Pinning SSL avec TrustKit

Le pinning SSL « maison », c’est un peu compliqué parfois.

Heureusement, l’excellente équipe de Data Theorem est là.

Ils fournissent depuis plusieurs années la solution TrustKit sur iOS, tvOS, macOS et watchOS qui permet de mettre en place le pinning SSL en 2 temps 3 mouvements.

Ils fournissent maintenant une version Android de TrustKit compatible avec les API 15+.

Pour ceux qui ne connaissent pas le fonctionnement de TrustKit, c’est franchement simple.

En gros,  il faut déterminer ce que l’on va pinner dans la chaîne de confiance, à l’instar de HPKP :

  • le certificat de l’autorité de certification (CA)
  • le certificat de l’autorité de certification intermédiaire (ies)
  • le certificat du serveur (EE, leaf)

À partir de là, on peut calculer les clés publiques actuelles. Il est fortement conseillé d’utiliser une clé de secours. Et, enfin, on peut ajouter une date d’expiration.

En gros, si les clés sont validées, ça passe. Sinon, on regarde côté clé de secours. Et, passé la date d’expiration, on ne fait plus de pinning.

Et ensuite : TrustKit fait le job. Et ça, c’est top.

Statistiques des OS mobiles

Apple vient de publier les nouveaux chiffres, issus des données de l’App Store :

  • 79 % des utilisateurs sont sur iOS 10 (fin 2016)
  • 16 % sont sur iOS 9 (fin 2015)
  • 5 % sont sur une des versions antérieures

Soit 95 % de iOS 9+. Un score plutôt honorable.

Mixpanel voit des chiffres plus hauts, au-delà de l’App Store :

  • 90 % sur iOS 10
  • 8 % sur iOS 9
  • 2 % sur des versions antérieures

Soit 98 % de iOS 9+.

En parallèle, 1,2 % des utilisateurs utilisent Android 7 (fin 2016). Et 30,7 % sont sur Android 6 (fin 2015). Ce qui fait 31,9 % sur Android 6+.

Il faut remonter à Android 4.2 (fin 2012) pour passer la barre des 90 %.

Selon Mixpanel, Android 7 serait à 3 % et Android 6 à 46 %. Android 6+ serait donc à 49 % du parc.

Mieux vaut développer plutôt sur iOS 9+ et sur Android 4.2+ si vous souhaitez avoir un bon équilibre entre le nombre d’utilisateurs actifs et la stabilité de l’app.

Si vous misez sur la sécurité, optez plutôt pour iOS 10 (ATS présent depuis iOS 9 mais surtout jailbreak plus difficile donc accès au binaire limité) et Android 6.0 (l’API 23 introduit network_security_config.xml qui est un équivalent de ATS avec le pinning SSL en plus).

App Store : 76 % pour iOS 10

Les chiffres officiels d’Apple sont tombés.

76 % des utilisateurs utilisent iOS 10 (fin 2016). Soit une progression de 13 % en 2 mois. 18 % sont sur iOS 9 (fin 2015). Et seulement 6 % sont sur une version inférieure.

En étant compatible iOS 9 et supérieurs, vous pouvez atteindre 94 % des utilisateurs.

Mais, objectivement, 76 % est aussi très bien si vous souhaitez utiliser des fonctionnalités récentes !

Une nouvelle toujours réjouissante pour les développeurs. 🙂

À titre de comparaison du côté Android, si vous souhaitez être compatible avec 60,7 % des utilisateurs, vous devez fonctionner sur les versions 5 (mi-2015) et supérieures. Pour passer au-delà des 75 %, il faudra accepter d’être compatible Android 4.4 (fin 2013). Et pour passer au-delà des 90 %, il faudra passer à la version Android 4.2 (fin 2012). La dernière version (7) sortie fin 2016 est présente sur 0,4 % des appareils. Et si on veut les deux dernières versions (6 et 7), on atteindra au mieux 26,7 % des utilisateurs.

Ce qui est pénalisant côté développement mobile l’est également pour la partie web. Les versions inférieures à Android 4.4 ayant par défaut un navigateur obsolète.

Mais bon. Côté iOS, on reste au top technologiquement. Et ça, c’est une super nouvelle !

Source : https://developer.apple.com/support/app-store/

Astuce Android : récupérer son code source depuis Google Play

Attention : Utilisez cette technique uniquement avec vos propres applications. Prendre le code des autres, ce n’est pas bien.

Cas de figure

Vous êtes étourdi et avez égaré le code source de votre application Android : la mise à jour de votre application va être un travail long et fastidieux.

Heureusement, vos étourderies vous ont fait oublier de protéger le code source de votre application.

Google a pensé à tout : par défaut, le code généré n’est pas protégé. Et, si vous souhaitez réellement le protéger, il faut mettre la main à la poche et acheter les outils adéquats.

En 2 minutes de travail, et quelques heures de patience, vous allez pouvoir récupérer la majeure partie de votre travail.

On récupère d’abord le fichier APK

Récupérez d’abord le fichier APK de votre application.

Si la procédure vous semble compliquée, utiliser le site APK PURE qui vous permet de récupérer un APK sans avoir à vous identifier. (cette astuce est également valable pour gonfler artificiellement le nombre de vos téléchargements, ce qui fera plaisir à Google également)

Un fichier APK, c’est chouette. Mais on n’a pas le code source. C’est tout caché dedans.

Heureusement, il y a une app pour ça !

Dare dare

Un chouette outil, appelé Dare, permet d’analyser la sécurité de vos apps.

Et donc récupérer le code source ! (c’est une faille de sécurité normalement, mais – comme je l’ai entendu récemment – ça ne sert à rien de protéger un code source)

On télécharge l’outil ici : http://siis.cse.psu.edu/dare/

Encore une fois, n’utilisez pas cet outil pour récupérer le code source des applications dont vous n’êtes pas auteur. Ce n’est pas sympa. De toutes manières, vous en feriez quoi d’un code source ?

L’outil réside en une archive zip qui contient un exécutable.

Il suffit alors d’une ligne de commande :

./dare -c -e -p -b -d <output> <apk-file>

Et le tour est joué !

Vous vous rendez dans le répertoire cible et vous récupérez votre code source Java.

Google a pensé à tous les développeurs, y compris les plus étourdis !

Les apps Android : merci, au revoir

Après 3 ans de développement Android, il me semble bon d’en arrêter là.

Morin Innovation ne concevra plus aucune autre application Android que celle où elle est engagée (que mes clients actuels se rassurent, le job sera fait).

Les raisons de cette décision

Cette décision n’a pas été prise à la légère. Elle est le fruit de plusieurs mois de réflexion.

Un niveau qualitatif insuffisant

Bien que le travail des ingénieurs Google soit tout à fait honorable, la plateforme Android ne répond pas à autant de critère de qualité que ses concurrents.

La conséquence immédiate de cette légèreté : les utilisateurs sont moins bien servis, et les clients sont déçus lorsqu’ils comparent avec les autres plateformes.

Malgré une tentative louable, Android n’atteint absolument pas le niveau requis. A quelque niveau que ce soit.

Les outils ne sont pas terribles : on a toujours l’impression d’avoir une version « beta », ce qui nuit à la productivité.

Le kit de développement est correct dans le sens où il est complet. Pour le reste, c’est basique, mais acceptable.

L’ergonomie est très moyenne.

D’autant qu’il faut composer avec les anciennes versions Android, ce qui ne garantit pas une cohérence optimale. Ça fait des lustres qu’on nous promet des améliorations : rien ne vient. On doit être compatible avec des OS datant de 2012 (4 ans!). Autant dire, une éternité dans le monde mobile.

Bref : la qualité est moyenne et en plus ça prend plus de temps, donc ça coûte plus cher pour tout le monde.

La cerise sur le gâteau : la sécurité

Après une étude approfondie d’un problème qui est d’actualité, il s’avère que la sécurité Android est au niveau minimum. Même sur les versions récentes du système (et celles en développement aussi d’ailleurs).

Je ne souhaite pas que les informations concernant les utilisateurs de mes apps soient divulguées ou du moins facilement accessible. Je me suis fait entendre dire plus d’une fois : « Oui, mais on s’en fout de la sécurité des données des utilisateurs. Qui s’en préoccupe ? ». C’est pour moi un manque de respect. On se doit d’offrir le meilleur.

Je souhaite également éviter la propagation des informations sensibles concernant les développements réalisés pour mes clients. Je protège tous mes appareils (chiffrage de disque, etc) et les codes sources que je partage avec mes clients sont stockés sur des plateformes sécurisées, dont l’accès nécessite une sécurité à facteurs multiples (envoi d’un code par SMS pour accéder aux données protégées, certificats SSL pour accéder au code source, identification par signature GPG des développeurs, etc).

De la même manière, je fais en sorte de ne stocker aucun identifiant dans mes codes sources, de sorte à ne pas donner le moindre indice à un potentiel hacker.

Et je met également en application, dans la mesure du possible, l’intégralité des recommandations OWASP disponibles.

Ceci est possible sur iOS, au sein de Ruby on Rails, mais pas vraiment sur Android dont la plateforme ne correspond plus aux critères de sécurité actuels. Pour ceux qui en doutent, je rappelle à leur bon souvenir le temps qu’il a fallu au FBI pour accéder à un appareil Apple moyennement protégé alors que la sécurité Android saute en quelques heures tout au plus.

De plus, en quelques heures (2 minutes devant l’ordi qui va fonctionner tout seul pendant quelques heures), on peut récupérer une version du code source allant de lisible à difficilement compréhensible. Mais il est extrêmement compliqué et coûteux de réellement bien protégé une app Android. A contrario, une app iOS ou Windows est sécurisée par défaut. Le code source n’est pas accessible. Et, de surcroit, il est possible de ne pas y intégrer d’informations sensibles.

À l’instar de la qualité d’usage, qui est peut être subjective, la qualité en matière de sécurité est un critère on ne peut plus factuel. Et cette réalité va en grandissant au fur et à mesure que le temps passe.

Je ne prendrai pas cette responsabilité.

Les alternatives

Les alternatives pour les clients et les utilisateurs sont les suivantes.

Pour les clients

Honnêtement, il y a beaucoup de faux dans les téléchargements et exécutions d’apps Android. J’ai moi-même vu des statistiques Analytics avec des applications étant téléchargées et non lancées. Ou des applications étant lancées une fraction de seconde. Ce n’est pas un comportement d’utilisateur « normal » et encore moins un comportement « rentable ».

Autant disposer d’applications natives de très bonne qualité et un très bon compromis pour la version web. Le HTML5 fait aujourd’hui de très bonnes choses dans un cadre relativement sécurisé. Certes, cela ne permet pas forcément de disposer de toutes les possibilités du natif, mais cela reste mieux qu’une app de qualité moyenne.

Si vous souhaitez vraiment avoir une app Android, je vous recommande donc de consulter un développeur Android avec un niveau senior et de très solides compétences dans le domaine de la sécurité. Pour vous et pour vos utilisateurs.

Pour les utilisateurs

Vous avez un Android et entendez des promesses d’amélioration depuis des années ? C’est normal : la publicité et le marketing, c’est le domaine de Google.

Quand vous téléchargez une app, assurez-vous qu’elle est très bien protégée (Comment ? Je l’ignore) et utilisez l’authentification à multiples facteurs quand c’est possible.

Sinon, si vous avez un budget à partir de 500 € en appareil nu (sans abonnement), l’iPhone SE est une petite bombe. Vous pouvez avoir des iPhone chez Free Mobile pour moins de 20 € par mois. Et chez Orange, avec un abonnement, on peut avoir un iPhone à partir de 1 €. Un iPhone SE sera au top pendant environ 3-4 ans.

Les Windows Phone récents (surtout Windows 10) tiennent bien la route aussi en matière de sécurité.

Si vous êtes sur Android, de manière générale, préférez les applications web aux applications natives : elles ont plus de chances d’être sécurisées.

Et l’avenir ?

L’avenir s’annonce radieux. 🙂

Morin Innovation va se focaliser sur un développement web (sites + services web) de bonne qualité grâce à Ruby on Rails.

Le tout fonctionnant en parfaite harmonie avec des applications Apple (iOS, tvOS, watchOS, macOS OS X) répondant aux mêmes critères de qualité et de sécurité.

Je continuerai de faire de la veille sur Android, notamment pour assurer un niveau de sécurité adéquat vis à vis des services web que je mettrai en place. Mais c’est tout.

L’expérience Android se termine ici.

Merci Google et au revoir.

Statistiques des OS mobiles avril 2016

Il est toujours utile de connaître les versions des OS mobiles en cours d’usage afin de déterminer le niveau de compatibilité (et de sécurité) des apps et sites web que l’on conçoit.

Avec iOS 9 (fin 2015) et Android 4.2 (fin 2012), vous pourrez atteindre 80 % du marché.

Avec iOS 8 (fin 2014) et Android 4.1 (mi-2012), vous pourrez atteindre 90 % du marché.

Le détail dans la suite de l’article.

IOS

Les dernières versions de iOS sont iOS 8 (fin 2014) et iOS 9 (fin 2015)

Les derniers chiffres officiels annoncent ceci :

  • 84 % pour iOS 9 (+ 5 % en 40 jours)
  • 11 % pour iOS 8 (- 5 % en 40 jours)
  • 5 % pour les autres versions (stable depuis plusieurs années)

La version permettant d’atteindre plus de 80 % du marché est iOS 9 (84 %).

La version permettant d’atteindre plus de 90 % du marché est iOS 8 (95 %).

Android

Les dernières version de Android sont Android 5 Lollipop (fin 2014) et Android 6 Marshmallow (fin 2015).

Les derniers chiffres officiels annoncent ceci :

  • 4,6 % pour Android 6 (+ 3,9 % en 4 mois)
  • 35,8 % pour Android 5 (+  3,2 % en 4 mois)
  • 59,6 % pour les autres versions (- 7,1 % en 4 mois)

La version permettant d’atteindre plus de 80 % du marché est Android 4.2 Jelly Bean (sortie fin 2012, 87,3 % du parc).

La version permettant d’atteindre plus de 90 % du marché est Android 4.1 Jelly Bean (sortie mi-2012, 95,1 % du parc).

Vous souhaitez savoir qui connait vos mots de passe ?

Le titre est un peu racoleur, mais il fait suite à une expérience menée récemment par Morin Innovation.

Selon l’appareil et le réseau que vous utilisez, des informations sensibles vous concernant (mot de passe, coordonnées bancaires, coordonnées sécurité sociale, etc) peuvent être interceptées de manière manuelle ou automatique.

La démarche précise ne va pas être évoqué ici : inutile de donner aux hackers en herbe les techniques de piratage qu’ils pourraient eux-même utiliser.

Première faille : ne pas mettre à jour

Vous utilisez Windows XP « parce que c’était mieux avant » ? Sachez que Windows XP ne reçoit plus de mises à jour. Les nouvelles failles trouvées ne sont donc plus corrigées. C’est un terrain de jeu idéal pour récupérer vos informations personnelles.

Il en va de même pour les anciennes versions de OS X, le système du Mac, dont la mise à jour est gratuite.

Et c’est également la même chose sur les smartphones.

Bien choisir son smartphone

Les smartphones de plus de 4 ans représentant environ 5 % des utilisateurs, et tous les 2 ans en moyenne.

Si votre iPhone a plus de 5 ans, il ne reçoit plus les mises à jour du système iOS. Les iPhone 4S et plus récent ont toujours droit à leur mise à jour. Et sont donc protégés au maximum possible.

Si vous vous orientez vers Android, vous avez le choix entre plusieurs milliers d’appareils. Choisissez plutôt du haut de gamme. Le Galaxy S2 peut être mis à jour avec la dernière version d’Android en passant par l’outil CyanogenMod (si vous êtes un peu geek, vous devriez vous en sortir sans soucis). Les modèles de moyenne gamme ont des mises à jour pendant environ 1 à 2 ans. Les modèles d’entrée de gamme sont bien souvent déjà obsolètes à la sortie.

Pour ce qui est de Windows Phone, environ 80 % des appareils reçoivent des mises à jour récentes, dont la dernière version Windows 10. Les versions Windows 8.1 reçoivent malgré tout des mises à jour de sécurité. Ce qui est plutôt intéressant.

L’étude de la sécurité s’est limitée aux mises à jour concernant Windows Phone tant la part de marché reste – encore – mince.

Le navigateur web

Utilisateurs d’Internet Explorer : toutes les versions inférieures à la version 11 sont obsolètes.

Les autres navigateurs sont mis à jour automatiquement et de manière régulière.

« HTTPS » ne signifie pas toujours « sécurité absolue »

Quand vous vous connectez sur un site en HTTPS, la connexion est sécurisée. Les données qui transitent entre votre ordinateur / smartphone et le site ne sont pas visibles.

Une personne (ou un robot) malintentionnée qui « observerait » la connexion ne verrait passer que des chiffres et lettres sans aucune cohérence.

On distingue les connexion HTTPS par un petit cadenas dans l’adresse du site (la barre en haut), souvent en vert, à gauche ou à droite de l’adresse.

HTTPS

Cependant, les certificats sont parfois obsolètes. En conséquence de quoi un pirate peut interférer entre vous et le site web. En gros, il se fera passer pour le site web vis à vis de vous. Et il se fera passer pour vous vis à vis du site web. Ainsi, il pourra récupérer les informations déchiffrées.

Les techniques modernes et les navigateurs modernes permettent justement d’éviter ça.

Dans Chrome, vous pouvez distinguer un site véritablement sécurisé :

Morin_Innovation

Et un site à la sécurité douteuse :

RSI_–_Authentification_et_Developer_Tools_-_http___localhost_8080_rwd_maiffr_dist_www_transverse_services_simulateur_html

Attention : de nombreuses banques et autres organismes « de confiance » utilisent des procédés obsolètes en matière de sécurité.

Comment aller sur Internet en toute sécurité ?

Il y a 2-3 règles simples pour être en sécurité sur Internet.

Disposer d’un appareil à jour

En allumant votre PC / Mac / Smartphone / What else vérifiez vos mises à jour.

C’est un premier niveau de protection.

Utiliser votre propre ordinateur et votre propre réseau

Les ordinateurs des lieux publics sont des cibles faciles pour les pirates. Ils peuvent souvent se mettre en intermédiaire : l’accès aux connecteurs réseaux n’est pas forcément sécurisé, ce qui permet d’intercepter les communications si on maîtrise la chose.

Et les ordinateurs des lieux publics sont rarement à jour.

Connectez-vous soit chez vous, soit chez un proche. Eventuellement sur une box de votre fournisseur d’accès ou un procédé similaire reconnu.

A défaut, utilisez votre connexion 3G/4G.

Les applications mobiles (ça fait mal…)

L’étude de la sécurité qui a été faite a été réalisée sur des applications mobiles iOS et Android.

La responsabilité de la sécurité dépend à la fois du système d’exploitation et du concepteur de l’application.

La faille courante sur mobile

La faille la plus courante sur mobile n’est pas d’essayer de casser la sécurité de la connexion à un service, mais de baisser le niveau de sécurité pour le rendre obsolète et ainsi récupérer les informations.

En gros, en utilisant un appareil Android « rooté » (ou non mis à jour) ou un iPhone « jailbreaké », on peut faire croire au site web que nous n’avons pas la capacité de mettre en place le niveau de sécurité maximum. On demande donc à communiquer au travers d’une connexion sécurisée obsolète.

Et là, le pirate peut se mettre entre les deux.

IOS : sécurisé par défaut

Les applications iOS sont sécurisées par défaut. Elles sont compilées, chiffrées et le système bloque beaucoup d’accès de sorte à protéger vos données.

Si vous êtes encore sur iOS 8 (il en reste quelques uns), passez rapidement à iOS 9. La dernière mise à jour permet de forcer la sécurité des connexions des applications mobiles grâce à une technologie appelée ATS. Cependant, certains développeurs désactive cette fonctionnalité par paresse de la mise à jour.

Pour le reste, on peut réaliser des applications ne contenant aucun identifiant dans le code (pour se connecter au serveur) et donc totalement sécurisées.

On peut éventuellement renforcer la sécurité avec des techniques complémentaires, au cas où iOS aurait une faille non connue permettant de casser les mécanismes de sécurité en place. Mais, si c’était le cas, le FBI n’aurait pas fait de procès à Apple pour accéder aux informations d’un iPhone.

Sauf si vous ne mettez pas à jour votre iPhone, et si le développeur ne se donne pas la peine de respecter les règles de sécurité par défaut ou n’utilise pas les outils à disposition, votre iPhone est globalement très bien sécurisé.

Ce qui est normal : après tout, vous payez le prix fort – entre autre – pour que vos données soient en sécurité.

Android : sic!

Avant d’être accusé de quoi que ce soit, je tiens à préciser que j’ai lancé plusieurs appels sur la toile ces derniers jours et ils sont restés sans réponse. Si vous avez des réponses à me donner, n’hésitez pas, je complèterai l’article.

J’ai testé plusieurs applications Android, dont celles d’organisations qui devraient protéger la sécurité de leurs utilisateurs. Je ne les citerai pas, par bienveillance et parce que l’erreur est humaine. Et, de toutes manières, il est très difficile de faire mieux que pas terrible avec Android. Je vais expliquer précisément pourquoi.

En premier lieu, j’ai pu découvrir le code source de toutes les applications téléchargées. Et donc récupérer les identifiants de connexion au service web permettant de gérer les données.

J’ai même eu accès à un service d’envoi automatique de SMS. Bref, ça craint. Imaginez que je sois un pervers un peu taré et que j’utilise ce service pour envoyer des SMS salaces : qui se ferait accuser ?

En plus, une faille Android anéantit la sécurité mise en place sur les autres appareils.

Certaines techniques permettent de « masquer » le code source, dont l’obfuscation, qui consiste à complexifier artificiellement le code. Sur une dizaine d’apps, une seule était réellement compliquée à lire. Pour les autres, on s’y retrouvait tout de même facilement. Donc, ça craint. Y compris pour le développeur qui n’y peut rien.

On pourrait utiliser, comme avec iOS, des services Google qui permettraient de récupérer les identifiants sensibles via une connexion établie par l’application et exploitable uniquement par l’application. Ça n’existe pas. Et, même si ça arrivait dans la prochaine version, ce ne serait pas compatible avec la majorité des appareils Android avant plusieurs années.

Bref : on est condamné à laisser en clair les informations.

Si toutefois on utilise une bonne technique pour bien cacher les identifiants de connexion au service web, il n’y a malheureusement aucune technique permettant de forcer la protection de la connexion (aucun équivalent à ATS) : en conséquence, on doit utiliser des techniques particulières pour s’assurer qu’il n’y a personne entre notre serveur et notre application.

J’en ai déjà perdu la plupart d’entre vous : c’est normal, ce domaine qu’est la sécurité est très spécifique.

Pour les développeurs, c’est pareil : la plupart ne connaisse pas tellement la sécurité. Vu que le système n’est pas suffisamment sécurisé par défaut, l’application n’est pas sécurisée. Et, encore une fois, inutile de leur jeter la pierre : la sécurité est un domaine très spécifique et doit avant tout être géré par le système en lui-même.

Je ne dis pas qu’Android n’est pas sécurisé : il y a tout pour bien faire. C’est juste que dans plus de 90 % des cas ce n’est pas sécurisé. Et, malheureusement, on ne peut pas y faire grand-chose.

Faut-il responsabiliser l’utilisateur ? Faut-il responsabiliser le développeur d’application ? Faut-il responsabiliser les concepteurs d’Android ?

Ça ne vous a pas coûté cher : vous savez maintenant pourquoi.

Si un jour votre compte est débité ou votre identité falsifiée, vous saurez que vous n’avez pas eu de chance à la roulette russe. Mais vous saurez surtout d’où peut venir le problème.

« C’est malin, j’ai les boules : t’as pas une solution quand même ? »

Hormis mettre votre Android à la poubelle et acheter un Windows Phone ou un iPhone, vous pouvez tout de même protéger un peu plus vos informations personnelles en évitant que vos données soient volées par n’importe qui.

Cette solution est très utile et doit être appliquée quelle que soit votre smartphone ou ordinateur.

Vous savez maintenant qu’un mot de passe de connexion n’est absolument pas une sécurité : n’importe quel pingouin mal luné peut le récupérer en allant voir 3 tutoriels sur le piratage.

Pour autant, il existe une solution : l’identification à plusieurs facteurs.

Le premier facteur est le mot de passe, totalement « has been » aussi compliqué soit-il.

Le second facteur est l’envoi d’un SMS ou l’envoi d’un code dans une application spécifique.

Et là, c’est malin. Car, pour pouvoir accéder à votre compte, le petit malin devra posséder à la fois votre mot de passe (facile) ET votre téléphone sur lequel sera envoyé un SMS ou un code dans une app. Et, si votre smartphone est bien protégé (mot de passe ou mieux : TouchID), le petit malin pourra aller se brosser.

Si vous souhaitez en savoir plus, j’ai rédigé un petit article à ce sujet.

Le plus triste est que – malheureusement – les banques, assurances et autres établissements ayant à leur disposition des informations sensibles vous concernant utilisent rarement ce système d’identification. (par contre, Google, Facebook, Apple, Microsoft et autres le proposent)

Sur ce, dormez tranquilles… On vous surveille ! (rire sardonique)

Je rigole. 🙂 Mais faites attention quand même.

 

Apple et Microsoft : le retour des titans

Les plus jeunes d’entre nous se souviennent de l’époque où Apple et Microsoft régnaient en maître dans l’univers de l’informatique.

Puis, l’informatique a évolué, avec l’arrivée d’Internet et des mobiles. De nouveaux acteurs ont émergé, dont Google, Facebook, Twitter, Linkedin et les autres géants du web.

Chacun a du adapter sa stratégie. Il y a d’abord eu une scission, puis des rapprochements, mais surtout d’importantes évolutions.

Qu’en est-il aujourd’hui ?

Le socle historique : l’ordinateur

Les deux géants se sont lancé dans l’aventure informatique plus ou moins au même moment. Chacun présentant ses atouts.

Puis, petit à petit, les systèmes de chacun se sont réunis. Windows 10 a gagné en stabilité et en esthétisme. Microsoft a maintenant ses propres modèles de PC (Surface Book, cousin du MacBook).

Les 2 systèmes sont au coude à coude, leurs principales différences étant plus liées aux goûts de l’utilisateur qu’à une différence qualitative.

De son côté, l’autre géant – Google – n’a jamais réussi à convaincre. Que ce soit avec ses PC Android ou bien ses ChromeBook sous ChromeOS.

Aujourd’hui, un Mac peut disposer d’une suite Office à jour et de qualité. Le PC permet d’aller sur le web en toute sécurité. Chacun des acteurs majeurs a compensé ses faiblesses alors que Google s’entêtait avec sa suite bureautique en ligne qui fait pâle figure à côté des versions de bureau des suites iWork et Office. D’autant que ces deux suites bureautiques sont également disponibles en version connectée avec un niveau de qualité non négligeable.

Si Google reste historiquement le roi du web, la partie est mal engagée dans le domaine de l’ordinateur personnel.

Le cloud au quotidien

Alors que Google a avancé dans une expérience 100% connectée, mais faite de compromis faute d’intégration au système d’exploitation, Apple et Microsoft on su avancer vers des solutions cloud aujourd’hui bien abouties.

Côté Microsoft, on peut synchroniser ses données via One Drive, synchroniser ses informations en se connectant avec son compte en ligne sur son PC, télécharger la suite Office, travailler en ligne, etc. L’expérience en ligne Microsoft est aujourd’hui une réalité.

Côté Apple, tout est synchronisé via iCloud : données, contacts, sauvegardes, photos.

Sans parler de l’aspect sécurité, que l’un et l’autre ont su mettre en avant grâce à leurs systèmes respectifs.

Les appareils mobiles

Avec un discours marketing autour de l’open-source et grâce à la promesse du gratuit pour tous, Google a su inonder le marché du mobile grâce à son système Android. Les données utilisateurs et la publicité étant le gagne-pain de Google (comme tout entreprise, Google doit trouver du profit quelque-part), chacun y a trouvé son compte.

De son côté, Apple est resté sur un positionnement haut de gamme, préférant gagner de l’argent avec ses produits et services payants tout en garantissant la sécurité des informations personnelles.

Microsoft, de son côté, est arrivé tardivement sur ce marché, avec un positionnement similaire à celui d’Apple : privilégier produits et services plutôt que revenus publicitaires.

La TV

Toujours avec la même stratégie marketing, Google a inondé le marché de la TV avec Android TV et Chromecast. Deux produits permettant de profiter de services Google sur la TV.

Apple, de son côté, a produit et vendu (avec des bénéfices) l’Apple TV. Depuis 2015, le côté services s’est développé avec l’intégration d’un App Store dans l’Apple TV permettant de profiter d’applications et jeux.

Dans ce domaine, Microsoft a particulièrement bien réussi avec la XBox, qui permet de profiter de produits et services au sein d’une console de jeu qui fait également office de hub multimédia.

Les bracelets et montres connectés

Que ce soit le Band de Microsoft, les multiples modèles Android ou la Watch d’Apple, chacun tente d’investir ce marché émergeant, qui commencera probablement à décoller à partir de 2017, en suivant le cycle classique de l’adoption par les consommateurs.

Encore une fois, Microsoft et Apple ont choisi l’uniformité et l’intégration matériel – logiciel alors que Google préfère la diversification.

L’embarqué

Microsoft et Google ont chacun leur version de système pour le matériel embarqué, que ce soit Android ou Windows 10.

Ce type de matériel est bien loin du quotidien du grand public. Même si on peut voir l’importance pour les professionnels.

La réalité augmentée / réalité virtuelle

Microsoft a HoloLens, son casque fonctionnant sous Windows 10. Le casque Oculus est également supporté par Microsoft, notamment couplé à la XBox One.

En mettant à part le Cardboard, qui est un gadget multi-OS, Google travaille sur un casque de réalité virtuelle, probablement sous Android.

A l’instar d’Apple qui travaillerait sur la réalité augmentée. Probablement à partir d’une version dérivée de son système iOS.

La force de Microsoft et Apple

Microsoft possède quelques atouts majeurs qui les mettent aujourd’hui en position de leaders.

Un socle technique unifié et solide

Le système Google (Android) est présent un peu partout, dans de multiples versions, différentes selon l’air du temps et selon le constructeur. Sachant qu’il y a plusieurs dizaines de milliers de modèles Android, c’est un véritable calvaire de concevoir une application fonctionnelle. D’autant que le système n’est pas disponible sur PC.

A contrario, les systèmes Apple et Microsoft sont disponibles sur mobile, tablette, ordinateur, TV, montre/bracelet connecté(e) et sur le web.

En effet, Windows 10 est disponible sur toutes ces plateformes.

De son côté, même si les noms sont différents, le socle technique des applications Apple est le même, que ce soit sur OS X, iOS, tvOS ou watchOS.

A titre d’exemple, les différentes versions de la suite bureautique d’Apple ont 75 % du code en commun. Et Windows 10 permet le même type de prouesse.

Autant dire : c’est un atout de taille pour un éditeur de logiciel. D’autant que ces deux plateformes ne souffrent pas d’une disparité de versions. C’est la garantie que l’application développée fonctionne comme on l’a défini quelque soit l’appareil utilisé.

Sans parler du fait qu’on a plus de chance de générer du revenu sur ces plateformes, leurs utilisateurs étant naturellement enclin à payer les produits et services qu’ils utilisent.

Une expérience connectée ultime

Alors que Google est naturellement consigné au web et au mobile, l’expérience Microsoft / Apple peut se faire à tous les niveaux, que l’on soit connecté ou non.

On peut lancer le traitement de texte Word sur un mobile Windows 10 et continuer son travail sur PC.

A l’identique, on peut répondre aux SMS (ou prendre des appels) sur Mac, continuer un email, etc.

On peut lire une vidéo sans fil de son Mac / iPhone sur l’Apple TV. Et on peut jouer à sa XBox One sur son PC Windows 10.

On retrouve également les achats d’applications, films, et autres sur les différentes plateformes.

On s’identifie sur son PC avec le même compte Microsoft que celui du mobile ou de la XBox. Et on fait la même chose sur Mac, iPhone ou autre iDevice.

Pas besoin de télécharger un quelconque outil externe. Tout fonctionne en parfaite osmose avec le système d’exploitation.

Au delà d’être pratique, le cloud devient simple et naturel.

D’autant que les applications elle-même profitent de ces atouts. Les préférences et réglages de chaque application peuvent passer d’une plateforme à l’autre sans avoir à configurer ou tripatouiller quoi que ce soit.

En misant sur la qualité, Microsoft et Apple sont en train de se partager le futur marché de l’informatique, en se finançant majoritairement au travers de l’économie réelle : le consommateur achète produits et services.

La cohabitation des 2 géants

Alors que Google s’est isolé d’Apple en tentant de copier l’iPhone à sa sortie et s’est isolé de Microsoft en prônant haut et fort en être l’opposé, les 2 géants historiques ont su se rapprocher.

iCloud est plutôt bien intégré à Windows, la suite Office et les différents produits Microsoft (Skype, One Note, One Drive) ont trouvé leur place sur iOS et OS X grâce à une intégration de qualité.

De fait, les 2 plateformes ne sont pas exclusives et peuvent très bien se compléter. Un atout où chacun trouvera son compte.

La fin de Google ? Pas sur le web

Même si Google Apps est également progressivement effacé du milieu pro au profit de Microsoft Office 365, et même si beaucoup d’utilisateurs Android s’orientent maintenant vers Microsoft et Apple, Google reste leader dans son domaine de prédilection : le marketing web.

Tant que le web sera financé par la publicité, Google vivra très bien. Et, a priori, ce n’est pas prêt de s’arrêter.

Obsolescence programmée (ou non) des smartphones

Le marché des smartphones a atteint sa maturité aux alentours de 2010.

Quelle expérience tirer de ces quelques années de vie de nos smartphones ?

Les produits haut de gamme

Prenons les produits haut de gamme des 2 leaders du marché : Apple et Samsung.

A l’époque sortaient le Galaxy S2 (649 € en 16 Go) et l’iPhone 4S (629 € en 16 Go).

Qu’en est-il de leur obsolescence ?

Galaxy S2

Le Galaxy S2 est sorti avec Android 2.3.3 et a suivi – officiellement – toutes les évolutions jusqu’à la version 4.1.2. Cette dernière étant sortie en 2013.

En bricolant son smartphone (très geek pour un résultat non officiel), on peut espérer aller jusqu’à la version 5.1.1, sortie en août 2015.

Au niveau performances (le smartphone doit rester utilisable), les témoignages concernant son successeur S4 avec la version 4.4 ne sont pas glorieux : mieux vaut tout de même rester avec un système un peu ancien, mais qui fonctionne.

Pour information, la dernière version en date d’Android est la version 6, sortie durant l’hiver 2015.

Le smartphone est donc resté optimisé et utilisable pendant 2 ans (2013, Android 4.1.2), utilisable pendant 4 ans (mi-2015, Android 5.1.1), obsolète en 5 ans (fin 2015, Android 6).

iPhone 4S

L’iPhone 4S est sorti en 2011 avec iOS 5. Il a suivi toutes les mises à jour officielles sans exception jusqu’à la dernière version : iOS 9.2.1 (janvier 2016).

Côté performances, la dernière version en date du système Apple a donné une nouvelle jeunesse à l’iPhone 4S.

En 5 ans, l’iPhone 4S a pu suivre toutes les évolutions du système tout en profitant d’optimisations lui permettant de profiter de performances honorables.

Entrée de gamme

S’il y a bien une gamme où de nombreux smartphones sont vendus, c’est l’entrée de gamme.

Inutile de s’étendre sur le sujet, le constat est affligeant. Si beaucoup de smartphones à 150 € sont obsolètes en moins d’un an (lents, aucune mises à jour), un nombre important sont obsolètes dès la sortie. Ce qui est plutôt scandaleux.

Conclusion

Que l’on soit plutôt iOS ou Android, on remarque que le montant investi dans un smartphone détermine sa durée de vie.

Un smartphone à 650 € aura une durée de vie de 5 ans. Un smartphone à 150 € aura une durée de vie de 1 an (5 x 150 € = 750 €, CQFD).

Au-delà de l’aspect financier, un appareil qui doit être jeté plus rapidement est de fait moins écologique. Même s’il est « potentiellement réparable », il n’est pas « upgradable ».

Evidemment, rien n’est parfait dans ce bas monde. On souhaiterait tous que nos smartphones puissent être recyclés à 100 %, qu’ils ne consomment aucune énergie non renouvelable, etc. Ça viendra un jour, après des années d’expérimentation. Soyons optimistes.

À défaut d’être de parfaits consommateurs, nous pouvons au moins être des consommateurs responsables, de sorte à responsabiliser les entreprises dont nous sommes clients.

Et Green Peace produit régulièrement des rapports à ce sujet, qui évoluent chaque année selon les efforts des géants du secteur. Notamment concernant l’aspect traitement des données, qui est une réalité du secteur.

A nous de prendre en considération au mieux les choix écologiques, bien évidemment selon notre capacité financière, car la consommation responsable coûte généralement un peu plus cher.

Apple, meilleur atout sur mobile

Morin Innovation a commencé le développement mobile fin 2008 sur Nokia puis sur iPhone 3GS. L’entreprise s’appelait alors Kaeli Soft. L’App Store ouvrait juste ses portes. Les délais de validation étaient de 2 mois.

Bref, Apple essuyait les plâtres.

Rapide historique

À cette époque, peu d’utilisateurs étaient équipés de smartphone. Investir dans un smartphone à 500 € semblait être une folie. L’ordinateur personnel faisait pareil et il avait un vrai clavier. Chacun utilisait son téléphone pour téléphoner et son ordinateur pour surfer.

En 2009-2010, j’ai rencontré mon premier vrai succès sur l’App Store pour un de mes clients : 1er sur l’App Store avec plusieurs milliers de téléchargements par jour. À l’époque, c’était énorme.

Au-delà du nom du client, ce qui faisait le succès d’une app était le respect des guidelines Apple. Car la société américaine, qui était encore vouée à l’échec pour les sceptiques les plus téméraires, faisait un travail essentiel pour les développeurs et designers.

En effet, c’était la première fois qu’une société expliquait comment concevoir une application pour qu’elle s’intègre parfaitement dans le matériel, le design du matériel, le design du système et au sein du système. Toute cette mise en musique était orchestré aussi bien au niveau design qu’au niveau technique. L’expérience utilisateur était centrale. Une richesse toujours inégalée aujourd’hui et toujours aussi fascinante.

La suite de l’aventure

Nouvel échec programmé d’Apple : l’iPad. Quelques millions sont tout de même partis.

Le pari était encore plus audacieux qu’avec l’iPhone. En termes d’ergonomie et d’usage, les codes étaient vraiment cassés. La technologie pouvait enfin servir correctement l’homme.

Car c’est bien là-dessus qu’est basé toute la conception de chez Apple. Une technologie doit être vraiment mature avant d’être sur le marché.

L’arrivée des concurrents

Android

Le premier Android est sorti avec un concept génial : une copie de l’interface d’Apple, gérée avec un clavier comme sur Nokia. Un mélange des genres surprenant. Reposant sur la technologie Java du Blackberry et un système Linux probablement pour la facilité d’adaptation.

Google a donc ensuite racheté le smartphone « Frankenstein » pour en faire une copie plus conforme, avec une interface tactile.

En proposant des smartphones à prix cassé en contre-partie de quelques infos personnelles prises ici et là (rien n’est gratuit) et en utilisant une image de rebelle (notre système est ouvert, etc), Google a réussi à s’octroyer la moitié des parts de marché, puis a dépassé Apple sur les ventes. La force du low-cost.

Windows

Après quelques versions assez peu stables du système et après avoir racheté la section mobile de Nokia, Microsoft a réussi à mettre au point un smartphone assez correct avec son Windows Phone 8.

L’ergonomie est unique, basée sur un système de tuiles. Tout en restant assez cohérent au niveau de l’éco-système.

Avec finalement assez peu de parts de marché, Microsoft réussit à rester dans la course tout en restant respectueux des utilisateurs, aussi bien en termes d’expérience utilisateur que de confidentialité, ce qui est tout à son honneur.

Le monde mobile aujourd’hui

Les technologies deviennent convergentes :

  • le web est uniformisé et adapté aux terminaux mobiles
  • les interfaces des applications sont de plus en plus adaptées
  • les applications peuvent maintenant passer du smartphone à l’ordinateur ou la tablette instantanément
  • les réseaux terrestres et mobiles sont de plus en plus performants (Fibre, 4G)
  • les appareils sont très performants
  • les appareils connectés (montres, etc) sont de plus en plus répandus grâce aux évolutions technologiques
  • les assistants virtuels sont disponibles sur les 3 plateformes majeurs (Siri, Now et Cortana)
  • la mobilité fait partie du quotidien.

Google

L’univers Google s’est enrichi en gardant une diversité pesante, chaque constructeur faisant lui-même sa petite cuisine.

On trouve donc des smartphones Android un peu partout, des montres connectées, des TV intégrant Android, des Chromecast, des tablettes Android. Des Android partout, en pagaille.

Un système toujours aussi décousu, qui cherche une certaine uniformité dans son design malgré tout grâce à quelques recommandations faites aux développeurs et designers. Mais, objectivement, c’est un peu compliqué vu la diversité des terminaux.

Des terminaux vendus une centaine d’euros, déjà dépassés à leur sortie et ne pouvant que rarement évoluer. C’est une tromperie pour l’utilisateur qui doit remettre la main à la poche pour rester « presque » dans la course. A moins de vraiment acheter du haut de gamme.

Google excelle sur le web et les innovations « geeks ». Pour le reste, ils ne sont clairement pas à leur place.

Apple

Bien qu’en deuxième position sur le volume, la société californienne reste la plus grosse entreprise du monde.

Les applications sont globalement de bonne qualité et vieillissent bien. Les appareils ne subissent pas l’obsolescence programmée : l’iPhone 4S sorti en 2011 vient de recevoir il y a quelques jours une mise à jour lui permettant d’être non seulement utilisable avec les dernières applications mais également de gagner en performances. On appelle ça un bon investissement.

Les utilisateurs sont majoritairement fidèles à la marque. D’ailleurs, une bonne partie de ceux qui étaient partis sur Android reviennent chez Apple. C’est significatif.

L’iPad continue de ravir ceux qui veulent un écran confortable sans avoir à prendre un appareil utilisé généralement pour le travail.

Le Mac vieillit bien aussi et continue d’évoluer.

La Watch arrive sur un nouveau marché. Elle se positionne en leader absolu, avec plusieurs millions de ventes. Ce qui est plutôt bon pour un produit encore très récent, que les utilisateurs ont encore du mal à s’approprier. Et pourtant, tellement utile au quotidien, quand on ne veut pas sortir son smartphone devant l’assemblée (discrétion oblige), quand on veut exécuter une action facile et rapide (répondre à un SMS, noter un RDV via Siri, répondre sur Skype, confirmer un rappel etc) ou bien si on veut un suivi sport / santé de qualité avec des capteurs plutôt fiables.

L’autre technologie qui renait de ses cendres est l’Apple TV. Ce produit a toujours été un hobby chez Apple. Sauf depuis la dernière version, qui intègre un App Store.

Tous ces appareils fonctionnent de concert : les SMS sont reçus et émis sur l’iPhone, la Watch ou le Mac ; une vidéo – Youtube ou autre – peut être lue sur Mac, iPhone ou Apple TV en toute continuité ; un appel peut être reçu sur le Mac et continuer ensuite sur iPhone sans couper la communication ; on peut répondre à un appel sur iPad ; les documents passent en bluetooth d’un appareil à l’autre sans soucis.

L’écosystème est complet tout en ayant une expérience et une ergonomie cohérente. Un utilisateur d’iPhone n’aura pas à apprendre à utiliser un iPad ou une Watch. C’est naturel.

Microsoft

Le concurrent historique d’Apple a fait un gros travail avec Windows 10. Cette technologie se retrouve sur PC, mais aussi sur XBox One, sur smartphone, sur tablette, sur Raspberry Pi 2, etc. L’expérience utilisateur a été enrichie et est cohérente.

Microsoft conçoit maintenant son propre matériel. On connaissait la tablette Surface, le bracelet Band et la console XBox. On a maintenant le SurfaceBook (concurrent du Macbook) et – a priori – prochainement un « SurfacePhone ». Sans oublier la technologie hologrammes (réalité augmentée diront certains) avec Hololens, fonctionnant également avec Windows 10.

Microsoft pourrait donc surprendre fin 2016 – début 2017.

Et pour les applications ?

Une récente étude a montré qu’il y avait deux fois plus de téléchargements sur Google Play (Android, Google) que sur l’App Store (iOS, Apple). Cette même étude a également montré que les revenus sur App Store était quasiment deux fois supérieurs à ceux de Google Play.

La conclusion est que les utilisateurs Android ne considèrent pas les applications comme un véritable outil, nécessitant d’être acheté comme tout produit. Ce qui peut se comprendre : quand on choisit le low-cost, acheter une application 1 ou 2 € peut être un budget. Et on sait bien que graphiste ou développeur, ce ne sont pas des vrais métiers : pas besoin de rémunérer ces gens. C’est aussi pour ça que les applications gratuites contiennent des pubs : c’est un financement sur la vie privée des utilisateurs. Mais, malgré tout, a priori ça ne suffit pas. D’où la qualité souvent inférieure.

Côté conception, une application de qualité équivalente à une application iOS sur Android coûte généralement au moins deux fois plus cher du fait de la diversité des appareils et l’aspect un peu « bricolé » des outils de développement. Sans garantir une expérience optimale.

Si cette application est réalisée par une agence, soit elle vous facture deux fois plus, soit elle se serre la ceinture, soit elle fait quelque-chose de moindre qualité.

Exception faite pour les jeux vidéos : les technologies comme Unity permettent d’utiliser un même code pour plusieurs plateformes. Etant donné que l’intégration au système n’est pas la priorité pour un jeu vidéo, c’est plutôt légitime.

A contrario, iOS continue tranquillement sa progression. Les optimisations techniques permettent de garder les appareils de plus en plus longtemps dans la course. Surtout depuis qu’Apple conçoit ses propres puces. L’ergonomie s’affine de plus en plus. La convergence des technologies est au rendez-vous. La Watch se démocratise petit à petit du fait des bons retours : il lui manque juste les applications la rendant indispensable. Il n’y a cependant aucun empressement côté Apple : la technologie doit avant tout être maîtrisée et comprise par les concepteurs, à l’instar de ce que l’iPhone a vécu avant sa démocratisation. Une petite mise en garde sur les technologies web : Apple est encore dans la course, mais des améliorations de son navigateur seraient un plus.

Côté Microsoft, le succès de Windows 10 sur PC est au RDV. C’est un excellent produit. Les outils de conception sont cohérents, à l’instar de ce que propose Apple. L’expérience utilisateur n’est pas aussi centrale, mais elle est prise en considération. Windows 10 se met doucement en place. Office 365 rafle la mise un peu partout avec un excellent produit.

Quoi de neuf pour le futur ?

Ceci est une prédiction hasardeuse, à prendre avec des pincettes.

Google va continuer de vendre ses appareils low-cost sans pour autant réussir à uniformiser l’expérience : c’est mécanique. Son côté société « geek » va se renforcer, au détriment du commun des mortels. Mais au bénéfice des technophiles.

Apple va continuer d’évoluer sereinement. Ses systèmes (iOS, watchOS, tvOS, OS X) sont plutôt stables et performants. On pourrait bien voir un enrichissement de l’expérience utilisant les technologies actuelles les plus récentes, notamment 3D Touch.

Microsoft peut se démarquer auprès d’un public professionnel exigeant, notamment grâce à son offre Office 365 qui mets en musique toutes les plateformes, y compris les plateformes concurrentes (Mac, iOS, Android).

On va encore bien s’amuser en 2016 !