Sideloading : Comment Apple utilise l'argument de la sécurité pour maintenir son monopole
Autoriser le sideloading met en danger la sécurité informatique des iPhones, rabâche sans cesse Apple. Un discours qui s'est intensifié ces derniers temps alors que les institutions européennes planchent sur le DMA, un texte qui obligera justement les "gatekeepers" à autoriser l'installation d'applications à partir de sources extérieures à leur boutique officielle. Mais évidemment, permettre aux internautes de sideloader des applications aurait surtout des conséquences financières pour Apple en assouplissant le contrôle absolu qu'il exerce sur ses appareils.
"Le sideloading est le meilleur ami du cybercriminel", a lancé Craig Federighi, senior vice president of software engineering au sein d'Apple, lors du Web Summit qui se tient actuellement à Lisbonne, au Portugal. L'occasion de rappeler une nouvelle fois l'opposition de l'entreprise américaine au Digital Markets Act (DMA).
Le DMA oblige le sideloading
Cette future réglementation européenne, présentée par la Commission européenne en décembre 2020 et actuellement en discussion, obligera "les gatekeepers" – dont Apple fait partie – à "permettre l'installation et l'utilisation effective d'applications logicielles ou de boutiques d'applications logicielles de tiers utilisant, ou interopérant avec, les systèmes d’exploitation du contrôleur d’accès" et "permettre l’accès à ces applications logicielles ou boutiques d’applications logicielles par des moyens autres que les services de plateforme essentiels du contrôleur d’accès" (article 6 de la proposition de règlement).
Cette pratique, connue sous le nom de sideloading, est la bête noire d'Apple, à tel point que l'entreprise lui consacre un livre blanc chaque année. L'objectif de ce document, publié en octobre 2021 cette année, est de démontrer pourquoi l'autorisation du sideloading fragiliserait considérablement la sécurité informatique des iPhones.
Un livre blanc pour promouvoir la robustesse de l'iphone
Pour Apple, c'est également l'occasion de rappeler la soi-disant robustesse de ses appareils comparés à ceux fonctionnant sous Android, un écosystème historiquement plus ouvert (bien que Google le restreigne autant que possible). Ainsi, dans son livre blanc, il soutient qu'au cours des quatre dernières années, les appareils Android ont connu "entre 15 à 47 fois plus d'infections par des malwares que les iPhones".
Mais maintenir son écosystème fermé permet surtout à Apple de garder la main sur tout ce qu'il s'y passe et d'en récupérer les fruits. "Ce rapport soutient le marché fermé d'Apple", analyse Aurélien Francillon, professeur au sein du département Sécurité numérique de l'Ecole d'ingénieur et centre de recherche en sciences du numérique (Eurecom), à L'Usine Digitale. "Il est tellement à charge contre le sideloading que cela en devient presque ridicule. Il est à sens unique et pas du tout équilibré", ajoute le chercheur.
En effet, la société a un intérêt financier à conserver sa politique sur l'App Store. Elle prélève 30% – depuis peu 15% pour les développeurs qui ont réalisé moins d'un million de dollars de chiffre d'affaires sur un an – sur les revenus de tout achat effectué depuis une application présente sur sa boutique, même s'il s'agit d'un abonnement récurrent. Ces "in-app purchases" doivent obligatoirement passer par son système de paiement propriétaire.
La taxe de 30% sévèrement critiquée par les développeurs
Ce système est sévèrement critiqué par les développeurs d'applications, qui y voient une politique de monétisation totalement injuste. Epic Games, éditeur du jeu à succès Fortnite, est à la tête de ce mouvement de protestation. Une opposition qui lui coûte cher. En intégrant une méthode de paiement alternative donc moins coûteuse dans Fortnite, son application a été bannie de l'App Store jusqu'à la fin du procès l'opposant à Apple, soit environ cinq 5 ans. Une éternité dans ce secteur.
Face à la gronde d'un groupe de développeurs à l'origine d'une plainte devant un tribunal californien, Apple a proposé d'autoriser les développeurs à informer leurs utilisateurs par email ou via leur site web de l'existence de moyens de paiements alternatifs à l'App Store. La société souhaite également autoriser les plateformes de distribution de contenu – Spotify, Netflix, Audible… – à intégrer à partir de 2022 un lien vers leur site web pour que les utilisateurs puissent s'abonner à leur service.
Mais à la base, Apple a-t-il vraiment tort d'affirmer que le sideloading est dangereux pour la sécurité des terminaux ? Oui et non. Aurélien Francillon le reconnaît : "Empêcher le chargement d'applications tierces permet dans une certaine mesure de rendre la plateforme plus sécurisée". En effet, Apple dispose d'un processus d'examen des applications mobiles afin de s'assurer qu'elles ne "comportent pas de programmes malveillants connus et qu'elles n'ont pas été altérées", peut-on lire sur le site internet de l'entreprise. Alors que la société reste assez secrète sur son fonctionnement, certains détails de cette procédure ont été révélés lors du procès qui oppose Apple à Epic Games.
Dans un document consulté par 9to5Mac, Trystan Kosmynka, l'un des responsables de l'App Store, raconte qu'environ 5 millions d'applications sont proposées à Apple chaque année. Moins de 40% d'entre elles sont rejetées en moyenne. Chaque application passe par une analyse automatisée pour détecter si elle enfreint les règles de l'App Store. Apple vérifie également que l'application n'existe pas déjà afin d'éviter les doublons ou les plagiats. Une équipe de 500 personnes est ensuite chargée de vérifier manuellement 100 000 applications chaque semaine, affirme l'entreprise.
Moins de malwares sur iOS ? Pas si sûr...
Est-ce que cette procédure permet à Apple d'échapper aux logiciels malveillants ? Il est impossible de répondre à cette question puisque l'entreprise se montre relativement hostile envers les chercheurs en cybersécurité indépendants. Elle a toujours limité les accès aux rouages de son système d'exploitation mobile, contrairement à Android dont la version ouverte est librement accessible.
Apple ne fournit par exemple aucun émulateur iOS permettant de visualiser ses produits pour y déceler d'éventuelles failles. La société Corellium, qui en proposait justement un, a dû faire face aux avocats d'Apple lors d'un procès qui s'est finalement soldé par un accord à l'amiable suite à la mauvaise publicité que recevait à l'époque la firme à la Pomme. "Parce que les iPhones sont fermés, il est très difficile pour des tierces parties d'y trouver des vulnérabilités", explique Aurélien Francillon.
C'est la conclusion à laquelle est également arrivée la juge Yvonne Gonzales Roger, en charge du procès Epic/Apple. "Bien que les arguments de Monsieur Federighi sur les logiciels malveillants puissent sembler plausibles, ils semblent avoir émergé pour la première fois au procès, ce qui suggère qu'il exagère la vérité pour les besoins du raisonnement", a-t-elle écrit dans sa décision rendue le 10 septembre 2021. Elle a ajouté que "lors du procès, il a reconnu qu'Apple ne disposait que d'outils de collecte de données sur les logiciels malveillants pour Mac, et non pas pour iOS, ce qui soulève la question de savoir comment il connaît les taux" d'infection par des malwares. "Ainsi, la Cour accorde peu de poids au témoignage de Monsieur Federighi sur ce sujet", concluait-elle.
Pegasus met à mal les affirmations d'Apple
Or, comme l'a montré l'affaire d'espionnage Pegasus, "les attaquants étatiques capables d'investir les ressources suffisantes ou de pointe ont la capacité de découvrir de telles vulnérabilités", alerte Aurélien Francillon. En effet, ce logiciel espion, commercialisé par la société israélienne NSO Group, a été utilisé pour infiltrer les iPhones de personnalités publiques et de journalistes. Dans les détails, une faille a réussi à franchir un nouveau type de protection intégré dans iOS 14, surnommé BlastDoor, qui était justement censé intercepter tous les malwares susceptibles de transiter par l'intermédiaire de messages. Une mise à jour de sécurité a été publiée par Apple.
Apple a minimisé les conséquences de cet incident de sécurité. "Ces attaques ultra sophistiquées coûtent des millions de dollars et ne durent pas longtemps et sont utilisées pour cibler des personnes précises", avait expliqué Ivan Krstic, directeur des systèmes de sécurité d'Apple. Elles ne constituent donc "pas une menace pour la majorité écrasante de nos utilisateurs".
Techniquement, "il serait totalement possible qu'il y ait des marchés d'applications qui soient aussi ou pratiquement aussi sécurisés que l'App Store", affirme Aurélien Francillon. Le chercheur imagine un système dans lequel chaque store devrait respecter "des règles de bases mises en place par Apple tout en ayant ses propres règles". "Les gouvernements pourraient même proposer des certifications", ajoute-t-il. En d'autres termes, "tout n'a pas besoin d'être sous le contrôle d'Apple". D'autant plus que l'entreprise contrôle le système d'exploitation et pourrait continuer de mandater des règles d'exécution strictes (droits limités, containerisation...).
Appliquer la technologie "Gatekeeper" sur iOS
Encore plus simple, Apple pourrait transposer sur iOS sa technologie, ironiquement nommée "Gatekeeper", utilisée sur macOS. Elle permet de vérifier qu'une application téléchargée ou installée à partir d'Internet ou directement auprès d'un développeur ne contient pas de logiciel malveillant. MacOS vérifie la signature d'identification du développeur pour s’assurer que le logiciel provient d’un développeur identifié et n’a pas été modifié. Ce système permettrait à Apple de vérifier la fiabilité d'une application sans contrôler le mode exclusif de distribution des applications. Un système similaire est utilisé sur d'autres systèmes d'exploitation, comme Windows.
Ce fonctionnement est totalement impossible, a rétorqué Craig Federighi à la juge Yvonne Gonzales Roger lors du procès opposant Epic à Apple. Il a fait valoir que les iPhones contenaient des données plus sensibles que les Mac et que la popularité de l'iPhone en faisait une cible plus importante. Il a ajouté qu'Apple n'était, dans tous les cas, pas satisfait "du niveau de malwares sur Mac". L'adoption du même modèle de sécurité serait une "très mauvaise situation pour les clients", concluait-il.
L'issue des discussions sur le DMA sera donc décisive pour la firme à la pomme. Mais certains n'attendent pas et adoptent déjà des stratégies pour contourner les règles de l'App store. C'est le cas de Meta, qui a annoncé le 3 novembre 2021 que les créateurs de contenus utilisant le produit "creators" de son réseau social Facebook pourront bientôt partager des liens personnalisés invitant leurs fans à les payer directement via son propre système de paiement. Cela leur permettra de contourner le prélèvement de 30% de l'App Store.
Apple développe son système publicitaire
La politique de monétisation d'Apple est également dans le collimateur des régulateurs. Au pied du mur, l'entreprise américaine élargit désormais ses revenus en développant son offre publicitaire. Une stratégie qui a l'air de fonctionner puisque son activité a plus que triplé sur certains segments au cours des mois suivant l'introduction de l'App Tracking Transparency (ATT). Cette nouvelle politique crée un système à deux vitesses favorisant son propre réseau publicitaire au détriment de la concurrence.
SUR LE MÊME SUJET
Sideloading : Comment Apple utilise l'argument de la sécurité pour maintenir son monopole
Tous les champs sont obligatoires
0Commentaire
Réagir
