iOS a été une forteresse pratiquement impénétrable tout au long de ses 17 années d’existence. Les utilisateurs n’avaient accès qu’aux applications et fonctionnalités autorisées par Apple. Mais aujourd’hui, l’entreprise américaine a dû céder à la pression du marché et des réglementations et changer le statu quo. Depuis le 6 mars, date d’entrée en vigueur de la loi sur les marchés numériques (DMA) de l’UE, la nouvelle version d’iOS (17.4) permet l’installation de places de marché alternatives et de navigateurs tiers sur les iPhone, mais uniquement pour les utilisateurs de l’UE. En parallèle, certaines fonctionnalités familières, comme les applications Web progressives (PWA) exécutées dans le navigateur et ajoutées sous forme d’icônes à l’écran d’accueil, vont disparaître. Quelles nouvelles fonctionnalités et quelles menaces cela représente-t-il pour les utilisateurs ?
Comment installer une boutique d’applications alternative
Pour garantir une concurrence loyale, les régulateurs ont demandé à Apple d’autoriser les places de marché d’applications tierces sur les iPhone. L’utilisateur pourra donc se rendre sur le site Internet d’une autre boutique d’applications, cliquer sur installer (c’est-à-dire installer l’application de la boutique d’application !) et, après avoir explicitement confirmé son intention, installer l’application sur son appareil. Il pourra alors être utilisé à la place de l’App Store d’Apple ou en parallèle.
On ne sait toujours pas ce que ces boutiques vont contenir, ni qui voudrait en ouvrir une. L’important, c’est que ces boutiques ne seront pas tenues d’observer toutes les règles établies par Apple. Elles proposeront donc probablement des services et technologies auparavant interdits par Apple, notamment les paiements en dehors de l’App Store. Epic Games, l’un des principaux lobbyistes à l’origine de l’action en justice avec Spotify, souhaitera probablement ouvrir une place de marché d’applications, mais si l’on se fie au dernier épisode du bras de fer entre Apple et Epic Games, cette initiative pourrait prendre du temps.
De plus, Apple semble vouloir éviter l’anarchie. En effet, pour approuver une boutique d’applications, le créateur doit passer une sélection et fournir une lettre de garantie d’un million d’euros. Il est interdit de proposer différentes versions d’une même application dans l’App Store et dans les boutiques alternatives : si un développeur veut rendre son application disponible dans tous les magasins, elle doit être identique. Enfin, toutes les applications devront faire l’objet d’une « notarisation » auprès d’Apple. Si le processus est identique à la notarisation sur macOS, Apple lancera probablement une recherche de programmes malveillants et une vérification du respect de certaines recommandations techniques de manière automatique plutôt que manuelle.
Répercussions sur la sécurité : iOS va accueillir de plus en plus de programmes malveillants. Apple continuera de réglementer en partie l’installation d’applications tierces : impossible de changer les paramètres en un clic pour installer une application inconnue depuis un site Internet suspect comme sur Android. Cela dit, l’analyse automatisée conçue par les ingénieurs de Cupertino pour les places de marché d’applications tierces sera encore plus facile à tromper que les modérateurs humains de l’App Store. La quantité et la diversité des programmes malveillants sur iOS vont donc probablement augmenter.
En plus des programmes malveillants évidents, Apple s’inquiète à juste titre du risque plus élevé d’applications au contenu frauduleux et aux systèmes de paiement opaques. Ce type de problèmes ne peut être détecté par l’analyse automatisée.
Malheureusement, les nouvelles règles n’aident pas à introduire sur iOS des solutions d’antivirus et de sécurité au niveau du système d’exploitation comme pour Android, car iOS ne dispose toujours pas des fonctionnalités requises pour cela. Par conséquent, nous vous recommandons de réfléchir attentivement avant d’installer des boutiques d’applications tierces et d’y télécharger du contenu. Installer une place de marché créée par une grande entreprise pour obtenir un jeu célèbre, avec des dizaines de millions de téléchargements, est probablement sans danger. Mais notre conseil de vigilance donné tout à l’heure aux utilisateurs d’Android s’applique également aux utilisateurs européens d’iOS. Pour rappel, les téléchargements de programmes malveillants depuis Google Play ont dépassé les 600 millions l’an dernier.
Répercussions sur la confidentialité : selon Apple, les restrictions relatives au suivi des applications s’appliqueront aux applications téléchargées depuis des boutiques tierces. Cependant, les données de confidentialité de l’application, remplies par les développeurs avant de publier leurs applications sur l’App Store, peuvent être moins détaillées, voire inexistantes dans d’autres boutiques.
Répercussions sur le contrôle parental. Même si les restrictions de temps d’écran fonctionneront toujours avec toutes les applications, les restrictions concernant les achats intégrés aux jeux ou les achats familiaux et les demandes d’achat d’applications nécessitant une confirmation parentale pourraient ne pas fonctionner correctement ou être absentes des applications téléchargées depuis d’autres places de marché.
Navigateurs tiers
Les navigateurs alternatifs sous iOS ne datent pas d’hier, mais avant l’entrée en vigueur de la DMA, ils n’étaient que de simples interfaces autour du moteur WebKit d’Apple, seule option disponible pour afficher du contenu Web sur iOS. Apple autorisera désormais les autres moteurs, mais seulement après une procédure de certification spécifique. À vrai dire, la situation concernant les moteurs de navigateur n’est pas différente sur les autres plateformes, presque tous les navigateurs » alternatifs » étant basés sur le code Chromium (moteur Blink) géré par Google. Gecko de Mozilla, utilisé dans Firefox, a une part de marché notable, mais c’est à peu près la seule option des consommateurs.
Comme Google et Mozilla se préparent à lancer Blink et Gecko sur iOS, il est très probable que les utilisateurs de l’UE verront bientôt les navigateurs complets Firefox et Chrome. Lors de la première ouverture de Safari ou d’une page Internet depuis n’importe quelle application, les utilisateurs dans l’UE pourront choisir un navigateur par défaut.
Conséquences en matière de sécurité : il y a deux aspects, car nous nous attendons à une amélioration de la sécurité dans certaines zones et à une détérioration dans d’autres. En plus des problèmes connus de WebKit, Firefox et Chrome présenteront probablement des défauts, et il faudra voir à quelle vitesse leurs développeurs respectifs les corrigeront. Cependant, ils bénéficient l’un comme l’autre d’une solide réputation en matière de correctifs de vulnérabilité. D’autre part, les vulnérabilités de type zero-day des logiciels Apple, y compris WebKit, ont toujours été le principal vecteur d’attaques contre les iPhone à l’aide de logiciels espions, à la fois commerciaux, comme Pegasus, et ciblés, comme Triangulation. Aujourd’hui, les développeurs de ces attaques savent que les victimes utilisent les navigateurs Safari/WebKit. Demain, ils devront prendre en considération toutes les options de navigateurs, ce qui compliquera la conception et l’exécution de ces attaques.
Répercussions sur la vie privée : elles dépendent du navigateur alternatif choisi. Si l’on suit l’exemple de Windows et macOS, le passage à Firefox devrait améliorer le niveau de confidentialité ou le maintenir au niveau de Safari, tandis que l’utilisation de Chrome pourrait entraîner une baisse de la confidentialité, comme le suggèrent les outils de protection contre le suivi et les paramètres par défaut de ces navigateurs.
Conséquences sur le contrôle parental : nous ne savons pas encore comment les navigateurs alternatifs protégeront les enfants des contenus indésirables, mais il semble que le contrôle sera techniquement plus difficile à configurer. Par conséquent, nous avons des doutes sur son efficacité.
Une perte notable
Avec l’entrée en vigueur de la DMA, les utilisateurs européens seront à la fois perdants et gagnants. Sur ce premier point, pour mettre en œuvre la fonctionnalité requise pour les navigateurs alternatifs, Apple abandonne complètement la prise en charge progressive des applications Web dans l’UE. Bien que ces applications soient pratiquement des pages Internet, il est difficile de les distinguer des véritables applications, car elles peuvent enregistrer du contenu sur l’appareil, envoyer des notifications et se comporter de manière très similaire à d’autres égards. Les boutiques en ligne, magazines et restaurants choisissent généralement les PWA pour leurs applications. Toutes ces mini-applications, qui s’ajoutaient si facilement à l’écran d’accueil de l’iPhone, ne fonctionneront plus dans l’UE lors de la prochaine mise à jour d’iOS. Toutes les entreprises qui ont opté pour un format PWA n’auront pas le temps de s’adapter au changement.
Disponibilité des navigateurs et boutiques d’applications tiers en dehors de l’UE
Apple s’est bien assuré que la nouvelle fonctionnalité sera disponible uniquement dans la région où elle est légalement obligatoire, à savoir l’Union européenne. Seuls les utilisateurs inscrits dans l’un des 27 États membres de l’UE recevront les mises à jour iOS 17.4 décrites ici. Les résidents d’autres pays ne seront pas affectés par les changements, donc la simple activation d’un VPN néerlandais ou des vacances à Chypre ne suffiront pas pour obtenir les mises à jour iOS en question. De plus, même les résidents de l’UE qui quittent le territoire de l’Union pendant plus de 30 jours perdront l’accès aux mises à jour d’applications sur les places de marché tierces jusqu’à leur retour.