iOS commence à autoriser des moteurs de navigateur alternatifs au Japon

 (developer.apple.com)
8 points par GN⁺ 2026-01-02 | 3 commentaires | Partager sur WhatsApp
  • À partir d’iOS 26.2, les apps destinées aux utilisateurs au Japon peuvent utiliser des moteurs de navigateur autres que WebKit. Deux catégories sont autorisées : les applications de navigateur complètes et les apps utilisant un moteur de navigateur embarqué
  • Apple fournit aux développeurs approuvés un accès à des technologies système permettant d’implémenter des moteurs de navigateur hautes performances, notamment la compilation JIT et la prise en charge multiprocessus
  • En raison des risques de sécurité, Apple n’accorde ces autorisations qu’aux développeurs qui respectent des exigences strictes en matière de sécurité et de confidentialité et s’engagent à fournir des mises à jour de sécurité continues
  • Les apps de navigateur comme les apps de navigation intégrée doivent satisfaire à des critères détaillés, notamment en matière de taux de réussite aux tests, sûreté mémoire, gestion des vulnérabilités et politique de blocage des cookies
  • Cette mesure est considérée comme une évolution de politique visant à élargir le choix des moteurs de navigateur sur le marché japonais tout en maintenant la sécurité des utilisateurs

Vue d’ensemble de l’autorisation des moteurs de navigateur alternatifs dans iOS 26.2

  • À partir d’iOS 26.2, l’utilisation de moteurs de navigateur autres que WebKit est autorisée pour les utilisateurs au Japon
    • Deux types d’applications sont concernés :
      1. Applications de navigateur dédiées (offrant une expérience complète de navigation web)
      2. Apps de navigation intégrée fournies par l’administrateur du moteur de navigateur (utilisant un moteur embarqué)
  • Apple accorde aux développeurs approuvés l’accès à des technologies système clés, notamment la compilation JIT et la prise en charge multiprocessus
  • Les moteurs de navigateur étant exposés à des contenus malveillants et à des données utilisateur sensibles, Apple n’approuve que les développeurs qui remplissent des critères précis et respectent des exigences de sécurité continues

Web Browser Engine Entitlement (pour les applications de navigateur dédiées)

  • Cette autorisation permet de développer des applications de navigateur utilisant un moteur alternatif
    • Il faut examiner les conditions préalables puis soumettre une demande à Apple
    • Apple fournit comme documentation technique BrowserEngineKit, BrowserEngineCore et le guide de configuration du navigateur par défaut

Conditions d’éligibilité

  • L’app doit être distribuée exclusivement sur iOS au Japon et être fournie sous la forme d’un binaire distinct des autres apps utilisant le moteur fourni par le système
  • Elle doit disposer du Default Browser Entitlement
  • Exigences fonctionnelles :
    • Réussir au moins 90 % des Web Platform Tests et 80 % de Test262
    • Respecter les mêmes seuils lorsque le JIT est désactivé (par exemple en Lockdown Mode)

Exigences de sécurité

  • Adoption d’un processus de développement sécurisé et surveillance des vulnérabilités de la chaîne d’approvisionnement
  • Fourniture d’une URL de politique de divulgation des vulnérabilités et d’un canal de signalement tiers
  • Obligation de mettre en place des mesures d’atténuation sous 30 jours en cas de vulnérabilité
  • Exploitation d’une page publique des vulnérabilités corrigées
  • Publication d’une politique sur les certificats racine et participation au CA/Browser Forum
  • Prise en charge obligatoire des protocoles TLS les plus récents

Exigences de sécurité du programme

  • Utilisation d’un langage sûr pour la mémoire ou de fonctionnalités de sûreté équivalentes
  • Mise en œuvre de techniques d’atténuation récentes comme Pointer Authentication Codes (PAC) et Memory Integrity Enforcement (MIE)
  • Isolation des processus, validation des IPC et priorité à la correction des vulnérabilités
  • Interdiction d’utiliser des bibliothèques qui ne reçoivent plus de mises à jour de sécurité

Exigences de confidentialité

  • Blocage par défaut des cookies tiers, avec activation uniquement après consentement de l’utilisateur
  • Isolation du stockage par site et blocage des accès intersites
  • Interdiction de synchroniser l’état entre applications, sauf autorisation explicite de l’utilisateur
  • Interdiction de partager des identifiants d’appareil et obligation d’étiquetage App Privacy Report
  • Les API d’accès aux PII nécessitent une action active et le consentement de l’utilisateur

Embedded Browser Engine Entitlement (pour la navigation intégrée)

  • Permet d’embarquer un moteur de navigateur alternatif dans l’app pour afficher du contenu web
    • La navigation intégrée est limitée à l’affichage de contenus accessibles depuis un navigateur web
    • L’interface doit occuper la majeure partie de l’écran, inclure un bouton d’ouverture dans le navigateur par défaut et afficher le domaine/l’URL

Conditions d’éligibilité

  • Le demandeur doit être un browser engine steward
    • Une organisation qui assume directement la responsabilité opérationnelle et de sécurité du moteur
    • Le moteur doit être distinct, avec une architecture indépendante et la prise en charge des Web API

Exigences applicatives

  • Distribution exclusivement sur iOS au Japon, avec interdiction de détenir l’autorisation de navigateur par défaut
  • Réussir au moins 90 % des Web Platform Tests et 80 % de Test262
  • Respecter les mêmes seuils lorsque le JIT est désactivé

Exigences de sécurité et de programme

  • Processus de développement sécurisé, politique de divulgation des vulnérabilités, réponse sous 30 jours et prise en charge de TLS identiques à celles des applications de navigateur dédiées
  • Obligation d’utiliser un langage sûr pour la mémoire, d’appliquer des techniques modernes d’atténuation de sécurité et de prioriser la correction des vulnérabilités
  • Interdiction d’utiliser des bibliothèques qui ne reçoivent plus de mises à jour de sécurité

Exigences de confidentialité

  • Blocage des cookies tiers, isolation du stockage par site et interdiction de partager des identifiants d’appareil
  • Étiquetage App Privacy Report et consentement de l’utilisateur requis pour l’accès aux PII

Exigences supplémentaires

  • Lors de la soumission de l’app, il faut indiquer le nom et la version du moteur embarqué
  • Après la publication d’une nouvelle version du moteur, une mise à jour de l’app doit être soumise dans les 15 jours

Documentation développeur et guide de sécurité

  • Secure SDLC : développement axé sécurité recommandé, avec modélisation des menaces, audit de code et tests de fuzzing
  • Memory Safety : utilisation recommandée de la sûreté mémoire native de Swift, de std::span en C/C++ et de l’option -fbounds-safety
  • Vulnerability Management : gestion des vulnérabilités publiques basée sur les identifiants CVE, avec déploiement rapide des correctifs
  • Network Security : utilisation recommandée du Network framework de l’iOS SDK et de l’API SecTrust
    • Prise en charge obligatoire de TLS 1.2 et 1.3, avec avertissement utilisateur en cas d’utilisation d’anciens protocoles

Documents et avenants associés

  • Embedded Browser Engine Entitlement Addendum for Apps in Japan
  • Web Browser Engine Entitlement Addendum for Apps in Japan

À lire aussi

3 commentaires

 
wedding 2026-01-05

Ce n’est pas pour être sarcastique, mais Safari respecte bien toutes ces nombreuses exigences… n’est-ce pas ?
 
kimjoin2 2026-01-03

Wow, c’est surprenant que ça commence aussi au Japon. Je pensais que ce genre de chose arriverait d’abord en Europe ou aux États-Unis.
 
GN⁺ 2026-01-02
Avis sur Hacker News

  • Je ne pense pas qu’Apple bloquera les navigateurs concurrents, mais je sais que cela arrivera
    J’ai l’impression que l’iPhone est en pratique le dernier rempart contre un monopole de Chrome/Chromium
    Google ne laissera probablement pas les choses à l’abandon comme Microsoft l’a fait, mais il obtiendra une influence comparable
    Je ne veux vraiment pas d’un monde où la plupart des sites ne fonctionnent correctement que dans Chrome
    Au final, l’entêtement d’Apple freine ce mouvement, même si c’est involontaire

    • J’aimerais que les régulateurs limitent de façon générale le contrôle dictatorial d’Apple
      Je pense que l’inquiétude autour d’une domination de Chrome sur le web est exagérée. Ce n’est pas parce qu’une nouvelle API est ajoutée que tous les sites web vont l’utiliser
      Firefox a sauvé le web même à l’époque où IE avait 95 % de parts de marché, donc je ne vois pas pourquoi il faudrait dépendre aujourd’hui d’Apple seul
      Cela ressemble à une forme d’impuissance acquise
    • Tant que Safari reste l’application par défaut, je ne pense pas que Chrome sera une grande menace sur iOS
      En plus, le web mobile lui-même se réduit de plus en plus au profit des apps
      Avec la tendance à remplacer la recherche web par la recherche IA, l’influence du web va sans doute encore diminuer
    • C’est déjà trop tard. Apple fait aussi partie du problème
      Par exemple, comme FaceTime ne prenait pas en charge Firefox, j’ai utilisé Edge, puis j’ai finalement dû passer à Google Meet
    • Quand IE dominait le marché en ajoutant de nouvelles fonctionnalités, les gens en étaient plutôt contents
      Le problème a commencé quand ils ont cessé d’innover
      Des technologies comme ActiveX, Flash et Silverlight ont dégradé le web avec leurs problèmes de sécurité, et IE est finalement devenu un enfer pour les développeurs comme pour les utilisateurs
      Je pense que l’actuel Mobile Safari a repris ce rôle
      J’utilise Firefox sur PC et Android, mais sur mobile, je pense qu’un navigateur basé sur Chromium est un meilleur choix
    • Safari est tellement mauvais que j’aimerais avoir une vraie expérience Chrome sur iOS

  • Parmi les nouvelles règles japonaises, l’exigence d’utiliser un langage sûr en mémoire m’a semblé intéressante
    Mais Apple lui-même satisfait-il à cette exigence ? WebKit est écrit en C++
    La signification exacte de « fonctionnalités améliorant la sûreté mémoire » reste floue

    • On peut consulter le document Safer C++ Guidelines de WebKit
    • Je me demande si Apple remplacera un jour WebKit par un moteur basé sur Swift, ou s’il y migrera progressivement

  • Je suis surpris qu’Apple n’ait pas encore ouvert cela à l’échelle mondiale
    Maintenir un système où c’est ouvert dans un pays et bloqué dans un autre finira forcément par entraîner confusion et coûts

    • Mais Apple continuera à fonctionner ainsi tant que les revenus sont préservés
      Pour une multinationale, gérer ce genre de complexité réglementaire fait partie du quotidien
    • Techniquement, c’est possible, mais le coût mental et opérationnel de la gestion des règles par région, ainsi que de la formation des employés et des clients, sera élevé
      Le contrôle des moteurs de navigateur semble relever davantage du maintien du contrôle que des revenus
    • J’espère pouvoir utiliser correctement Firefox et uBlock Origin le plus vite possible
    • « FeatureToggles.swift » : on dirait une blague, mais aussi une pique envers la politique d’Apple
    • Apple déteste profondément qu’on lui dise quoi faire
      Les négociations avec le Japon se sont mieux passées qu’avec l’UE, mais il y a encore beaucoup de mécontentement
      Donc ils ne céderont pas facilement à l’échelle mondiale

  • Apple semble appliquer au Japon les règles d’autorisation des moteurs de navigateur tiers qu’il a créées pour l’UE
    Mais les conditions sont tellement strictes que, même dans l’UE, aucun navigateur à moteur alternatif n’a réellement été lancé
    L’app doit être construite comme un binaire entièrement séparé, ce qui complique la transition pour de gros navigateurs comme Chrome

    • En plus, dans l’UE, il y a aussi la contrainte supplémentaire selon laquelle le développeur doit être établi dans l’UE

  • J’espérais que les lois japonaises et européennes déclencheraient des changements à l’échelle mondiale, mais les grandes entreprises ont les moyens d’absorber l’inefficacité pays par pays

    • Côté matériel, une unification a eu lieu avec l’USB-C, mais le logiciel reste séparé
      Par exemple, l’iPhone limite l’accès aux app stores alternatifs en fonction de la localisation
      Voir cet article
    • Et si une loi exigeait qu’Apple supprime des fonctionnalités comme ses pop-ups de transparence du suivi ?
      Apple a déjà été condamné à des amendes dans deux pays à cause de cette pop-up
    • Beaucoup de politiques d’Apple sont anticoncurrentielles, mais je pense que la restriction des moteurs de navigateur vise davantage la sécurité, la batterie et la standardisation

  • En regardant les exigences pour le « gestionnaire de moteur de navigateur », on dirait qu’en pratique seuls Google et Mozilla sont éligibles
    Même Microsoft est exclu puisqu’il est basé sur Blink
    Les petits moteurs auront du mal à satisfaire les exigences de base, ce qui rend l’entrée sur le marché pratiquement impossible

  • Je me demande si on pourra enfin utiliser sur iOS un vrai Firefox + uBlock Origin

    • Apple se contentera d’une conformité littérale à la loi, tout en continuant à résister par tous les moyens
      Avec des exigences complexes, des API limitées et des bugs laissés en plan, les développeurs vont souffrir
      Il est peu probable qu’une entreprise investisse les ressources juridiques et de développement nécessaires pour porter un moteur complet uniquement pour le marché japonais
    • Mozilla pourrait aussi ne pas participer à cause de la charge de maintenance d’apps régionales
      Article lié
    • En attendant, on peut utiliser uBlock Origin Lite pour Safari
      C’est plutôt bien
    • Les mêmes règles ont été appliquées dans l’UE, mais aucun navigateur à moteur alternatif n’est apparu
      Pour l’instant, on peut utiliser uBlock Origin Lite pour Safari ou un autre bloqueur de pub
    • À noter qu’iOS Safari prend déjà en charge uBlock Origin Lite
      Firefox dispose aussi de sa propre protection contre le pistage

  • Je vois souvent des gens craindre qu’en ouvrant son écosystème, Apple perde son image favorable aux consommateurs
    Mais l’argument selon lequel « sans le contrôle d’Apple, ce sera le chaos » n’est qu’un choix entre deux extrêmes
    Il nous faut un juste milieu entre le contrôle total d’Apple et l’abandon des utilisateurs à eux-mêmes
    Si le marché ne fonctionne pas de manière concurrentielle, la régulation doit protéger les utilisateurs et les développeurs
    Le fait qu’Apple verrouille le matériel crée un précédent dangereux, et je crains que d’autres entreprises n’imitent cela

    • Apple contrôle directement la vitesse et la direction de l’innovation sur iOS
      Une nouvelle fonctionnalité ou une nouvelle app ne peut exister que si Apple l’autorise
      Même des services comme Dropbox ou GDrive ont perdu des fonctionnalités pour s’adapter au backend bogué d’Apple
      Cette structure est anormale
    • La seule alternative, au fond, c’est Android ?

  • L’exigence de binaire séparé imposée par Apple est pratiquement du niveau de l’illégalité
    Interdire le partage de l’état de connexion, imposer le blocage des cookies : ce n’est pas au système d’exploitation de décider cela
    Apple lui-même ne respecte même pas la règle des correctifs de sécurité sous 30 jours

  • Il est étonnant de voir Apple déployer des efforts extrêmes pour ne faire des exceptions que dans certains pays