Ouvrir le menu principal

iGeneration

Recherche

Facebook : Apple a déjà utilisé l'arme de la révocation de certificat mais jamais aussi fort

Florian Innocente

jeudi 31 janvier 2019 à 14:55 • 22

iOS

Ce n'est pas la première fois qu'Apple utilise la révocation d'un certificat d'entreprise pour bloquer le fonctionnement d'une application dont elle juge qu'elle contrevient à ses règles. Le cas de Facebook en fait toutefois un précédent inédit en cela qu'il touche une des plus grandes entreprises au monde, éditrice de quelques-unes des applications les plus populaires de l'App Store, même si ces dernières n'ont pas été touchées.

Le siège de Facebook à Menlo Park, image Facebook

Pour l'utilisateur lambda de Facebook, WhatsApp, Messenger ou d'Instagram, il ne s'est rien passé hier. Ces applications continuent de fonctionner normalement. Au sein de Facebook en revanche, Apple a d'un coup bloqué le lancement de plusieurs de ces mêmes logiciels qui étaient distribués aux employés sous la forme de bêtas ainsi que des apps utilisées quotidiennement pour l'information interne.

Pour schématiser, il y a deux sortes d'apps iOS. Celles distribuées par un éditeur sur l'App Store et auxquelles tout un chacun peut avoir accès, et celles que le même éditeur peut réserver à ses équipes et qui ne font l'objet d'aucune validation préalable par les équipes d'Apple. Cela peut être aussi une université qui n'a aucune présence sur l'App Store mais a besoin de logiciels pour ses étudiants.

Dans un cas comme dans l'autre, ces applications sont munies d'un certificat qui assure aux utilisateurs que leurs développeurs sont correctement enregistrés auprès d'Apple. Lors de l'ouverture de l'app, une vérification est faite auprès des serveurs d'Apple afin de vérifier que ce certificat est toujours valide (il expire au bout d'un an et doit être renouvelé). À la manière d'une pièce d'identité dont l'authenticité et la validité seraient vérifiées chaque fois qu'on la présente.

Les entreprises bénéficient de la part d'Apple d'un programme de licence leur facilitant le déploiement d'apps à usage interne, auprès d'autant de salariés que nécessaire, sans limite de nombre.

Il est toutefois bien précisé dans le contrat de licence que les apps distribuées dans ce cadre sont réservés aux salariés (ou membres d'un établissement). Pas question de s'en servir pour des clients et encore moins dans le but de la collecte de données qui était celui de l'app Facebook Research (lire Facebook payait de jeunes utilisateurs pour siphonner leurs données).

Facebook ayant eu besoin de diffuser auprès du grand public cette app, dont il savait qu'elle ne franchirait pas l'obstacle de la validation de l'App Store — le réseau social s'était déjà fait taper sur les doigts — a utilisé son compte entreprise. Cette app partageait le même certificat qui était attaché à celles distribuées uniquement en interne. La révocation du certificat pour cette app à destination de l'extérieur de Facebook a produit un effet domino à l'intérieur du groupe.

"Hack", image Facebook

Dans un mémo interne obtenu par Business Insider, Pedro Canahuati, Vice Président Production Engineering et Security a expliqué la situation aux employés en listant les apps soudainement bloquées : Workplace (la version interne de Facebook), Workplace Chat, Ride (infos sur les transports à disposition des salariés), Mobile Home (autre source d'infos) et des versions en développement de prochaines mises à jour d'Instagram et de Messenger.

Lorsque ces apps ont un équivalent public sur l'App Store, les salariés doivent se tourner vers elles. Pour les autres qui n'existent qu'au sein de Facebook, il faut attendre que l'entreprise et Apple règlent la situation, ce qui est apparemment en cours.

L'arme de la révocation

Cette réaction d'Apple n'a rien d'inédit. Par le passé et probablement aujourd'hui encore, elle use de cette possibilité pour révoquer les certificats obtenus par des développeurs qui ont enfreint ses règles (le Mac est aussi concerné, lire : Sécurité : dans macOS Mojave, un notaire pour arrêter les frais).

Le coup du certificat d'entreprise a beaucoup servi pour distribuer des apps à grande échelle en évitant l'App Store et sans qu'il soit non plus nécessaire que l'iPhone destinataire soit jailbreaké.

Des certificats ont été révoqués pour empêcher l'emploi d'une app installant le nécessaire pour réussir un jailbreak ; une autre fois pour des App Store alternatifs qui diffusaient des copies d'apps existantes parfois lestées de malware ou de pubs, ou bien des apps initialement payantes et piratées. L'actualité a été plusieurs fois émaillée de ce jeu du chat et de la souris. Certaines affaires n'ont pas forcément été médiatisées mais pour celles connues, on naviguait le plus souvent dans les eaux du piratage et de la diffusion de malwares.

Au sein de Facebook rapportent Business Insider et AppleInsider des salariés oscillent entre critique d'Apple — laquelle se serait donnée pour mission de faire tomber Facebook — et critique de certains de leurs collègues qui, en toute connaissance de cause, ont décidé de s'affranchir des règles d'Apple : « Si nous avons eu une app dans l'App Store qui a été retirée pour cette même raison, qu'est-ce qui nous autorise à penser que l'on peut continuer un projet identique, au moyen d'un certificat d'entreprise ? ».

Le cas de Facebook est par conséquent exceptionnel par le profil de l'intéressé. L'avantage de la méthode employée par Apple est qu'elle paralyse temporairement une partie de l'activité interne du réseau social — elle savait qu'en bloquant l'app incriminée, d'autres allaient suivre dans le même mouvement — sans gêner les apps utilisées par les centaines de millions d'utilisateurs à travers le monde. Un coup de semonce qui aura peut-être valeur d'avertissement pour d'autres éditeurs, petits comme grands.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Sortie de veille : après le départ du n°2 d’Apple, Tim Cook est-il le prochain sur la liste ?

12/07/2025 à 10:44

• 43


Apple serait en pole position pour diffuser la F1 aux États-Unis avec une offre à 150 millions de dollars 🆕

12/07/2025 à 07:56

• 32


Prime Day : les derniers bons plans pour équiper sa maison en domotique

11/07/2025 à 20:50

• 14


La Chine s'attaque aux batteries externes de mauvaise qualité, ce qui cause des remous chez les fabricants

11/07/2025 à 20:15

• 36


Les produits Wemo de Belkin sont poussés à la retraite sauf s'ils utilisent HomeKit

11/07/2025 à 19:30

• 8


Prime Day : découvrez les joies de DockKit avec de belles promotions

11/07/2025 à 16:45

• 0


Orange fait des essais de 5G dans la bande des 6 GHz, et les résultats sont intéressants

11/07/2025 à 15:37

• 6


Prime Day : des traqueurs Localiser dès 12 €, des étuis à lunettes, des porte-passeports, des cartes pour le portefeuille, les meilleurs accessoires en promotion

11/07/2025 à 15:10

• 11


Nintendo peut bannir une Switch 2 à cause d'un jeu acheté d'occasion (mais ce n'est pas toujours définitif)

11/07/2025 à 11:31

• 56


France Identité : des correctifs disponibles pour la carte grise et les grands iPhone

11/07/2025 à 10:31

• 15


iPad, MacBook Pro/Air, iPhone 17e : tous les nouveaux produits attendus d’ici le printemps 2026

11/07/2025 à 06:46

• 22


Notre top 5 des accessoires à avoir pendant les vacances (et en promo) !

10/07/2025 à 21:40

• 26


Apple échappe à un procès pour entente illégale sur Apple Pay aux USA

10/07/2025 à 21:15

• 10


Test de la sonnette vidéo G410 d’Aqara : toujours sur piles, mais avec un meilleur angle

10/07/2025 à 20:30

• 7


Une nouvelle fuite présente la possible maquette de l’iPhone 17 Pro noir

10/07/2025 à 20:00

• 81


Samsung aurait lancé la production de l’écran du futur iPhone pliable

10/07/2025 à 14:41

• 10