Le blog high-tech et telecom de Xavier Studer

Société de l'information et multimédia en Suisse.

«L’App Store est une vraie passoire»

avec 14 commentaires

Publicité


«L’App Store est une vraie passoire en ce moment». Ce n’est pas moi qui le dit, mais le magazine spécialisé MacPlus qui en remet même une couche droit derrière : « L’équipe de validation laisse en effet volontiers passer les apps ou des clones plus ou moins bidons issues de la scène jailbreak. Il cite les cas de Validator, du Fake de Cydia ou de Display Recorder.

Ces dérapages ne me surprennent pas. Rappelez-vous de l’application CFF qui avait été éjectée de l’App Store ou encore des multiples cas de censure contre des applications telles celles du Bild qui osaient montrer des filles dénudées… Ces exemples montrent que la sécurité de l’App Store est plus que relative…

Rédigé par Xavier Studer

25/06/2012 à 06:46

14 réponses

Souscrire aux commentaires via RSS.

  1. Le pire, c’est que Validator est une application payante! Incroyable. Je me demande s’il est possible de ses faire rembourser.

    Roger-marc

    25/06/2012 à 07:28

  2. C’est l’application Activator qui est un attrape nigaud. Validator est une application de validation HTML, qui, si je ne l’ai pas testée, a l’air d’être clean. En effet, il faut faire de plus en plus attention sur le store d’Apple, il y a pas mal de petits malins qui profitent de la naïveté de certains pour piquer quelques sous. Apple nous avait habitué à mieux.

    Julio

    25/06/2012 à 08:43

  3. Quand on fais la course au nombre d’app, c’est ce qui arrive. Seul le nombre est important, le reste…

    DavidL

    25/06/2012 à 09:43

    • Et oui…..c est à peut près tout ce qui leur reste, les quelques dizaines de mille en plus qu Android…..Il faudrait surtout pas se faire rattraper hein ?
      Mais bon, peut importe la plateforme (ios Android), c est devenu difficile de trouver ce qu on veut vraiment.
      Petit avantage Android car tout le monde peut personnaliser son téléphone..

      Nycko

      25/06/2012 à 14:25

      • et bien non justement pas, sur iOs je trouve plus facilement ce que je veux que ceux Android et ses multiples stores. Après, cette course aux nombres est ridicules en effet.

        pascal

        25/06/2012 à 19:35

      • En tout cas,les utilisateurs d’IOS 3 ne peuvent plus télécharger d’application,il semble qu’Apple ait fermé le robinet pour cette version……il y a certe plusieurs magasin Android, dont celui de google qui est installé de base et qui couvre 99,9% des applications, je n’ai eu recour qu’un seule fois a une application XDA pour débrander mon Xpéria X10 afin de le faire passer pour un modèle nu et d’y recevoir rapidement les mises à jours….

        Jean-Luc

        26/06/2012 à 00:58

  4. Je me permets de rajouter un point concernant la sécurité sur TOUTES plateformes mobiles (iOS, Android, etc.): vos smartphones et autres tablets sont des cibles idéales pour les pirates et autres arnaqueurs de tout genre. Le niveau de sécurité sur ces plateformes n’est de loin pas optimale, cet article démontre que le processus de validation d’Apple n’est pas parfait mais la plateforme Android n’est de loin pas meilleure (e.g. outre les manquement au niveau de la sécurité de l’OS, le système de « validation » automatique de Google, appelé Bouncer, a été pris à défaut de manière plus que significative par des experts en sécurité pas plus tard que la semaine dernière, le fait que le déploiement des mises à jour d’Android est d’une grande lenteur est une catastrophe en terme de sécurité…toutes les études récentes le prouve le nombre de virus/malware pour Android est en constante augmentation et significativement supérieure à celui d’iOS). Alors on peut poster plein de chose comme quoi l’un est meilleur que l’autre, ou que l’autre en vend plus, etc. Mais à la fin c’est vous qui allez-vous retrouver avec une facture monumentale parce que vous aurez téléchargé la mauvaise application pour envoyer des « SMS gratuit »…ou vous énervez parce que vos photos ont été effacées…

    Alors le mot d’ordre reste toujours le même : prudence !! Avant d’installer qqch ou de cliquer sur un lien dans un email réfléchissez à deux fois !

    Simon

    26/06/2012 à 08:35

    • Il ne faut pas oublier qu’il y a une différence fondamentale de philosophie entre Google et Apple:

      Pour Android, il a été considéré que l’utilisateur devait toujours savoir exactement ce que l’application allait faire. Ainsi, la totalité des accès à d’autres parties du système (ou d’applications tierces) est visible et n’a rien à voir avec le système de validation de Google puisqu’il doit être validé par l’utilisateur lui-même. Le problème repose sur le fait de savoir qui lit cette page d’autorisation…

      Pour iOS, Apple ne déporte aucune responsabilité ou contrôle sur ses utilisateurs, pas plus qu’il ne lui en laisse le choix ou la possibilité de savoir, mais effectue toutes les vérifications à son niveau, déclarant une application valable et donc téléchargeable, ou non.

      Dans un premier cas, on se retrouve avec un véritable contrôle possible, mais auquel personne ne prête attention et donc vite risquée. Dans le second cas, on se retrouve dans un cocon, mais dont la moindre faille (et il y en a déjà eu et il y en aura toujours) devient fatale car inconnue de l’utilisateur. Je suis donc assez d’accord avec le conseil général de Simon: avant d’installer quelque chose ou de cliquer sur un lien dans un email, réfléchissez à deux fois!

      Alexandre

      26/06/2012 à 12:18

      • Si je peux me permettre ce n’est pas parce que Android donne possède un « contrôle » (tel que vous le décrivez) que cela en fait un environnement plus sécurisé (la preuve étant le nombre très largement supérieure de malware et de virus sous Android). Oui l’utilisateur final est souvent le maillon faible, mais les mécanismes de sécurité ne se limitent pas à un pop-up affiché lors de l’installation d’un logiciel. Ces mécanismes sont composés de fonctionnalités tel que l’ASLR, DEP, code signing, sandbox, etc. sans compter que l’implémentation de ces fonctionnalités doit être également fait de manière sécurités (e.g. implémenter l’ASLR sur une partie de la mémoire ne sera pas vraiment efficace).

        Pour ceux que cela intéresse (c’est technique donc pas forcément « lisible » pour tout le monde ;) :
        Pour Android: http://source.android.com/tech/security/index.html#android-security-overview
        Pour iOS: http://images.apple.com/ipad/business/docs/iOS_Security_May12.pdf

        Simon

        26/06/2012 à 13:49

      • C’est surtout une bagarre de clocher,car ceux qui utilisent les applications du market de google n’ont pas plus de risques que ceux qui utilisent celles de l’apps store, ceux qui utilisent des applications téléchargé sur des sites de partage ou de magasin douteux encourt un risque, tout comme ceux qui utilise le jailbreak.
        On peut aussi se prémunir à un niveau plus élevé, la plupart des opérateurs permettent des limitations d’utilisation, par exemple d’interdire les numéros surtaxé ou un limite financière à ne pas dépasser.

        jean-Luc

        27/06/2012 à 08:44

      • @Simon: Je pense que tu confonds la problématique des failles systèmes et des failles de du processus de validation / d’installation. Système parlant, aucun système n’est fiable, et là. on peut partir dans un grand débat en répondant point par point à tes explications (que j’approuve plus ou moins… car tu utilises beaucoup de vocabulaire pour résumer à un problème fondamental qui est la protection mémoire et la possibilité des applications à la passer ou non). Mais là je parlais bien de la philosophie d’installation / validation.

        Alexandre

        27/06/2012 à 13:37

      • Je voulais répondre dans le même message mais j’ai oublié de dire à Jean-Luc que j’étais d’accord avec lui ;-)

        Alexandre

        27/06/2012 à 13:38

  5. @Alexandre: j’ai bien compris votre point sur la validation/installation. Mais cela ne m’empêche pas de ne pas être complètement d’accord avec vous, pour moi ces éléments sont liés.

    L’approche de Google est plus « ouverte ». Sous-entendu on peut publier son application depuis n’importe où (notamment en dehors du système du Market officiel par conséquent hors de tout contrôle en terme de sécurité). Vous retrouvez donc avec des applications qui ne sont pas signées (ou signée par leur auteur…ce qui en fait revient à ne pas les signer puisqu’elles ne garantisse pas « la confiance » (trust)). Le fait que Android autorise l’exécution de code non-signé représente un risque majeur pour l’utilisateur final ou tu dois mois facilites grandement la tâche d’une personne malintentionnée.

    L’approche d’Apple est plus « fermée ». Sous-entendu on doit publier son application via l’AppStore. Au sein d’iOS Apple empêche l’exécution de code non-signé (tous le code…y compris les librairies, etc.). Ce qui a pour conséquence d’une part de ne pas pouvoir installer une application trouvée au hasard d’un lien ou d’un site internet. Et d’autre part cela rend très difficile l’exploitation de code comme on la connait sur les systèmes d’exploitation de nos ordinateurs ou sur Android.

    Autrement dit la problématique de la validation / installation n’est pas seulement une question « philosophique » sur l’ouverture/fermeture d’une plateforme. Dans le cas de la problématique de la sécurité, cela permet de limiter les actions et les choix de l’utilisateur. Certains vont s’en plaindre, mais il est reconnu que la principale faiblesse, en terme de sécurité, d’un système reste l’utilisateur. Dans ce contexte il est plus prudent de laisser un peu moins de choix à l’utilisateur…en tout cas c’est mon avis ;)

    Simon

    28/06/2012 à 18:15

  6. […] un cheval de Troie sur iOS, un!On savait déjà que la surveillance d’Apple sur son App Store n’était pas idéale, comme l’ont d’ailleurs admis des publications pommées. En fin de semaine, l’éditeur […]


Laisser un commentaire