Un tas d’applications pourront contourner le nouveau magasin de Microsoft et utiliser leurs propres méthodes de mise à jour

Microsoft a un nouveau magasin d’applications à la fois sur Windows 10 et 11, mais certaines applications utiliseront leurs propres mécanismes de mise à jour, ce qui soulève des problèmes de sécurité et d’expérience utilisateur.

Lorsque Microsoft a introduit Windows 11, la société a confirmé qu’il y aurait un nouveau Microsoft Store, également rétroporté sur Windows 10, dans lequel tout le contenu est « testé pour la sécurité, la sécurité familiale et la compatibilité des appareils ».

À l’époque, c’était la prise en charge des applications Android à la saveur d’Amazon qui faisait la une des journaux, mais Microsoft a également déclaré qu’« à partir d’aujourd’hui, les développeurs Windows peuvent publier n’importe quel type d’application, quel que soit le framework d’application et la technologie d’emballage – comme Win32, .NET , UWP, Xamarin, React Native, Java et même Progressive Web Apps.”

Dans une vidéo connexe, Pete Brown, responsable du programme principal de Microsoft, a expliqué que le nouveau magasin signifie que vous pouvez “publier ces applications de bureau traditionnelles à l’aide de vos propres packages d’installation”. Brown a montré comment les développeurs peuvent soumettre une application de configuration classique au format .exe ou .msi, située sur la propre infrastructure du fournisseur, mais avec la promesse qu'”une fois soumise, le binaire de l’URL fournie ne doit pas changer”. Il doit également s’agir d’un programme d’installation complet, et non d’un téléchargeur pour un autre package d’installation. Le programme d’installation doit également s’exécuter en mode silencieux.

Soumettre un package Win32 pour le nouveau Microsoft Store

Les conditions détaillées du nouveau magasin ont révélé une limitation importante. Pour ces applications “packagées en tant qu’application Win32”, les conditions indiquent que “les utilisateurs finaux ne pourront pas recevoir de mises à jour du Store. Les applications peuvent être mises à jour directement par vous via votre application installée sur un appareil Windows après téléchargement à partir du Magasin.”

Il est possible pour le développeur de remplacer le programme d’installation dans le Store par un plus récent, mais l’utilisateur ne sera pas invité à le réinstaller.

Il y a quelques problèmes avec cette approche. L’une est que l’expérience utilisateur pour les applications qui gèrent leurs propres mises à jour est variable. Certaines applications se mettent à jour fréquemment et présentent des fenêtres contextuelles ennuyeuses, ou installent des services d’arrière-plan uniquement à cette fin.

Un autre problème est que si un utilisateur installe une application à partir du magasin, qui se met ensuite à jour, la version mise à jour a en fait contourné toutes les vérifications effectuées par Microsoft sur la soumission. Comment l’entreprise peut-elle toujours affirmer que le contenu est « testé pour la sécurité, la sécurité familiale et la compatibilité des appareils ? » Ce modèle est différent de celui des magasins Apple sur Mac ou iOS, ou du Play Store de Google, où toutes les mises à jour passent par le magasin après une vérification automatisée de la sécurité et de la qualité.

Défenseur des développeurs Microsoft Scott Hanselman mentionné que la publicité récente autour de ce problème est « trompeuse… les applications peuvent utiliser MSIX et se mettre à jour. Il est indiqué sur chaque page d’application si elle se met à jour ou si le magasin le fait. C’est assez clair.

Le mot ici avec une signification particulière est emballage. Une application Win32 peut être empaquetée au format MSIX, le format d’emballage moderne de Microsoft, auquel cas elle sera mise à jour automatiquement. Les applications empaquetées à l’aide de l’ancien format MSI ou d’un programme d’installation .exe ne le seront pas.

Le problème est que les utilisateurs ne peuvent pas s’attendre à ce qu’ils comprennent la différence entre MSI et MSIX, et peuvent accorder une confiance injustifiée aux applications téléchargées depuis le Store par ce mécanisme. Un utilisateur de Twitter a répondu à Hanselman, en disant: “Aussi trompeur. Vous agissez comme si n’importe quel Win32 pouvait utiliser MSIX alors que la majorité ne le fait pas… même votre code VS interne ne l’utilise toujours pas.”

Ceci est un autre exemple du tissage de Microsoft alors qu’il essaie de satisfaire les exigences de sécurité et d’une expérience mobile moderne – qui était à son apogée dans l’environnement Metro de Windows 8 ou Windows RT verrouillé – et en gardant la foi avec l’attente qu’un PC Windows exécutera n’importe quelle application Windows. ®