Ouvrir le menu principal

iGeneration

Recherche

Facebook : Apple a déjà utilisé l'arme de la révocation de certificat mais jamais aussi fort

Florian Innocente

jeudi 31 janvier 2019 à 14:55 • 22

iOS

Ce n'est pas la première fois qu'Apple utilise la révocation d'un certificat d'entreprise pour bloquer le fonctionnement d'une application dont elle juge qu'elle contrevient à ses règles. Le cas de Facebook en fait toutefois un précédent inédit en cela qu'il touche une des plus grandes entreprises au monde, éditrice de quelques-unes des applications les plus populaires de l'App Store, même si ces dernières n'ont pas été touchées.

Le siège de Facebook à Menlo Park, image Facebook

Pour l'utilisateur lambda de Facebook, WhatsApp, Messenger ou d'Instagram, il ne s'est rien passé hier. Ces applications continuent de fonctionner normalement. Au sein de Facebook en revanche, Apple a d'un coup bloqué le lancement de plusieurs de ces mêmes logiciels qui étaient distribués aux employés sous la forme de bêtas ainsi que des apps utilisées quotidiennement pour l'information interne.

Pour schématiser, il y a deux sortes d'apps iOS. Celles distribuées par un éditeur sur l'App Store et auxquelles tout un chacun peut avoir accès, et celles que le même éditeur peut réserver à ses équipes et qui ne font l'objet d'aucune validation préalable par les équipes d'Apple. Cela peut être aussi une université qui n'a aucune présence sur l'App Store mais a besoin de logiciels pour ses étudiants.

Dans un cas comme dans l'autre, ces applications sont munies d'un certificat qui assure aux utilisateurs que leurs développeurs sont correctement enregistrés auprès d'Apple. Lors de l'ouverture de l'app, une vérification est faite auprès des serveurs d'Apple afin de vérifier que ce certificat est toujours valide (il expire au bout d'un an et doit être renouvelé). À la manière d'une pièce d'identité dont l'authenticité et la validité seraient vérifiées chaque fois qu'on la présente.

Les entreprises bénéficient de la part d'Apple d'un programme de licence leur facilitant le déploiement d'apps à usage interne, auprès d'autant de salariés que nécessaire, sans limite de nombre.

Il est toutefois bien précisé dans le contrat de licence que les apps distribuées dans ce cadre sont réservés aux salariés (ou membres d'un établissement). Pas question de s'en servir pour des clients et encore moins dans le but de la collecte de données qui était celui de l'app Facebook Research (lire Facebook payait de jeunes utilisateurs pour siphonner leurs données).

Facebook ayant eu besoin de diffuser auprès du grand public cette app, dont il savait qu'elle ne franchirait pas l'obstacle de la validation de l'App Store — le réseau social s'était déjà fait taper sur les doigts — a utilisé son compte entreprise. Cette app partageait le même certificat qui était attaché à celles distribuées uniquement en interne. La révocation du certificat pour cette app à destination de l'extérieur de Facebook a produit un effet domino à l'intérieur du groupe.

"Hack", image Facebook

Dans un mémo interne obtenu par Business Insider, Pedro Canahuati, Vice Président Production Engineering et Security a expliqué la situation aux employés en listant les apps soudainement bloquées : Workplace (la version interne de Facebook), Workplace Chat, Ride (infos sur les transports à disposition des salariés), Mobile Home (autre source d'infos) et des versions en développement de prochaines mises à jour d'Instagram et de Messenger.

Lorsque ces apps ont un équivalent public sur l'App Store, les salariés doivent se tourner vers elles. Pour les autres qui n'existent qu'au sein de Facebook, il faut attendre que l'entreprise et Apple règlent la situation, ce qui est apparemment en cours.

L'arme de la révocation

Cette réaction d'Apple n'a rien d'inédit. Par le passé et probablement aujourd'hui encore, elle use de cette possibilité pour révoquer les certificats obtenus par des développeurs qui ont enfreint ses règles (le Mac est aussi concerné, lire : Sécurité : dans macOS Mojave, un notaire pour arrêter les frais).

Le coup du certificat d'entreprise a beaucoup servi pour distribuer des apps à grande échelle en évitant l'App Store et sans qu'il soit non plus nécessaire que l'iPhone destinataire soit jailbreaké.

Des certificats ont été révoqués pour empêcher l'emploi d'une app installant le nécessaire pour réussir un jailbreak ; une autre fois pour des App Store alternatifs qui diffusaient des copies d'apps existantes parfois lestées de malware ou de pubs, ou bien des apps initialement payantes et piratées. L'actualité a été plusieurs fois émaillée de ce jeu du chat et de la souris. Certaines affaires n'ont pas forcément été médiatisées mais pour celles connues, on naviguait le plus souvent dans les eaux du piratage et de la diffusion de malwares.

Au sein de Facebook rapportent Business Insider et AppleInsider des salariés oscillent entre critique d'Apple — laquelle se serait donnée pour mission de faire tomber Facebook — et critique de certains de leurs collègues qui, en toute connaissance de cause, ont décidé de s'affranchir des règles d'Apple : « Si nous avons eu une app dans l'App Store qui a été retirée pour cette même raison, qu'est-ce qui nous autorise à penser que l'on peut continuer un projet identique, au moyen d'un certificat d'entreprise ? ».

Le cas de Facebook est par conséquent exceptionnel par le profil de l'intéressé. L'avantage de la méthode employée par Apple est qu'elle paralyse temporairement une partie de l'activité interne du réseau social — elle savait qu'en bloquant l'app incriminée, d'autres allaient suivre dans le même mouvement — sans gêner les apps utilisées par les centaines de millions d'utilisateurs à travers le monde. Un coup de semonce qui aura peut-être valeur d'avertissement pour d'autres éditeurs, petits comme grands.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Promos : iPhone 13 256 Go à 579 €, l'iPhone 16e à 660 € et l'iPhone 16 à 800 €

19:35

• 1


Émulation : comment jouer à ses vieux jeux sur iPhone ou iPad ?

10:00

• 9


Pour le producteur de La Maison, « Apple est la pire boîte marketing de l’univers »

25/04/2025 à 22:15

• 60


Apple TV+ : USS Greyhound aura une suite en 2027

25/04/2025 à 21:30

• 8


Nest fait du ménage dans sa gamme, et abandonne le marché européen des thermostats connectés

25/04/2025 à 21:00

• 54


Upscaling vidéo et restauration photo plus rapides sur Mac/PC : VideoProc AI mis à jour est à - 62 % 📍

25/04/2025 à 18:13

• 0


dav1d, le décodeur AV1 le plus optimisé qu'Apple refuse d'utiliser

25/04/2025 à 17:47

• 5


Govee présente des arbustes lumineux connectés avec Matter

25/04/2025 à 15:45

• 13


Eufy présente un robot-aspirateur avec un nettoyeur amovible compatible Matter

25/04/2025 à 14:45

• 19


Microsoft a conçu une publicité par IA et personne n’a rien vu

25/04/2025 à 13:45

• 29


Comment Apple résume (mal) les commentaires de l’App Store

25/04/2025 à 11:45

• 23


Tous les iPhone 17 pourraient passer à 12 Go de RAM

25/04/2025 à 11:00

• 48


Apple voudrait rapidement produire en Inde 100% des iPhone américains

25/04/2025 à 08:05

• 23


iPadOS 19 verrait apparaître une barre de menus sur iPad

24/04/2025 à 23:05

• 48


Huit ans après DeX, Apple s’ouvrirait peu à peu à un bureau sur écran externe pour iOS 19

24/04/2025 à 23:00

• 52


L’iPhone 16 dans une nouvelle réclame mettant en avant sa solidité

24/04/2025 à 21:00

• 21