Écrit par Le monde Mac va dans les 6 à 12 mois subir une révolution « intellectuelle » d’une grande ampleur. Les révolutions technologiques chez Apple, on connaît et pour faire simple, elles ont toutes été maitrisées, que cela soit des changements de famille de processeur du 68000 au PowerPC puis à Intel ou du système 9 à Mac OS X, Apple à toujours su « arrondir » les angles et accompagner ses utilisateurs dans ces « bonds » technologiques.
Celle qui pointe son nez à deux objectifs, rendre le système Mac OS X plus sur et en même temps donner à Apple le moyen de contrôler intégralement la distribution de logiciels. Vous l’avez probablement compris, c’est du côté des applications que l’attaque sera menée.
L’expérience iOs :
Apple a appris (beaucoup appris) de l’iPhone, et il est certain qu’aujourd’hui iOS est une des plateformes mobiles la plus sécurisée et donc des plus sures. Lorsqu’une application est lancée sur un iPhone ou iPad, une première opération qui est menée consiste à vérifier la signature de l’application, celle-ci est fournie par Apple lorsque l’application est validée sur l’App Store.
Ensuite une fois la vérification terminée, l’application est lancée dans un « bac à sable » (Sandbox) en Anglais. C’est très utile en terme de sécurité, les applications « sandboxisées » sont confinées dans leur bac et ne peuvent accéder à d’autres parties du système. C’est l’une des raisons qui font que le partage de fichiers entre applications est compliqué sur iOS (sauf pour les espaces partagés par Apple comme les photos ou musiques dans iTunes).
Ainsi donc une application non validée par Apple ne peut pas être lancée sur iPhone (sauf à le Jailbraker). La signature numérique de l’application, ne garantit pas que l’application soit bien faite, elle fournit un moyen pour s’assurer que l’application n’est pas modifiée entre le moment où elle est validée et le moment où elle est exécutée. Cela se produit sur Pc comme sur Mac que des Malware soient cachés dans les programmes et donc exécutés à l’insu de l’utilisateur.
Le Bac à Sable limite lui les impacts des applications sur le système et sur les autres programmes. Car il est vrai que rien n’empêche un développeur de faire des erreurs et voir son programme effectué des actions involontaires. Avec le « Sand Box » Apple limite ainsi la casse au cas où. Mais cela limite encore plus les possibilités offertes aux développeurs, car ils ne peuvent plus interagir avec le système.
Apple indique qu’il autorisera quelques dérogations voir la liste des 19 ci- dessous, qui devront être fortement motivées. Ces « passes droits » devront être justifiés un par un auprès d’Apple.
La liste est courte (19 exceptions) plus deux autres qui seront encore plus rares à obtenir Nous approchons progressivement de ce qui se passe sur iOS…
(voir liste ci-dessous)
Il existait déjà beaucoup de restriction pour placer une application dans le MAS, par exemple, elle ne devait pas modifier l’interface de Mac OS X.
Il est possible de déterminer si une application s’exécute en mode « Sandbox », Lancez l’utilitaire « Moniteur d’Activité » (dansle dossier Utilitaire), affichez les processus. Dans le haut du tableau, faites un clic droit pour ajouter la colonne « Environnement contrôlé » (Sandbox en Anglais).
(la colonne « Environnement contrôlé » qu’il faut sélectionner.)
Il ne vous rets plus qu’a classer par ordre les applications et processus qui sont « Sandboxisés ». Attention pour savoir votre application est « Sandobixisée », il faut la lancer, afin qu’elle apparaisse dans cette liste.
(les applications sandboxisée dans le moniteur d’activité)
Quel échéancier ?
Les signatures numériques des applications sont disponibles depuis Mac OS X 10.5, le « sand boxing » depuis Leopard, mais ces deux technologies ne sont pas utilisées par les éditeurs de logiciels. Apple a demandé aux développeurs de revoir toutes les applications du Mac App Store avant Février 2012, elles doivent toutes être modifiées pour être « sandboxisées ».
Le changement qu’implique de modifier une application est profond et une fronde de développeurs s’est déjà constituée. Car l’opération risque de limiter voir empêcher la production d’applications qui reposent sur des accès sur divers « emplacements » ou ressources de Mac OS X.
Les éditeurs peuvent être classés en 3 catégories :
1) – La première est celle des développeurs qui vont adapter leurs applications au Sandboxing. Ce sont en général des applications déjà présentes dans le Mas et qui ne produisent qu’une seule fonction, un peu comme sur iOS.
2) – Le second groupe concerne ceux qui refuseront de modifier leur application et ces Apps disparaitront du MAS, quelques éditeurs ont déjà annoncé la couleur. Comptez probablement dans ce groupe les applications qui fonctionnent avec Plug-ins.
3) – Le dernier groupe est celui des programmes qui sera disponible en deux versions, l’un avec moins de fonctionnalités dans le MAS et une version plus complète sur le site de l’éditeur. C’est déjà le cas pour un utilitaire comme « Alfred », qui met en garde sur la version « à fonctionnalités réduites » du MAS de son logiciel. Où la société « DEVON technologies » connu pour ces logiciels de gestion documentaire fait la même remarque sur son site et l’éditeur très connu « BBedit « existe déjà en deux versions…
Il faut donc faire très attention aux logiciels que vous achèterez sur le « Mac Apple Store », il faut (pour le moment) privilégier la version vendue sur le site de l’éditeur, plutôt que celle du MAS.
Mais surtout avant d’acheter consultez le site de l’application et vérifiez s’il existe plusieurs versions du même logiciel dont l’une est bridée.
(Sur le Mac Apple Store, le lien qui mène vers le site de l’éditeur)
Le sandBoxing est déjà obligatoire pour les applications qui veulent tirer parti d’iCloud, il deviendra obligatoire en Mars pour toutes les applications présentes dans le MAS.
Espérons qu’Apple ne l’impose pas dans la prochaine version de mac OS X car cela risque de limiter considérablement l’usage du Mac (et de son intérêt), en effet des technologies comme AppleScript, Automator et autres langages risquent d’être absents des futures applications.
Un Mac n’est pas un iPad ou un iPhone, il est fait pour « créer », alors que iOS est lui fait pour « consommer » tant que l’on respect cette frontière tout va bien… Mais le jour où nous ne pourrons pu créer et bidouiller sur notre Mac, les ordinateurs à la pomme perdront de leur intérêt…
Liste des droits « disponibles » pour une application SANDBOXisée :
-
Accès en lecture seule au dossier Films et Vidéo iTunes de l’utilisateur.
-
Accès lecture / écriture dans le dossier Films et Vidéo iTunes de l’utilisateur.
-
Accès en lecture seule au dossier Musique de l’utilisateur.
-
Accès en lecture / écriture seule au dossier Musique de l’utilisateur.
-
Accès lecture dans le dossier de Photos de l’utilisateur.
-
Accès en lecture / écriture seule au dossier de Photos de l’utilisateur.
-
Capturez des images et des vidéos de la caméra intégrée.
-
Capturez du son en utilisant le microphone intégré.
-
interaction avec les périphériques USB
10. Accès en lecture /écriture au dossier de téléchargement de l’utilisateur.
11. Lecture seule du contenu de la boite de dialogue « ouvrir » ou « Enregistrer »
12. Lecture / Ecriture des accès aux fichiers du contenu de la boite de dialogue « ouvrir » ou « Enregistrer ».
13. Accès par héritage au processus enfant d’une application « Sandoxisée ».
14. Prise réseau sortant pour la connexion à d’autres machines
15. Prise réseau entrant pour la connexion à d’autres machines.
16. Lecture / écriture des contacts de l’utilisateur
17. Lecture / écriture des calendriers de l’utilisateur.
18. Utilisation de la géolocalisation
19. Utilisation de l’impression
Quid des accès Bluetooth ? de Thunderbolt ?… et bien d’autres
Les miscellanées Numériques 