Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Le nouveau login Apple obligatoire dans les applications si au moins un login tiers est proposé

Le nouveau login Apple obligatoire dans les applications si au moins un login tiers est proposé

Le 04 juin 2019 à 09h24

L’une des plus grosses annonces hier soir durant la conférence d’ouverture de la WWDC était « Sign-in with Apple ». La fonctionnalité, bien que moins visible qu’un mode sombre dans iOS 13 ou le nouveau Mac Pro, pourrait avoir un écho plus large.

Apple, dont la communication est centrée sur la sécurité et le respect de la vie privée, proposera cet été un outil de login tiers, à la manière de ce que fournissent Google et Facebook depuis des années.

Mais pour bien se démarquer, Apple mise justement sur la vie privée : tout est chiffré, rien n’est enregistré, rien n’est communiqué aux applications et services en dehors du strict nécessaire. Mieux, la fonction peut générer des adresses email « relais » aléatoires si nécessaire.

Pour s’assurer que le service sera utilisé, Apple a modifié ses règles pour l’App Store. Désormais, toute application utilisant au moins un système tiers de connexion devra aussi proposer la solution d’Apple. Un point confirmé à TechCrunch par Apple.

Si ladite solution tient ses promesses, elle pourrait à terme s’avérer gênante pour les géants en place, dont le chiffre d’affaires est intimement lié à la collecte de données personnelles pour la personnalisation des publicités.

Le 04 juin 2019 à 09h24

Commentaires (41)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Encore heureux ! FB Et Google seraient très contents de devoir intégrer le SSO d’Apple dans leur app dans le cas contraire <img data-src=" />

Édit : réponse à misterB

votre avatar

Le faite d’utiliser un email de substitution pour l’authentification avec le site est très intéressante. ça pourrait éviter les recoupements entre différentes bases et de savoir d’où viennent les spams.

Et si en plus la redirection mail est désactivée si on supprimer le lien côté Apple, c’est encore mieux.

votre avatar







Aqua-Niki a écrit :



Encore heureux ! FB Et Google seraient très contents de devoir intégrer le SSO d’Apple dans leur app dans le cas contraire <img data-src=" />

Édit : réponse à misterB





Vu les commentaire je doute que tout ai compris ce point <img data-src=" />


votre avatar

tout a fait, chez nous les dev ios sont pas inquiet dutt

votre avatar







TheMyst a écrit :



Le faite d’utiliser un email de substitution pour l’authentification avec le site est très intéressante. ça pourrait éviter les recoupements entre différentes bases et de savoir d’où viennent les spams.







Le fait d’utiliser un email de substitution implique aussi que seul Apple saura que plusieurs comptes vers des sites tiers appartiennent en réalité à la même personne.



Bien sur, Apple promet que ce savoir sur votre vie privée restera confidentiel.



Et bien sur, ca reste une promesse qui n’engage que ceux qui font confiance à Apple.


votre avatar







127.0.0.1 a écrit :



Le fait d’utiliser un email de substitution implique aussi que seul Apple saura que plusieurs comptes vers des sites tiers appartiennent en réalité à la même personne.



Bien sur, Apple promet que ce savoir sur votre vie privée restera confidentiel.



Et bien sur, ca reste une promesse qui n’engage que ceux qui font confiance à Apple.





C’est à dire que du coup, au lieu de faire confiance à des trafiquants de vie privée + une app que tu connais pas encore tu devras faire confiance à une boite qui n’a rien à gagner à revendre ta vie privée et qui en plus n’aura pas grand chose d’autre qu’une liste de comptes que t’as ouvert.



C’est pas parfait, d’accord, mais c’est un bon compromis simplicité/vie privée.


votre avatar







jpaul a écrit :



tu devras faire confiance à une boite qui n’a rien à gagner à revendre ta vie privée et qui en plus n’aura pas grand chose d’autre qu’une liste de comptes que t’as ouvert.



C’est pas parfait, d’accord, mais c’est un bon compromis simplicité/vie privée.







Tu parles de la boite qui a obtenu 9 milliards de $ pour la place de moteur de recherche par défaut sur ios à un vilain trafiquant de vie privée pour une seule et unique année et qui devrait en obtenir plus pour la suivante ? Mais bon elle n’a “rien à gagner à revendre la vie privée” de ses clients, hein. <img data-src=" />


votre avatar







jpaul a écrit :



C’est à dire que du coup, au lieu de faire confiance à des trafiquants de vie privée + une app que tu connais pas encore tu devras faire confiance à une boite qui n’a rien à gagner à revendre ta vie privée et qui en plus n’aura pas grand chose d’autre qu’une liste de comptes que t’as ouvert.



C’est pas parfait, d’accord, mais c’est un bon compromis simplicité/vie privée.





Pas grand chose d’autre qu’une liste de comptes….

<img data-src=" /><img data-src=" /><img data-src=" />


votre avatar







jpaul a écrit :



C’est à dire que du coup, au lieu de faire confiance à des trafiquants de vie privée + une app que tu connais pas encore tu devras faire confiance à une boite qui n’a rien à gagner à revendre ta vie privée et qui en plus n’aura pas grand chose d’autre qu’une liste de comptes que t’as ouvert.







Non.



C’est à dire que du coup, au lieu de faire confiance à mon fichier perso keepass pour gerer mes multiples identités numériques, je devrai faire confiance a Apple pour les gérer à ma place.


votre avatar

Simple curiosité, tu utilises quoi pour générer des adresses mail aléatoires ? Spamgourmet ? (sur un serveur perso ?)

votre avatar

Absolument rien ne t’obligera à utiliser le login Apple… Tu pourras toujours utiliser des logins propres à chaque application si tu le souhaites. L’obligation de proposer la solution d’identification d’Apple n’est que pour les applis qui proposent des système d’identification tiers (genre FB Connect, Google, …), pas celle squi ont leur propre système.



Donc ton coffre fort KeePass a encore de beaux jours devant lui ;)

votre avatar

En théorie je suis d’accord. Dans les faits, si un dev est obligé d’implémenter le login Apple en plus de son login perso, au bout d’un moment le login d’Apple sera le seul a être implémenté. Pour des raisons de temps/argent, on finit par se contenter du minimum obligatoire pour publier sur le Store.



@Berch: j’utilise souvent MailDrop, mais y a rien de définitif.

votre avatar

Faire ça en pleine enquête sur abus de position dominante, c’est gonflé quand même. Ce serait Microsoft qui ferait quelque chose de similaire, tout le monde gueulerait.



Forcer de faire apparaitre son service à côté des services concurrents, c’est clairement de l’abus de position dominante.



&nbsp;C’est quoi la prochaine étape ?





  • Spotify est obligé de proposer Apple music au démarrage ?

  • Les navigateurs tiers sont obligés de proposer les services Apple quand l’utilisateur va sur un site concurrent ?

  • L’appli Wikipedia doit proposer de voir la page de Steve Jobs quand on consulte la page de Bill Gates ?



    Et il y en a qui trouvent ça acceptable ?

votre avatar







127.0.0.1 a écrit :



En théorie je suis d’accord. Dans les faits, si un dev est obligé d’implémenter le login Apple en plus de son login perso, au bout d’un moment le login d’Apple sera le seul a être implémenté. Pour des raisons de temps/argent, on finit par se contenter du minimum obligatoire pour publier sur le Store.



@Berch: j’utilise souvent MailDrop, mais y a rien de définitif.





Heu bof, ton raisonnement s’applique justement aussi à FB et Google.



J’utilise aussi un password manager plutôt que du SSO et je n’ai jamais été embêté par une app qui me force à utiliser un provider tiers. Login With Apple ne va pas d’un coup changer ça, les devs vont juste ajouter un provider. Si le dev n’utilisais aucun autre provider, il ne sera pas forcé d’utiliser Login Apple.



Et si tu veux voir le côté positif du truc : les devs qui n’ont pas envie d’implémenter de l’auth custom (parce que l’air de rien c’est un métier que beaucoup d’apps externalisent à des services comme Auth0) seront obligés de proposer une alternative à ceux qui n’ont pas de compte Google ou Facebook, ou qui ne veulent pas filer leur vrai mail sans gérer des alias manuellement.



Alors attention, je suis pas en train de justifier l’injustifiable : Si je trouve que les règle d’Apple sur l’App Store sont globalement bonnes pour les utilisateurs (et surtout pour Apple hein), je pense que ce qui les rend absolument toutes injustifiables, celle-ci comprise, c’est le fait qu’on ne peut pas échapper à l’App Store. Il est là pour moi le vrai problème.


votre avatar

Outre les questions concernant la vie privées et cie, je ne comprends pas le problème que vous avez avec cette obligation.



Apple est partie du postulat que les gens sont de plus en plus soucieux de leur vie privée (à travers l’utilisation des apps ici) et qu’ils n’hésitent pas à monter au créneau lorsque celle-ci est bafouée par une app trop intrusive.

Et quels sont, au pif, les 2 services qui ont régulièrement des soucis à ce niveau ? Google et Facebook.

Obliger les dev à mettre en place un système de log respectueux de la vie privée (Apple ne doit pas mentir sinon le retour de flamme sera sévère) pour éviter d’avoir des plaintes à ce sujet, me semble plutôt judicieux.



Pour celles et ceux qui utilisent leurs propre trousseau (Bitwarden auto-hébergé pour ma part), la contrainte est nulle. Pour le développeur, je pense que ce sera hyper facile à implémenter.

Et pour le dev qui ne jurait que par Google/Facebook pour se logger à son app, ben ce sera refus obligatoire pour ma part <img data-src=" /> Ça change rien.

votre avatar







TriEdge a écrit :



Tu parles de la boite qui a obtenu 9 milliards de $ pour la place de moteur de recherche par défaut sur ios à un vilain trafiquant de vie privée pour une seule et unique année et qui devrait en obtenir plus pour la suivante ? Mais bon elle n’a “rien à gagner à revendre la vie privée” de ses clients, hein. <img data-src=" />





On n’est pas obligés d’être extrémistes.



Si t’es un quidam moyen qui veut un smartphone, aujourd’hui t’as le choix entre:

1 - Un OS avec un un moteur de recherche par défaut, que tu peux changer facilement (mais uniquement par un choisi par Apple :/ ) qui envoie toutes tes recherches à Google

2 - Un OS qui envoie absolument tout (chaque app ouverte, chaque clic sur l’écran, chacune de tes positions, chacun de tes mails et de tes messages …)



Si t’es un peu bidouilleur tu peux :

3 - Flasher un téléphone Android avec une rom custom sans Google et gérer toi même les updates, espérer que la communauté va suivre le truc



Globalement toutes ces solutions sont pour moi de la merde. La 3 est peut être la meilleure sur le plan idéologique mais peu accessible, nécessite du temps et que les devs de ta ROM ne changent pas de téléphone.



Donc je suis pas en train de dire qu’Apple est le saint-graal de la vie privée. Le st-graal de la vie privée c’est de tout faire soi même à la maison, tes fichiers sur son NAS, gérer son serveur mail, la synchro de ton keepass, la sécurité, les backups etc … je dis juste que selon moi l’environnement Apple est le moins pire qui existe sur le marché au niveau du respect de la vie privée.


votre avatar

Voilà

votre avatar

Le problème est très simple : que dirait-on si Google Chrome refusait d’afficher les sites que ne proposent pas un login par compte Google ? Ce serait extrêmement mal vu, probablement illégal, et tout le monde passerait à un autre navigateur.

&nbsp;

Ici, la situation est la même. Sauf qu’on ne peut pas changer de fournisseur d’application : on est obligé de passer par l’app store.



Il faut avoir de belles oeillères pour voir ça comme acceptable et moral.

votre avatar







Freud a écrit :



Le problème est très simple : que dirait-on si Google Chrome refusait d’afficher les sites que ne proposent pas un login par compte Google ? Ce serait extrêmement mal vu, probablement illégal, et tout le monde passerait à un autre navigateur.

&nbsp;

Ici, la situation est la même. Sauf qu’on ne peut pas changer de fournisseur d’application : on est obligé de passer par l’app store.



Il faut avoir de belles oeillères pour voir ça comme acceptable et moral.





*Seulement les sites qui proposent le “login by FB/Apple”

Et pas Chrome, mais un navigateur qui demande aux sites 100$/an pour être accessibles, et uniquement accessible sur leur OS complètement fermé


votre avatar

Je mets ça là…



http://macbidouille.com/news/2019/05/27/apple-poursuivie-pour-revente-de-donnees…







Apple s’est fait le défenseur des données personnelles de ses clients, affichant une position ferme sur la protection face à Google ou encore FaceBook.



Pourtant elle est aujourd’hui poursuivie en action en recours collectif par des clients qui l’accusent de vendre des fichiers de données permettant de cibler de manière précise certaines populations de clients iTunes:



“Par exemple, toute personne ou entité peut louer une liste avec les noms et adresses de toutes les femmes célibataires âgées de plus de 70 ans ayant fait des études supérieures et disposant d’un revenu de plus de 80 000 $ qui ont acheté de la musique country à Apple via son application mobile iTunes Store”, ont dit les clients. “Une telle liste est disponible à la vente pour environ 136 dollars par millier de clients.”



On attend maintenant la réponse d’Apple à ce sujet.





<img data-src=" />


votre avatar

Ben tiens, une boite qui est régulièrement la plus grosse capitalisation boursière au monde en vendant du matos hors de prix, qui gère son image de marque comme une religion, qui fait de la protection de la vie privée son crédo marketing, prendrait des risques immenses pour son image pour gratter 136$ sur mille lignes de bases de donnés ? Ils se font bien plus que ça en vendant un seul iPhone …



Rien n’est impossible hein mais ça semble quand même ubuesque. Après c’est pas impossible que des employés aient organisé un trafic mais là encore au vu des salaires chez Apple c’est risquer beaucoup pour pas grand chose.

votre avatar







jpaul a écrit :



Ben tiens, une boite qui est régulièrement la plus grosse capitalisation boursière au monde en vendant du matos hors de prix, qui gère son image de marque comme une religion, qui fait de la protection de la vie privée son crédo marketing, prendrait des risques immenses pour son image pour gratter 136$ sur mille lignes de bases de donnés ? Ils se font bien plus que ça en vendant un seul iPhone …







De 1 il n’y a pas de petits profits, tant que c’est encadré (le coté légal doit être bien écrit : pub et marketing /= engagement avec garantie).

Aujourd’hui il existe un certain intérêt à emmagasiner de la data sans trop la vendre, apparemment; ou de manière anonymisée.



De 2 rien n’engage la boite à tenir sa ligne marketing sur 20ans.

Quand la souillon fera l’aumône pour continuer à vivre, rien ne l’engage légalement à respecter son stock de datas accumulées.



Paroles, paroles paroles, ….







jpaul a écrit :



Rien n’est impossible hein mais ça semble quand même ubuesque. Après c’est pas impossible que des employés aient organisé un trafic mais là encore au vu des salaires chez Apple c’est risquer beaucoup pour pas grand chose.







Le doute jusqu’au bout.



De 1 c’est pas les salaires mais la peur des représailles qui tiennent les employés apple sous pression.

Tout est traçable, impossible de jouer à manipuler des datas pareilles sans se faire flagger à moyen terme.



=&gt; non, ce n’est pas crédible dans ce genre de milieu, une enquête interne serait déjà ouverte avant l’article.

<img data-src=" />


votre avatar







AirTé a écrit :



Outre les questions concernant la vie privées et cie, je ne comprends pas le problème que vous avez avec cette obligation.







Mon problème c’est que c’est une obligation, sans autre justification que “Apple fait ça pour votre bien”.



Et comme dit par @Freud, tout le monde est obligé d’accepter les obligations d’Apple du fait de l’absence d’alternative a l’app-store. Ce faisant, on accepte également la justification qui va avec.


votre avatar







127.0.0.1 a écrit :



Mon problème c’est que c’est une obligation, sans autre justification que “Apple fait ça pour votre bien”.



Et comme dit par @Freud, tout le monde est obligé d’accepter les obligations d’Apple du fait de l’absence d’alternative a l’app-store. Ce faisant, on accepte également la justification qui va avec.



Eh bah en fait on est d’accord. <img data-src=" />


votre avatar

Question, cette interface est elle uniquement disponible sur les produits apple ? Imaginons, il n’y a que la connexion avec apple, sur les produits apple. Si je prend un appareil non apple, je n’ai plus moyen de m’identifier ?

votre avatar







barlav a écrit :



De 1 il n’y a pas de petits profits, tant que c’est encadré (le coté légal doit être bien écrit : pub et marketing /= engagement avec garantie).

Aujourd’hui il existe un certain intérêt à emmagasiner de la data sans trop la vendre, apparemment; ou de manière anonymisée.



De 2 rien n’engage la boite à tenir sa ligne marketing sur 20ans.

Quand la souillon fera l’aumône pour continuer à vivre, rien ne l’engage légalement à respecter son stock de datas accumulées.



Paroles, paroles paroles, ….





On est d’accord. Si tu lis mes précédents commentaires tu noteras que je suis chez Apple pour des raisons de “moins pire” (et leur qualité de service et leurs produits me plaisent aussi bien sûr).



Je suis le premier à attendre un truc viable et sympa sous /e/.



Je dis juste que dans le contexte actuel (et pas dans 20 ans où tout peut changer - coucou le slogan “Don’t be evil” de Google) où ils mettent le paquet sur la vie privée dans leur marketing tout en cherchant à trouver un relai de croissance dans les services (Apple a très bien compris que le marché des smartphones est arrivé à maturation et que les gens changent beaucoup moins de téléphone qu’avant) ce genre de pratiques à trois francs six sous serait stratégiquement une erreur monumentale.



Je dis pas que ce serait impossible, je dis qu’aujourd’hui ça serait totalement con


votre avatar

Ce que tu n’as pas l’air de comprendre c’est que cette obligation ne concerne que les apps qui proposent déjà des systèmes de logins extérieurs à l’application tel que FB Connect ou Google. Et même si c’est en place, pas d’obligation pour les utilisateurs d’utiliser cette fonctionnalité.



Et tu peux penser ce que tu veux, ce n’est pas la première fois qu’ils mettent en place des règles dont le seul but est la sécurité, comme par exemple App Transport Security. Et je ne vois pas grand monde gueuler quand ils rendent obligatoire le support d’IPv6, ou plein d’autres règles de l’App Store.



Bref, les pas contents, personne ne vous force à utiliser iOS (qui ne représente que 20% du marché mondial environ), et si vous utilisez iOS, personne ne vous forcera à utiliser le login par Apple.

votre avatar







127.0.0.1 a écrit :



Mon problème c’est que c’est une obligation, sans autre justification que “Apple fait ça pour votre bien”.



Et comme dit par @Freud, tout le monde est obligé d’accepter les obligations d’Apple du fait de l’absence d’alternative a l’app-store. Ce faisant, on accepte également la justification qui va avec.





Tu n’y est ajouté QUE si tu utilise d’autre SSO …. Si tu utilise que ton propre système de compte… OSEF

De plus pour moi ça revient au même que dans un jeu utiliser le gamecenter… donc bon c’est pas tellement un drame


votre avatar







sir.thorfin a écrit :



Tu n’y est ajouté QUE si tu utilise d’autre SSO …. Si tu utilise que ton propre système de compte… OSEF

De plus pour moi ça revient au même que dans un jeu utiliser le gamecenter… donc bon c’est pas tellement un drame







Voilà, qui illustre exactement mon message précédent:





  • Est-ce que l’obligation XXX était nécessaire ?

  • Mais c’est que si YYYY, et puis pas bien grave d’être obligé de XXX.

  • Ok.




votre avatar

<img data-src=" />

Moi je résiste encore au smartphone pour ces raisons et ces convictions.

<img data-src=" />

votre avatar

Oh ya des petites goutes de sueur qui vont perler dans pas mal de “startups” ce matin …

votre avatar

Je pleure en ce moment même en demandait des modifs dans le dev en cours à mon presta…

votre avatar

Mouais… autant ça parait louable d’un point de vue privacy, autant le forcing est plus que limite au niveau de l’abus de position dominante via l’App Store.

votre avatar

Bah, s’il n’y a pas de délai annoncé, c’est que l’obligation ne devrait pas se faire trop rapidement. D’autant plus qu’ils annoncent un bêta-test cet été.Et l’API sera probablement aussi facile à utiliser que celle des concurrents.

C’est plus chez Google et Facebook que des gouttes de sueur doivent perler avec tous les utilisateurs en moins que ça veut dire…

votre avatar

Développer pour iPhone, c’est bosse gratos (et dans une quantité de moins en moins négligeable) pour Apple avant de bosser pour sois…

votre avatar

Chantage pour forcer l’utilisation de leur trucs…. comme d’hab

votre avatar







Roxtar a écrit :



Mouais… autant ça parait louable d’un point de vue privacy, autant le forcing est plus que limite au niveau de l’abus de position dominante via l’App Store.





C’est clair que ça devient assez chaud l’App Store en terme d’abus.



Je veux dire, en tant qu’utilisateur/consommateur j’en suis très content de ces règles. Mais l’absence d’alternatives devient vraiment gênante


votre avatar

C’est le retour de karma des apps et sites qui préfèrent sous-traiter une fonctionnalité importante d’un site Internet/back-end.

C’est sûr que côté user, c’est très pratique de pouvoir utiliser un compte pour tous les manager. Mais ça ne devrait pas être un compte de réseau social.



Google n’a pas ce problème, ils sont déjà provider sur leur propre OS. C’est Apple qui se met simplement à niveau, en fin de compte.



Du coup, shame sur les apps qui se basent majoritairement sur ce système. J’ai croisé (surtout chez mes concurrents), des apps qui n’utilise QUE Facebook Connect, c’est d’autant plus une hérésie.

A mon niveau, on m’a toujours critiqué sur le fait que je n’avais pas implémenté ça dans ma solution logicielle. Et bien les gens ont beau râler, ça me fera pas changer de point de vue… encore plus aujourd’hui en terme de RGPD et consort.

votre avatar

Perso je ne suis jamais tombé sur une app qui m’obligeait à utiliser le SSO de Google ou FB, donc je ne suis pas convaincu que forcer la fonctionnalité soit une bonne chose.

Par contre la fonctionnalité, j’applaudis !

votre avatar

ils le forcent SI l’app utilise un système tiers de connexion, pas pour les autres donc

votre avatar

Franchement je suis très content de voir ce genre de feature. Après en tant que dev, j’espère que ça sera pas trop problématique à implémenter.

Le nouveau login Apple obligatoire dans les applications si au moins un login tiers est proposé

Fermer