Le piratage des trois principales apps Nokia (Drive, Musique et Cartes) avant même la sortie du premier Windows Phone Nokia a mis en lumière les faiblesses de sécurité du Marketplace. Nokia compte en effet sur ses apps exclusives de qualité pour se démarquer de la concurrence, un avantage concurrentiel réduit à néant si n'importe qui peut facilement pirater ses apps pour les installer gratuitement sur un Windows Phone concurrent.

Exceptés les jeux Xbox LIVE, le piratage d'apps est actuellement un jeu d'enfant sur Windows Phone, qu'il s'agisse d'apps exclusives à un constructeur ou d'apps payantes.

Cette faiblesse vient du fait que la totalité du catalogue du Marketplace peut-être parcourue via une liste de flux XML accessibles au public, et ces fichiers XML contiennent l'adresse du .xap de chaque app. N'importe qui, avec quelques connaissances en informatique, peut donc télécharger le .xap d'une app (un peu l'équivalent d'un .exe pour un logiciel Windows) et surtout parcourir le contenu du .xap. En effet, un .xap est tout simplement une archive, vous pouvez donc extraire le .xap avec WinZIP par exemple et vous y trouverez tous les fichiers de l'app.

Une fois que vous avez récupéré le .xap d'une app, il vous suffit d'un terminal débloqué pour l'installer sur votre smartphone... Il y a bien sûr une protection de base (une signature numérique il me semble), mais il vous suffit de parcourir l'archive du .xap et de supprimer la signature dans le fichier qui la contient.

Si l'app est bien codée, elle contiendra une portion de code vérifiant que le fichier contenant la signature numérique n'a pas été supprimé, et si c'est le cas l'app refusera de s'exécuter. Cependant le C# (code managé utilisé par WP7) étant un langage particulièrement facile à décompiler, les pirates expérimentés peuvent assez facilement supprimer cette portion de code, sauf si le code a été "obfusqué" pour le rendre très difficilement lisible après une décompilation mais peu de développeurs le font (1 ou 2% si ma mémoire est bonne).

Le problème n'était pas gênant jusqu'à maintenant car pour pouvoir installer un .xap, il fallait avoir un Windows Phone débloqué, or la seule façon de débloquer facilement son smartphone était de créer un compte développeur au App Hub coûtant tout de même 75 euros/an... ChevronWP7, la seule solution de jailbreak ayant existé pour Windows Phone, ne fonctionne en effet plus depuis la mise à jour NoDo. Il existe bien des techniques pour contourner cela, mais elles sont très complexes et fastidieuses si bien qu'elles ne constituent pas vraiment un risque élevé pour les développeurs.

Cependant, depuis peu, l'équipe de ChevronWP7 vient de lancer les ChevronWP7 Labs... Un système vous permettant de débloquer un Windows Phone à vie pour seulement 9$. Là où on ne comprend plus rien, c'est quand on apprend que Microsoft a autorisé ce procédé... Autrement dit une personne peu scrupuleuse peut actuellement, en payant 9$, avoir accès en illimité à tout le catalogue d'apps du Marketplace...

D'après un article du site Arstechnica, Microsoft est au courant de cette faiblesse: "Cela va changer. Windows Phone 7.5 'Mango' supporte un nouveau type de .xap crypté qui devrait supprimer totalement le problème du piratage. Cependant Microsoft attend pour activer le système et crypter les .xap qu'une portion importante d'utilisateurs soit passée à Mango".

On peut se demander tout de même pourquoi Microsoft attend alors que, dans le Marketplace, une app qui a été compilée pour Mango ne pourra de toute façon pas tourner sous NoDo, dès lors pourquoi attendre que les utilisateurs de NoDo passent à Mango pour crypter tous les .xap Mango? Cela devrait pouvoir être fait dès maintenant, car que le .xap Mango soit crypté ou non, ça ne change rien pour un utilisateur NoDo qui ne pourra de toute façon pas l'installer. Quant au cryptage des .xap NoDo ils peuvent attendre, la plupart des développeurs ne mettent de toute façon plus à jour la version NoDo de leurs apps ce n'est donc pas très gênant.

Enfin, MS_Nerd soulève deux questions sur son blog. D'abord, pourquoi Microsoft a-t-il attendu Mango pour intégrer un système de cryptage au Marketplace? Est-ce si difficile que cela de crypter un fichier grâce au SSL?... Ensuite, pourquoi tolérer un système qui demande de payer 9$ pour débloquer son Windows Phone, si le piratage sera rendu impossible par ce nouveau système de cryptage? A partir du moment où le piratage est impossible, le seul argument qu'il y avait en faveur du blocage des Windows Phone tombe à l'eau...

teddybox

Bon, Microsoft se situe entre Android et iOS...
Donc bloquer mais pas trop.

Après, j'espère que la sécurité sur les apps du Marketplace arrivera très très vite.

Le déblocage légal par Chevron est une très bonne choses mais pour des apps de style hombrew comme des émulateurs qui ne sont pas autorisés sur le Marketplace... et ici, Chevron WP7 est très très utile.

Enfin, j'espère que les gens et les pirates auront la bonne idée DE NE PAS PIRATER...
Faudrait pas que Windows Phone fasse fuire les développeurs.

En tout cas, les apps Nokia sont déjà disponible sur le net ?

novembre 11, 2011, 10:25:30 am

Deckard

D'un autre côté je me demande si le fait de pouvoir pirater facilement n'est pas justement un "avantage" pour les clients. Tous les possesseurs d'iphone que je croise ont jailbreaké leur biniou. Et, aux débuts de microsoft, rappelez-vous windows 3.1, 95, 98, ils étaient tous facilement crackable, ce qui a attiré énormément de monde dessus.

novembre 11, 2011, 10:40:19 am

Diagorn

Les applications Android sont super facile à pirater et pourtant les devs travaillent sur cet OS.
Le Déblocage des appareils WP7 est vraiment génial pour les devs ou les utilisateurs qui veulent installer des homebrew, cependant il y aura toujours des gens qui téléchargerons des applications piratées pour ne pas payer le travail des devs.

novembre 11, 2011, 10:46:32 am

Pr. Thibault

D'après ce que je lis sur Internet Android a quand même une assez mauvaise réputation au niveau de la qualité des apps, il y a des gros noms qui sont sur iPhone et pas sur Android (par exemple Netflix était sur iOS et WP7 mais pas Android, je sais pas si ça a changé), et les développeurs ont énormément de mal à vendre des apps payantes sur Android, la gratuité avec de la publicité est à peu près le seul modèle économique viable sur Android...

Je pense donc qu'il y a un mécontentement assez important chez les développeurs avec Android, et s'ils y développent c'est parce qu'ils n'ont pas le choix. Or sur WP7 ils ont le choix, l'OS représente moins de 5% de pdm donc ils peuvent se permettent de ne pas être présent sur la plateforme pour le moment, il faut donc que la plateforme soit attractive pour les développeurs.

novembre 11, 2011, 11:35:01 am

john

honnetement, j'ai un omnia 7 debloqué sous mango , j'ai essayé pour voir y pas beaucoup d appli qui marchent, y a toujours une erreur au chargement quand à l'operation interlop underlock c'est tendu et marche pas toujours...

donc je pense pas qu'il y ai autant de piratage que ça

novembre 11, 2011, 11:53:58 am

Zep

J'ai unlocké mon téléphone avant tout pour installer les homebrews comme l'utilitaire pour la batterie et le screen capture. Pour le reste, je ne pirate pas... vu le prix des applications, c'est du grand foutage de gueule. Pirater une appli à 0.99€ - même 3€ ! - c'est tout simplement ridicule. Autant pirater des jeux à 70€ ne me gênerait pas, autant là... bref, chacun vit avec sa conscience.

Ce que j'espère, c'est que MS, en luttant contre le piratage, autorisera quand même les homebrews...

novembre 11, 2011, 12:31:16 pm

M4ckLX

Exact, le problème n'est pas dans la relation Microsoft/Client mais dans la relation Microsoft/Devs, il faut que les devs aient suffisamment confiance en la sécurité de l'OS pour concevoir des apps.

Maintenant, le cas de Microsoft est difficile, peu d'appli (on dira que la qualité importe mais si on se place dans la tête du client lambda, le choix est vite fait avec les autres OS), peu de devs qui travaillent dessus et peu d'utilisateur.

C'est pour cela que le succès du Lumia doit être totale, à la fois pour Nokia et pour Microsoft, afin de pouvoir attirer d'une part une clientèle (nouvelle comme moi, ou ancienne c'est à dire ceux qui ne se reconnaissent pas dans l'iOS ou Android) et donc d'inciter un peu plus les devs à s'engouffrer dans le développement d'apps.


Donc, cette nouvelle de piratage peut être apprécié comme un coup dur. En effet, Microsoft a d'origine l'image d'un système instable (bien que j'adore et que je n'ai jamais eu de problème avec mes WindowsPC) donc perte de confiance pour les utilisateurs.
Après, il faut relativiser, les utilisateurs sont pas tous au courant de l'actualité mobile, les "iOSeur" ne doivent même pas se douter qu'une grosse faille de sécurité a été mis à jour sur leur plateforme en ce moment par exemple.
Mais le coup le plus dur est pour Nokia qui avait voulu gardé ces apps comme exclusive au Lumia. J'espère qu'ils trouveront une parade.


Edit :
Bonne nouvelle, j'ai lu sur un autre site :
« Windows Phone 7.5 ‘Mango’ inclut le support d’une nouvelle sorte de cryptage qui devrait empêcher ce type de piratage. Microsoft attend seulement de s’assurer qu’une proportion suffisamment importante d’utilisateurs aient mis leur téléphone à jour vers Mango avant de l’utiliser. »

novembre 11, 2011, 12:56:27 pm

vixente (posté depuis mon LG LG-E900 avec l'app du site)

Je veux pas donner l impression de troller mais il y a tant d app payante intéressante que ca sur le market pour lancer le plan anti-pirate??
Sur le market 90% des app de qualité sont gratuites alors je pense qu on est encore loin d une pandémie de piratage comme sur android... Vous trompez pas j apprecie grandement cette initiative notamment pour Nokia mais bon faut relativiser car entre nous il n y a  pas grand chose a pirater...
Espérons que ca inciteras au moins un peu plus les devs car ya pas a dire ils sont choyés sur wp... :-)

novembre 12, 2011, 03:27:59 am

Pr. Thibault

@john aucune app du Marketplace ne nécessite l'interop unlock puisque l'interop est interdit sur le Marketplace... Donc ton argument de l'interop lock est hors sujet ^^

@M4ckLX: ajuste un peu tes lorgnons tu pourras lire la même chose dans ma news qui me semble un peu plus complète que celle que tu cites

@vixente 90% des apps du Marketplace sont peut-être gratuites, mais je pense qu'une bonne partie des meilleures apps sont payantes, parmi les apps gratuites tu as une quantité hallucinante de déchets. Ex d'apps payantes de qualité qu'un utilisateur pourrait avoir intérêt à pirater: Shazam, Navigon, Navigation, Fuze, TV Show, tous les jeux Xbox LIVE, etc. Alors certes ça fait pas beaucoup, mais si tu enlèves toutes ces apps du Marketplace il ne reste plus grand chose d'attractif pour un utilisateur... Tu imagines Windows Phone sans jeu Xbox LIVE? Ca retirerait 90% des meilleurs jeux... Un Marketplace sans Navigon et Navigation? Il n'y aurait plus aucune app de navigation GPS au tour par tour...

novembre 12, 2011, 08:14:27 am

vixente (posté depuis mon LG LG-E900 avec l'app du site)

Pourtant j avais cru comprendre dans ta news que les jeux XBL n était pas piratable!? Autant pour moi dans ce cas :-) Apres je dis pas que toutes les apps payantes sont des bouses sans nom fuze, Larousse et consorts sont excellentes mais faut aussi reconnaitre que beaucoup d app de qualité payantes ont leur équivalant en gratuit. Qui va télécharger maintenant shazam 5€ alors que soundhouds ou bing audio le valent largement? Donc je pense pas que la maison brule a l heure actuelle je tenais quand même a le préciser.

novembre 12, 2011, 14:35:00 pm

M4ckLX

Citation de: Pr. Thibault le novembre 12, 2011, 08:14:27 am

@M4ckLX: ajuste un peu tes lorgnons tu pourras lire la même chose dans ma news qui me semble un peu plus complète que celle que tu cites

LOL ! Exact, désolé Prof, je m'étais arrêté aux dessins sur ta news ... ça avait l'air trop technique pour moi et donc, je me disait que c'était pas pour moi ce paragraphe :p

novembre 12, 2011, 16:01:24 pm