aux applications sur iOS, macOS, et autres OS. Des développeurs, qui, pour l’heure, ne semblent pas trop faire de reproches à la partie sécurité du plan d’Apple, mais bien plutôt à sa politique tarifaire.