Apple : connexion HTTPS pour les applications prévue en Janvier 2017 !
Apple dont le combat, très médiatisé contre le gouvernement américain concernant le chiffrement des équipements sous iOS, a fait la une de l’actualité à plusieurs reprises au début de cette année, vient de prendre une nouvelle décision importante dans le sens du chiffrement intégral.
Durant sa conférence annuelle, World Wide Developers Conference, les experts en sécurité d’Apple ont annoncé leur volonté d’exiger des connexions réseaux sécurisées via le protocole HTTPS, pour quasiment toutes les applications de l’App Store, et ce à partir du 1er Janvier 2017.
Un rapide rappel : HTTPS est une version chiffrée et sécurisée du Hypertext Transfer Protocol, le langage que votre navigateur web ou vos applications utilisent lorsqu’ils communiquent avec un site web.
En utilisant une connexion HTTPS plutôt que HTTP, cela signifie que toutes les données que vous envoyez ou recevez, telles que des pages, des cookies, des images, des commentaires, des informations personnelles ou des mots de passe, sont chiffrées et ainsi incompréhensibles pour quiconque essaierait d’espionner ce que vous être en train de faire.
Au niveau des navigateurs internet, les fameux “cadenas” indiquent que vous utilisez une connexion HTTPS sécurisée, cependant sur la plupart des applications mobiles vous ne pouvez pas le savoir. Apple a décidé de remédier à cela. Selon Ivan Krstić, le responsable Security Engineering et Architecture :
En 2015, Apple a introduit l’ pour iOS 9.0 et OS X 10.11, qui imposait l’utilisation des connexions HTTPS sécurisées lorsque ces dernières étaient activées. Avec l’ATS opérationnelle, les tentatives pour établir des connexions réseaux via le protocole HTTP non sécurisé échoue tout simplement. Cependant Appel a offert à ses développeurs la possibilité de désactiver l’ATS, et beaucoup l’ont fait. Par exemple, Google a offert à ses développeurs iOS le code conçu pour échapper à l’ATS, en autorisant ainsi les systèmes d’annonces via des connexions HTTP non sécurisées de continuer à proposer des publicités aux applications sous iOS 9.
A présent, selon Apple, l’ATS devra être activé dans presque tous le cas.
TechCrunch a observé qu’une migration graduelle au sein de l’industrie dans son ensemble était déjà en cours :
Cependant certains ne semblent pas aussi détendus que cela !
Le forum des développeurs Apple a attiré l’attention avec des messages inquiets de codeurs qui voyaient des problèmes avec des applications liées à des sites low-cost (non HTTPS) qu’ils hébergent eux-mêmes, ou bien des sites liés à des équipements ou encore des composants intégrés qui ne peuvent pas être sécurisés, ou enfin de grandes bases de données publiques hébergées par des gens ne migreront certainement pas vers des connexions HTTPS pour Janvier.
Il sera intéressant de voir combien d’exceptions Apple sera forcé d’autoriser. Cependant, dans 1 an, il sera tout de même très probable que la plupart des applications récentes sous iOS seront exclusivement en connexion HTTPS. Nous ne pouvons que nous réjouir de cette évolution.
Follow @SophosFrance
//
Partagez Apple : connexion HTTPS pour les applications prévue en Janvier 2017 ! avec : http://wp.me/p2YJS1-2LR
Billet inspiré de Apple: iOS to require HTTPS for apps by January par Bill Camarda, Sophos nakedsecurity.