Facebook : Apple a déjà utilisé l'arme de la révocation de certificat mais jamais aussi fort

Florian Innocente |

Ce n'est pas la première fois qu'Apple utilise la révocation d'un certificat d'entreprise pour bloquer le fonctionnement d'une application dont elle juge qu'elle contrevient à ses règles. Le cas de Facebook en fait toutefois un précédent inédit en cela qu'il touche une des plus grandes entreprises au monde, éditrice de quelques-unes des applications les plus populaires de l'App Store, même si ces dernières n'ont pas été touchées.

Le siège de Facebook à Menlo Park, image Facebook

Pour l'utilisateur lambda de Facebook, WhatsApp, Messenger ou d'Instagram, il ne s'est rien passé hier. Ces applications continuent de fonctionner normalement. Au sein de Facebook en revanche, Apple a d'un coup bloqué le lancement de plusieurs de ces mêmes logiciels qui étaient distribués aux employés sous la forme de bêtas ainsi que des apps utilisées quotidiennement pour l'information interne.

Pour schématiser, il y a deux sortes d'apps iOS. Celles distribuées par un éditeur sur l'App Store et auxquelles tout un chacun peut avoir accès, et celles que le même éditeur peut réserver à ses équipes et qui ne font l'objet d'aucune validation préalable par les équipes d'Apple. Cela peut être aussi une université qui n'a aucune présence sur l'App Store mais a besoin de logiciels pour ses étudiants.

Dans un cas comme dans l'autre, ces applications sont munies d'un certificat qui assure aux utilisateurs que leurs développeurs sont correctement enregistrés auprès d'Apple. Lors de l'ouverture de l'app, une vérification est faite auprès des serveurs d'Apple afin de vérifier que ce certificat est toujours valide (il expire au bout d'un an et doit être renouvelé). À la manière d'une pièce d'identité dont l'authenticité et la validité seraient vérifiées chaque fois qu'on la présente.

Les entreprises bénéficient de la part d'Apple d'un programme de licence leur facilitant le déploiement d'apps à usage interne, auprès d'autant de salariés que nécessaire, sans limite de nombre.

Il est toutefois bien précisé dans le contrat de licence que les apps distribuées dans ce cadre sont réservés aux salariés (ou membres d'un établissement). Pas question de s'en servir pour des clients et encore moins dans le but de la collecte de données qui était celui de l'app Facebook Research (lire Facebook payait de jeunes utilisateurs pour siphonner leurs données).

Facebook ayant eu besoin de diffuser auprès du grand public cette app, dont il savait qu'elle ne franchirait pas l'obstacle de la validation de l'App Store — le réseau social s'était déjà fait taper sur les doigts — a utilisé son compte entreprise. Cette app partageait le même certificat qui était attaché à celles distribuées uniquement en interne. La révocation du certificat pour cette app à destination de l'extérieur de Facebook a produit un effet domino à l'intérieur du groupe.

"Hack", image Facebook

Dans un mémo interne obtenu par Business Insider, Pedro Canahuati, Vice Président Production Engineering et Security a expliqué la situation aux employés en listant les apps soudainement bloquées : Workplace (la version interne de Facebook), Workplace Chat, Ride (infos sur les transports à disposition des salariés), Mobile Home (autre source d'infos) et des versions en développement de prochaines mises à jour d'Instagram et de Messenger.

Lorsque ces apps ont un équivalent public sur l'App Store, les salariés doivent se tourner vers elles. Pour les autres qui n'existent qu'au sein de Facebook, il faut attendre que l'entreprise et Apple règlent la situation, ce qui est apparemment en cours.

L'arme de la révocation

Cette réaction d'Apple n'a rien d'inédit. Par le passé et probablement aujourd'hui encore, elle use de cette possibilité pour révoquer les certificats obtenus par des développeurs qui ont enfreint ses règles (le Mac est aussi concerné, lire : Sécurité : dans macOS Mojave, un notaire pour arrêter les frais).

Le coup du certificat d'entreprise a beaucoup servi pour distribuer des apps à grande échelle en évitant l'App Store et sans qu'il soit non plus nécessaire que l'iPhone destinataire soit jailbreaké.

Des certificats ont été révoqués pour empêcher l'emploi d'une app installant le nécessaire pour réussir un jailbreak ; une autre fois pour des App Store alternatifs qui diffusaient des copies d'apps existantes parfois lestées de malware ou de pubs, ou bien des apps initialement payantes et piratées. L'actualité a été plusieurs fois émaillée de ce jeu du chat et de la souris. Certaines affaires n'ont pas forcément été médiatisées mais pour celles connues, on naviguait le plus souvent dans les eaux du piratage et de la diffusion de malwares.

Au sein de Facebook rapportent Business Insider et AppleInsider des salariés oscillent entre critique d'Apple — laquelle se serait donnée pour mission de faire tomber Facebook — et critique de certains de leurs collègues qui, en toute connaissance de cause, ont décidé de s'affranchir des règles d'Apple : « Si nous avons eu une app dans l'App Store qui a été retirée pour cette même raison, qu'est-ce qui nous autorise à penser que l'on peut continuer un projet identique, au moyen d'un certificat d'entreprise ? ».

Le cas de Facebook est par conséquent exceptionnel par le profil de l'intéressé. L'avantage de la méthode employée par Apple est qu'elle paralyse temporairement une partie de l'activité interne du réseau social — elle savait qu'en bloquant l'app incriminée, d'autres allaient suivre dans le même mouvement — sans gêner les apps utilisées par les centaines de millions d'utilisateurs à travers le monde. Un coup de semonce qui aura peut-être valeur d'avertissement pour d'autres éditeurs, petits comme grands.

avatar hartgers | 

La question que je me pose, dans la continuité du débat sous l'article précédent :
Est-ce que cette révocation de certificat a déjà été vécue comme une injustice de la part d'entreprises ou de développeurs de bonne foi ?

avatar moua | 

Ils auraient dû utiliser un certificat différent pour l’app qui siphonne tout.

C’est comme héberger du contenu illégal sur un site :
C’est parfois tout le site qui tombe en cas de blocage.

avatar Flo31Z | 

C'est pas des certificats pour Mr & Mme tout le monde. Il faut une entreprise avec des preuves de son existence (DUNS, HQ, email corporate, website) pour obtenir ce genre de certificat. Mais c'est clair, je suppose que derrière Facebook, elle dispose d'autres sociétés pour réouvrir ce genre de compte.

avatar moua | 

@Flo31Z

Oui n’importe quelle société peut obtenir ce type de certificat.

Pas besoin de la maison mère.
On peux très bien être une petite boîte avec des besoins interne spécifique.

Facebook a mal joué son coup, mais peut être était-ce aussi pour accepter plus facilement d’installer un certificat vpn venant d’une entreprise connue.
Ou simplement une erreur de jugement de certains employés.

avatar Flo31Z | 

Pour le certificat in-house, la validité avant renouvellement est de 3 ans et non de 1 an (sur l'App Store) comme dit dans l'article.
Quand Apple révoque, bonne chance pour obtenir une réactivation.
Enfin, je suppose que quand on s'appelle Facebook, c'est plus simple.

avatar SyMich | 

L'hypothèse d'une volonté d'Apple de faire tomber FaceBook n'est pas totalement farfelue!
On peut en effet se demander pourquoi Google n'a pas vu son certificat invalidé aussi rapidement que celui de FaceBook dès lors qu'ils se sont rendus coupables d'exactement la même entorse aux règles d'usage de ces certificats corporate.

avatar Az | 

@SyMich

Je ne défends pas Google mais eux on tout de suite désactivé leur app incriminée se sont excusés, et on fait genre on a pas fait exprès.
Bon tout le monde sais que c’est faux mais au moins leurs app n’est plus dispo.
Facebook n’a rien fait il me semble...

avatar SyMich | 

Quelqu'un est allé vérifier que l'app en question a bien été desinstallee de tous les iPhones sur lesquels elle était installée?
Et pourquoi cette solution n'a pas été envisagée dans le cas de Facebook?
J'ai quand même l'impression qu'il y a une part d'arbitraire voire de traitement à la tête du client de la part d'Apple.

avatar occam | 

@SyMich

"J'ai quand même l'impression qu'il y a une part d'arbitraire voire de traitement à la tête du client de la part d'Apple. "

Le terme technique est « eyewash ».

Une analyse fouillée d’Ian Bogost :
https://www.theatlantic.com/technology/archive/2019/01/apples-hypocritic...

avatar Bigdidou | 

@occam

Passionnant.
Et très éclairant. D’un certain côté, c’est un coup de maître d’Apple qui mérite l’admiration, et FB s’est fait couillonné dans les grandes largeurs.

avatar occam | 

@Bigdidou

Tout à fait d’accord. Du point de vue de l’exécution, c’est admirablement bien joué. Et pile au moment où la cote de FB est au plus bas.

avatar SyMich | 

Le cours de l'action FB a augmenté de 10% aujourd'hui...

avatar niicoo76 | 

Et qu’elles seraient les conséquences pour Apple si demain Facebook décidait de supprimer son app d’iOS ...

avatar coucou | 

Les 4 ça serait plus amusant.

Plus de messenger, plus de facebook, plus de whatsapp et plus de snapchat = adieux l'iphone

edit: ils sont aussi proprio d'instagram. Celle la ça ferait hyper mal aux possesseurs d'iphone si la 5ème disparaissait aussi. :)

Les 5 applications les plus téléchargées et les plus utilisées qui disparaissent en même temps. L'iphone à 1600€ qui devient aussi utile qu'un téléphone fixe des années 80. :)

avatar Chazi | 

@coucou

Snapchat n’est pas la propriété de Facebook ;)

avatar coucou | 

Ah oui, il avait fait une offre ya quelques années mais elle avait été refusée c'est vrai :o

avatar Derw | 

@coucou
« Les 5 applications les plus téléchargées et les plus utilisées qui disparaissent en même temps. L'iphone à 1600€ qui devient aussi utile qu'un téléphone fixe des années 80. »

Vu que je n’ai aucune des 5, mon nouvel iPhone Xr à 800€ resterai aussi utile qu’il l’ai déjà, c’est à dire beaucoup qu’un téléphone fixe des années 80...

D’ailleurs, je trouve étonnante cette association entre le qualificatif « utile » et ces 5 app sus-mentionnées. « Distrayant », « fun », evantuellement « pratique » pour Wathsapp, pourquoi pas, mais « utile » !

avatar coucou | 

C'est parce que t'es trop vieux que t'en vois pas l'utilité :)

avatar Derw | 

Peut-être.
Mais mon fils de 15 ans n’en voit pas l’utilité non plus.
Lui : « Facebook et Messanger c’est pour les vieux ! Whatsapp c’est pour les presque vieux ! Il n’y a que Insta qui est bien ! »
Moi : « c’est bien, mais c’est utile ? »
Lui : « ....... (longue hésitation) Non... Sans insta, je pourrais toujours discuter en SMS... »

Je précise que je suis sur Facebook (mais n’ai pas l’app) et que les seuls à éventuellement me contacter via Messanger ont plus de 35 ans. D’ailleurs tous les jeunes (moins de 23 ans) de ma famille qui étaient sur Facebook n’y ont plus d’activité depuis plus de 2 ans... Ma femme est sur Whatsapp et pareil, que des « vieux » !

Bref, Facebook ce n’est plus ce que c’était ! Heureusement pour eux qu’ils ont racheté Instagram... Maintenant, si Facebook disparaît, d’un point de vue usage perso je me remettrais très facilement, et d’un point de vue sociétal, ce serait une bonne nouvelle...

avatar Bigdidou | 

@coucou

« C'est parce que t'es trop vieux que t'en vois pas l'utilité :) »

Hum, comme dit Derw, c’est plutôt l’inverse...
FB prend doucement le chemin des EHPAD ;)

avatar Osei Tutu | 

Je m’attendais à voir des noms des entreprises ou des applications également révoquées. Mais rien

CONNEXION UTILISATEUR