Facebook et Google ne sont pas les seuls éditeurs à exploiter les faiblesses du programme de certificat d’entreprise d’Apple. Ce sésame permet de distribuer des applications en dehors de toute supervision du constructeur. S’il a été conçu dans l’optique de simplifier le déploiement d’apps auprès des employés d’une entreprise ou d’une organisation, ce certificat permet aussi aux plus malins de passer outre les règles de l’App Store et de fournir des apps qui contournent dans les grandes largeurs les règles de bonne conduite de l’App Store.
Cela a été le cas avec Facebook et Google, qui distribuaient par le biais du certificat d’entreprise des applications de collecte de données. Le scandale a poussé Apple à révoquer les certificats de ces deux grands noms, avant qu’ils ne soient restaurés (lire : Facebook : Apple a déjà utilisé l'arme de la révocation de certificat mais jamais aussi fort).
TechCrunch, en pointe dans ce dossier, a pu constater que d’autres éditeurs se servaient également de ce chemin de traverse pour livrer des apps qui, sans certificat, n’auraient aucune chance d’être validées par l’App Store. Des applications porno et de paris d’argent, notamment. Des centaines de sites web interlopes proposent à leurs utilisateurs d’installer ce genre d’applications en dehors de la boutique d’Apple. Et pas besoin de jailbreak.
Obtenir un certificat d’entreprise n’est pas si compliqué. Il faut débourser 299 $ pour souscrire au programme, remplir un formulaire et fournir un numéro D-U-N-S que l’on peut subtiliser assez facilement en fouillant un peu sur Google. Un représentant d’Apple passe ensuite un coup de fil à la personne ressource, qui n’a qu’à assurer de son respect le plus total des règles du programme. Cela demande quelques mensonges et un peu d’attente (quelques semaines), et le certificat est dans la poche.
Suite aux affaires Facebook et Google, Apple a commencé à faire le ménage dans les étagères de sa boutique. Quelques unes des apps frauduleuses ont vu leurs certificats révoqués, mais beaucoup d’entre elles restent fonctionnelles. Dans un communiqué, le constructeur confirme que les développeurs en infraction avec le programme d’entreprise se verront supprimer leur certificat. Le porte-parole confirme aussi qu’Apple évalue continuellement les cas douteux.
L’expert en sécurité Will Strafach a examiné des applications distribuées par le biais du certificat d’entreprise d’Apple. Celles-ci ne sont a priori pas malveillantes, mais elles enfreignent les règles. Certaines peuvent embarquer des traqueurs et du code pour des adwares, mais dans des proportions moins importantes que chez Facebook ou Google. Cette nouvelle affaire devrait pousser Apple à resserrer les règles de son programme de certificat d’entreprise.
