summaryrefslogtreecommitdiff
path: root/content/Informatique
diff options
context:
space:
mode:
authorSébastien Dailly <sebastien@chimrod.com>2015-03-25 21:37:00 +0100
committerSébastien Dailly <sebastien@chimrod.com>2015-03-25 21:37:00 +0100
commit9564b2e641331052d81ba2ae26186a91c7e085a5 (patch)
tree22c514f63b34f0fddbbf8c6f21e133b0f01bbcd9 /content/Informatique
parent3fcddf78f965a2c5ee0a9602708899fb0e72a7c0 (diff)
New article on sailfish securitysailfish2
Diffstat (limited to 'content/Informatique')
-rw-r--r--content/Informatique/sailfish_2.rst117
1 files changed, 117 insertions, 0 deletions
diff --git a/content/Informatique/sailfish_2.rst b/content/Informatique/sailfish_2.rst
new file mode 100644
index 0000000..48aacc7
--- /dev/null
+++ b/content/Informatique/sailfish_2.rst
@@ -0,0 +1,117 @@
+.. -*- mode: rst -*-
+.. -*- coding: utf-8 -*-
+
+==================================
+Revue du système Sailfish OS (2/2)
+==================================
+
+:date: 2015-12-31
+:tags: Libre, Sailfish
+:logo: /images/hacking/2294144289_a54db90ac5_q.jpg
+:status: draft
+:summary: Petite revue du développement et de la sécurité du système
+ d'exploitation Sailfish, suite à la diffusion de ma première
+ application.
+
+.. figure:: {filename}/images/hacking/2294144289_a54db90ac5_q.jpg
+ :figwidth: 150
+ :figclass: floatright
+ :alt: Security
+
+ `David Goehring`_ (creativecommons_)
+
+.. _David Goehring: https://www.flickr.com/photos/carbonnyc/2294144289
+.. _creativecommons: https://creativecommons.org/licenses/by/2.0/
+
+La sécurité
+===========
+
+Gestion de droits
+-----------------
+
+**Oups !** Contrairement à un système android, dans lequel les applications
+affichent les droits qu'elles requirent (avec plus ou moins de succès bien
+sûr), ici rien de tout ça : le développeur est maître à bord de son
+application, et celle-ci tourne avec les droits de l'utilisateur en disposant
+pleinement du système.
+
+On dispose donc d'un accès à l'ensemble des fichiers, aux connexions réseaux,
+etc. Ça rend le développement bien sûr plus facile, mais ça signifie qu'il faut
+rester vigileant quand on télécharge une nouvelle application. En fait le
+comportement est identique à la situation que l'on peut rencontrer sur son
+poste d'utilisateur : l'utilisateur installe ce qu'il veut sur son ordinateur,
+et ce qu'il installe relève de sa responsabilité…
+
+Pour l'instant, une grosse partie de la sécurité repose sur la faible
+utilisation du système, mais à terme, le problème risque de prendre de plus en
+plus d'importance…
+
+La diffusion
+------------
+
+Il n'est pas difficile de diffuser son application une fois prête. Le site
+openrepos permet facilement d'ouvrir un compte et fournir un espace pour
+envoyer ses applications. Du côté utilisateur, il suffit d'activer le compte du
+développeur pour pouvoir installer l'ensemble de ses applications.
+
+Par contre, le *open* du nom indique juste que le site est ouvert à tout le
+monde : aucune obligation de diffuser son code source (ni même aucune garantie
+que le code que l'on télécharge correspond à celui affiché…). Cela veut donc
+dire qu'il faut être prudent lorsqu'on télécharge une application. Pour
+l'instant je n'ai pas entendu parler de compte diffusant des logiciels
+malveillants (la faible part de marchés des téléphones jolla doit aider), mais
+c'est un gros avertissement pour l'ensemble des utilisateurs.
+
+.. admonition:: Bémol
+
+ Il faut quand même avoir autorisé l'installation d'applications depuis des
+ dépôts tiers pour pouvoir installer les applications depuis ce catalogue.
+
+ (mais qui aujourd'hui n'a jamais installé une application
+ depuis un catalogue non officiel ?)
+
+Quelles solutions ?
+-------------------
+
+La sécurité est une affaire de contraintes et de confiance. Contrainte pour
+garantir qu'une application ne sort pas du cadre qui lui a été accordée, et
+confiance de l'utilisateur vers l'application qu'il utilise (ou vers la chaîne
+qui relie l'application au développeur). Pour l'instant aucun des deux points
+n'est satisfaisant.
+
+Pour autant, il n'existe pas de solution parfaite : les droits accordés aux
+applications android n'empêchent pas la diffusion de malwares sur le système,
+et les développeurs échangent avec les utilisateurs sur les `forums de maemo`_,
+ce qui permet de garder une proximité.
+
+.. _forums de maemo: http://talk.maemo.org/forumdisplay.php?f=52
+
+Tout ça pour dire que cette solution n'est peut-être pas viable à grande
+échelle, mais elle n'est pas non plus catastrophique *pour l'instant*. Pour
+autant je n'ai pas vu de discussions qui vont dans le sens de mettre en place
+davantage de contrôles sur les applications sur les catalogues d'applications.
+
+Je n'ai pas testé la diffusion d'application sur le catalogue officiel. Tout ce
+que j'ai dit doit donc être nuancé, voire corrigé concernant l'ensemble des
+applications que l'on peut télécharger sans activer les dépôts tiers.
+
+Au final
+========
+
+Jolla vise pour l'instant les programmeurs (il suffit de voir les vidéos de
+promotion du téléphone), et cela se ressent à travers la mise à disposition de
+l'environnement de développement. L'émulateur permet de tester facilement les
+applications sans craintes de casser son système, ce qui permet de tester son
+développement sans grand risque (beaucoup de patches au système sont
+disponibles en ligne).
+
+Par contre cette grande liberté va de pair avec le problème de la sécurité. On
+prend de plus en plus conscience des risques qui planent sur les smartphones,
+et le système n'offre ici aucune garantie… C'est dans l'esprit du téléphone
+j'ai envie de dire.
+
+Toutefois, n'oublions pas qu'une application qui tourne avec l'utilisateur
+principal d'un téléphone a un accès complet à la messagerie, l'historique des
+sms, etc. Pour ma part, j'apprécie ce système, avec ses avantages et ses
+limites. L'esprit d'ouverture que m'offre le téléphone me convient davantage
+qu'une boîte protégée certe, mais fermée.