iOS 9 et OS X El Capitan seront l'occasion pour Apple d'inaugurer plusieurs nouveautés en termes de sécurité. Parmi ces nouvelles fonctions, on trouve un mécanisme baptisé App Transport Security (ATS), qui va pousser les développeurs à sécuriser les connexions de leurs applications à des serveurs. Les apps destinées aux deux futurs OS pourront continuer à ouvrir de connexions HTTP non sécurisées, mais mieux vaut adopter les bonnes pratiques le plus rapidement possible (lire : System Integrity Protection et chiffrement : comment Apple a bétonné OS X El Capitan).
Apple laissera un délai de grâce aux développeurs dont les applications sont déjà en ligne ; en revanche, les nouvelles apps sont amenées à utiliser HTTPS, comme l'expliquait Apple durant la WWDC qui recommande « fortement » de s’y mettre. Dans un cas comme dans l'autre, cette exigence de sécurité accrue va demander un certain investissement de la part des développeurs mais ils auront de moins en moins le choix s'ils veulent que leurs logiciels soient toujours capables de communiquer avec des serveurs distants.
Tout cela est bel et bon pour l'utilisateur qui va ainsi bénéficier d'une plus grande sécurisation de ses apps et de ses données. Mais dans l'intervalle, l'adaptation à ATS va poser des problèmes à certains logiciels, ce qui n'est pas du goût de Google. Le moteur de recherche, qui est aussi et surtout une régie publicitaire, propose aux développeurs en pleine transition vers HTTPS un moyen de contourner le protocole d'Apple afin de continuer à afficher de la publicité mobile sur iOS 9 - il s'agit de cinq petites lignes à insérer dans le code de l'application.
Google explique que les réseaux publicitaires tiers ne sont pas encore tous parfaitement raccord avec les nouvelles règles de sécurité comme ATS. « Pour s'assurer que les publicités continuent à s'afficher sur les appareils iOS 9 », le moteur de recherche offre donc un correctif « temporaire » qui autorise de nouveau le « contenu non sécurisé » transitant par HTTP à se charger correctement.
Devant la bronca de certains développeurs inquiets de voir Google prendre la sécurité si peu au sérieux pour des questions d'affichage publicitaire, le moteur de recherche a toutefois tenu à clarifier certaines points. « Pour être clair, les développeurs ne devraient opter pour la désactivation d'ATS que si les autres approches pour supporter ATS ont échoué ». Cette désactivation du protocole n'enfreint d'ailleurs pas les règles d'Apple, précise Re/code, mais à terme cette recommandation va se transformer en obligation. Google, qui ne fait finalement que se glisser dans la brèche ouverte par Apple, assure par ailleurs de son soutien envers HTTPS.
Edit — Précisions ajoutées concernant la recommandation très forte (et non pas l’exigence) d’Apple d’utiliser ATS dans iOS 9/El Capitan.
