Le système de « notarisation » d’Apple, une structure qui entrave la liberté logicielle des développeurs et des utilisateurs

 (fsfe.org)
1 points par GN⁺ 2025-11-10 | 1 commentaires | Partager sur WhatsApp
  • Alors que le Digital Markets Act (DMA) de l’UE vise à atténuer la domination des géants technologiques et à garantir la neutralité des appareils, la procédure de « notarisation » des apps d’Apple va directement à l’encontre de cet objectif
  • Toutes les apps iOS doivent passer par les serveurs d’Apple pour être inspectées, approuvées et à nouveau signées de manière cryptographique, ce qui en fait une structure de gatekeeping par laquelle Apple contrôle entièrement l’installation et la distribution des apps
  • Pour exploiter un app store tiers, Apple exige soit une lettre de crédit d’un million d’euros, soit plus d’un million d’installations sur deux années consécutives, bloquant de fait l’accès des organisations à but non lucratif, des startups et des développeurs individuels
  • Ce système de notarisation porte atteinte aux droits de vérification et de redistribution du logiciel libre et affaiblit la concurrence et l’interopérabilité
  • Des organisations de la société civile demandent à la Commission européenne d’imposer des sanctions et d’introduire un modèle alternatif décentralisé de curation logicielle, présenté comme un enjeu clé pour concrétiser la transparence et le libre choix des utilisateurs visés par le DMA

Le Digital Markets Act (DMA) de l’UE et la réponse d’Apple

  • Le DMA vise à réorganiser les rapports de force structurels sur les marchés numériques et fait de la neutralité des appareils (device neutrality) — c’est-à-dire le droit des utilisateurs à décider quels logiciels exécuter sur leurs propres appareils — un principe central
  • Cette loi offre l’occasion d’ouvrir des écosystèmes fermés comme iOS afin d’autoriser des alternatives fondées sur le logiciel libre (Free Software)
  • Apple s’y oppose en engageant des poursuites contre les autorités de régulation et en écartant le logiciel libre via l’interdiction du sideloading, le blocage des app stores alternatifs et la limitation de l’interopérabilité

Signalement formel d’organisations de la société civile

  • ARTICLE 19 et GFF (Gesellschaft für Freiheitsrechte) ont déposé le 22 octobre 2025 une plainte officielle auprès de la Commission européenne au motif du non-respect du DMA par Apple
  • La plainte identifie les trois pratiques suivantes comme des violations du DMA
    • l’interdiction de l’installation libre de logiciels tiers (sideloading)
    • le blocage de facto de l’exploitation d’app stores tiers
    • l’absence de mise à disposition gratuite de l’interopérabilité avec les fonctions d’iOS et d’iPadOS

La procédure de « notarisation » d’Apple

  • Toutes les apps doivent être soumises aux serveurs d’Apple afin d’être scannées, approuvées et à nouveau signées de manière cryptographique avant de pouvoir être installées
  • Ce processus s’applique de la même manière aux apps distribuées hors de l’App Store, ce qui permet à Apple de contrôler toute installation d’app
  • Il en résulte une structure centralisée de censure au nom de l’examen de sécurité, qui rend développeurs et utilisateurs dépendants de l’écosystème Apple

Des exigences excessives imposées aux app stores tiers

  • Pour autoriser un app store tiers, Apple impose l’une des conditions suivantes
    1. la présentation d’une lettre de crédit de 1 million d’euros émise par un établissement financier noté A ou plus
    2. être membre du programme développeur depuis au moins 2 ans et justifier de plus d’un million d’installations annuelles dans l’UE
  • Ces conditions sont injustes pour les organisations à but non lucratif, les PME, les startups et les développeurs individuels, et ferment l’accès au marché
  • Alors que le sideloading est autorisé sur macOS, cette même liberté est bloquée sur iOS et iPadOS, ce qui maintient un contrôle monopolistique uniquement sur les appareils mobiles

Impact sur le logiciel libre

  • La procédure de notarisation impose l’adhésion à un compte développeur payant, l’acceptation de conditions juridiques restrictives et la participation à un processus d’examen fermé
  • Les binaires approuvés sont resignés avec un DRM, de sorte que l’utilisateur ne peut ni vérifier la correspondance entre le code source et l’exécutable, ni les redistribuer librement
  • Cela porte atteinte au droit de vérification des utilisateurs et à l’autonomie des développeurs, et aboutit à une structure dans laquelle même les opérateurs d’app stores alternatifs ne peuvent pas distribuer d’apps sans l’approbation d’Apple

Conflit avec le DMA

  • Le DMA précise que les gatekeepers doivent autoriser l’installation d’app stores tiers et ne pas imposer de restrictions techniques inutiles
  • Or, avec sa notarisation, Apple soumet toutes les apps à sa propre procédure d’approbation, renforçant ainsi une structure de dépendance interdite par le DMA
  • Il en découle une atteinte à la concurrence, un affaiblissement des développeurs indépendants et l’exclusion de projets à but non lucratif

L’alternative de la curation logicielle décentralisée

  • Les organisations de la société civile demandent à la Commission européenne d’imposer des sanctions et de mettre en place une structure alternative
  • La curation décentralisée (decentralised curation) est un modèle déjà éprouvé par des dépôts comme F-Droid, démontrant la coexistence entre sécurité et logiciel libre
    • la confiance y est répartie non pas vers une entreprise unique, mais via des pipelines de vérification transparents, des builds reproductibles et des audits communautaires
    • les utilisateurs choisissent directement les acteurs auxquels ils font confiance, et les curateurs évoluent dans une structure responsable devant le public
  • Ce modèle met en œuvre l’interopérabilité, la transparence et le libre choix des utilisateurs, et assure la sécurité par la diversité et une intégrité vérifiable, plutôt que par le secret industriel

Enjeux à venir

  • Pour que le DMA soit réellement effectif, les autorités de régulation doivent voir la notarisation non comme une “fonction de sécurité”, mais comme un “outil de contrôle”
  • La conception de la sécurité d’Apple affaiblit la transparence, la concurrence et l’autonomie des utilisateurs, et porte atteinte à la liberté logicielle
  • La Commission européenne doit garantir une véritable ouverture ainsi que les droits à l’installation, au partage et à la vérification libres pour que les objectifs du DMA soient atteints
  • Il s’agit non pas d’un simple problème technique, mais d’une question de liberté (freedom)

À lire aussi

1 commentaires

 
GN⁺ 2025-11-10
Avis Hacker News
  • J’ai arrêté la distribution de binaires pour plusieurs outils
    Je n’aimais pas devoir payer 100 dollars par an, et j’étais fatigué de devoir sans cesse expliquer comment les exécuter sans signature
    Du coup, j’ai laissé cet article à disposition pour que les gens puissent s’y référer
    • Au fond, publier le code source est plus simple et semble aussi bénéfique pour les utilisateurs
    • À noter que le billet soumis porte sur la notarisation pour iOS, et n’a presque rien à voir avec la notarisation sur macOS
      Côté iOS, c’est en pratique une version allégée de l’app review
      Documentation liée : documentation Apple Developer
  • Sur Windows, c’est une situation similaire
    Les développeurs doivent faire de la signature de code, et d’après mon expérience c’était encore plus pénible
    Il fallait utiliser un jeton USB, ce qui rendait ça quasiment impossible dans un environnement CI/CD
    Dans notre entreprise, on faisait tourner une VM Windows sur un mac mini, avec le jeton de signature branché, pour signer les binaires macOS et Windows
    La solution idéale serait que l’OS facilite au niveau système l’intégration de certificats tiers
    Il faudrait permettre aux utilisateurs de faire de l’auto-signature (self-sign) de manière fiable, tout en comprenant les risques
    • J’ai eu un problème similaire moi aussi
      Pour signer des binaires Windows depuis Linux, on peut utiliser osslsigncode
      Au final, nous avons utilisé Digicert Keylocker
      Nous l’avons configuré pour une signature automatique depuis Linux via un outil CLI
    • Quand on lance un programme non signé, Windows affiche une fenêtre UAC jaune, mais l’exécution reste possible
      Le problème sur macOS, c’est qu’on ne peut pas l’exécuter aussi simplement
    • À la place d’un jeton USB, on peut aussi utiliser un HSM comme Azure Key Vault et signer avec Azure signtool
    • À titre de précision, la notarisation n’est pas la même chose que la signature de code
      C’est une étape supplémentaire après la signature, où il faut téléverser le logiciel sur les serveurs d’Apple pour approbation
      Il n’y a pas de grand bénéfice en matière de sécurité, mais la procédure est devenue plus complexe
    • Je recommande d’essayer Azure Trusted Signing en environnement CI
      La signature Windows était un cauchemar autrefois, mais aujourd’hui c’est devenu assez simple pour environ 10 dollars par mois
  • La phrase citée dans l’article prête à confusion
    La notarisation d’Apple n’est pas une revue complète d’application
    D’après la documentation officielle, c’est une procédure où un système automatisé vérifie la présence éventuelle de malware et les problèmes de signature
    Apple soutiendra probablement que l’exigence de notarisation est autorisée au titre de l’article 6.7 du DMA (Digital Markets Act)
    La question centrale est de savoir si cette mesure est « strictement nécessaire et proportionnée »
    Personnellement, je pense que l’idée de « strictement nécessaire » entre en conflit avec une stratégie de defense in depth
    Il faudra voir comment les tribunaux l’interpréteront
    • Le billet soumis porte sur la notarisation iOS, et c’est totalement différent de la notarisation macOS
      C’est dommage qu’Apple utilise le même terme, ce qui entretient la confusion
  • C’est une forme de satire sur le fait qu’Apple fabrique des smartphones sur lesquels seules les apps approuvées par Apple peuvent s’exécuter, tout en faisant payer les développeurs
    L’analogie prend aussi Nintendo, qui fabrique des consoles sur lesquelles seuls les jeux approuvés par Nintendo peuvent tourner
    Il est souligné que 70 % des revenus de l’App Store iOS proviennent des jeux
  • J’ai quitté l’écosystème Apple il y a longtemps
    Je suis content de voir davantage de développeurs ouvrir les yeux sur cette réalité
    • J’ai fait le même choix
      Arrêter le développement iOS/macOS a été la meilleure décision de carrière que j’aie prise
  • J’aimerais que la FSFE engage aussi une action similaire contre Google, pour empêcher l’obligation d’enregistrement des développeurs qui veulent distribuer des apps en dehors du Play Store
    S’il y avait une telle initiative, j’aimerais la soutenir par un don
  • J’ai galéré autrefois avec une application de bureau Electron
    L’intégration de la notarisation et de la signature était catastrophique, chaque première soumission prenait plusieurs jours, et la configuration du CI/CD sur GitHub Actions était bien trop complexe
    Si en plus on ajoute cette nouvelle politique de notarisation, on se dit au final que Apple reste fidèle à elle-même
  • Ce type de procédure de notarisation deviendra sans doute encore plus important quand le Cybersecurity Resilience Act de l’UE entrera en application fin 2027
  • En tant qu’utilisateur iOS, j’aime bien ce genre de politique
    Parce que cela permet de protéger ma grand-mère contre les apps frauduleuses
    Quand elle utilisait un téléphone Android, elle s’était déjà fait convaincre au téléphone d’installer une fausse app bancaire et avait perdu de l’argent
    Ce n’est pas parfait, mais comme un droit d’entrée en boîte ou une résidence fermée, cela constitue au moins une barrière de sécurité minimale
    • Mais l’App Store est lui aussi rempli d’apps d’arnaque par abonnement
      En pratique, cela ne fonctionne pas aussi bien que la publicité le laisse entendre
  • Au final, comme Windows impose lui aussi de payer le certificat, on se retrouve dans une situation comparable