Ce n'est pas la première fois qu'Apple utilise la révocation d'un certificat d'entreprise pour bloquer le fonctionnement d'une application dont elle juge qu'elle contrevient à ses règles. Le cas de Facebook en fait toutefois un précédent inédit en cela qu'il touche une des plus grandes entreprises au monde, éditrice de quelques-unes des applications les plus populaires de l'App Store, même si ces dernières n'ont pas été touchées.

Pour l'utilisateur lambda de Facebook, WhatsApp, Messenger ou d'Instagram, il ne s'est rien passé hier. Ces applications continuent de fonctionner normalement. Au sein de Facebook en revanche, Apple a d'un coup bloqué le lancement de plusieurs de ces mêmes logiciels qui étaient distribués aux employés sous la forme de bêtas ainsi que des apps utilisées quotidiennement pour l'information interne.

Pour schématiser, il y a deux sortes d'apps iOS. Celles distribuées par un éditeur sur l'App Store et auxquelles tout un chacun peut avoir accès, et celles que le même éditeur peut réserver à ses équipes et qui ne font l'objet d'aucune validation préalable par les équipes d'Apple. Cela peut être aussi une université qui n'a aucune présence sur l'App Store mais a besoin de logiciels pour ses étudiants.

Dans un cas comme dans l'autre, ces applications sont munies d'un certificat qui assure aux utilisateurs que leurs développeurs sont correctement enregistrés auprès d'Apple. Lors de l'ouverture de l'app, une vérification est faite auprès des serveurs d'Apple afin de vérifier que ce certificat est toujours valide (il expire au bout d'un an et doit être renouvelé). À la manière d'une pièce d'identité dont l'authenticité et la validité seraient vérifiées chaque fois qu'on la présente.

Les entreprises bénéficient de la part d'Apple d'un programme de licence leur facilitant le déploiement d'apps à usage interne, auprès d'autant de salariés que nécessaire, sans limite de nombre.

Il est toutefois bien précisé dans le contrat de licence que les apps distribuées dans ce cadre sont réservés aux salariés (ou membres d'un établissement). Pas question de s'en servir pour des clients et encore moins dans le but de la collecte de données qui était celui de l'app Facebook Research (lire Facebook payait de jeunes utilisateurs pour siphonner leurs données).

Facebook ayant eu besoin de diffuser auprès du grand public cette app, dont il savait qu'elle ne franchirait pas l'obstacle de la validation de l'App Store — le réseau social s'était déjà fait taper sur les doigts — a utilisé son compte entreprise. Cette app partageait le même certificat qui était attaché à celles distribuées uniquement en interne. La révocation du certificat pour cette app à destination de l'extérieur de Facebook a produit un effet domino à l'intérieur du groupe.

Dans un mémo interne obtenu par Business Insider, Pedro Canahuati, Vice Président Production Engineering et Security a expliqué la situation aux employés en listant les apps soudainement bloquées : Workplace (la version interne de Facebook), Workplace Chat, Ride (infos sur les transports à disposition des salariés), Mobile Home (autre source d'infos) et des versions en développement de prochaines mises à jour d'Instagram et de Messenger.

Lorsque ces apps ont un équivalent public sur l'App Store, les salariés doivent se tourner vers elles. Pour les autres qui n'existent qu'au sein de Facebook, il faut attendre que l'entreprise et Apple règlent la situation, ce qui est apparemment en cours.

L'arme de la révocation

Cette réaction d'Apple n'a rien d'inédit. Par le passé et probablement aujourd'hui encore, elle use de cette possibilité pour révoquer les certificats obtenus par des développeurs qui ont enfreint ses règles (le Mac est aussi concerné, lire : Sécurité : dans macOS Mojave, un notaire pour arrêter les frais).

Le coup du certificat d'entreprise a beaucoup servi pour distribuer des apps à grande échelle en évitant l'App Store et sans qu'il soit non plus nécessaire que l'iPhone destinataire soit jailbreaké.

Des certificats ont été révoqués pour empêcher l'emploi d'une app installant le nécessaire pour réussir un jailbreak ; une autre fois pour des App Store alternatifs qui diffusaient des copies d'apps existantes parfois lestées de malware ou de pubs, ou bien des apps initialement payantes et piratées. L'actualité a été plusieurs fois émaillée de ce jeu du chat et de la souris. Certaines affaires n'ont pas forcément été médiatisées mais pour celles connues, on naviguait le plus souvent dans les eaux du piratage et de la diffusion de malwares.

Au sein de Facebook rapportent Business Insider et AppleInsider des salariés oscillent entre critique d'Apple — laquelle se serait donnée pour mission de faire tomber Facebook — et critique de certains de leurs collègues qui, en toute connaissance de cause, ont décidé de s'affranchir des règles d'Apple : « Si nous avons eu une app dans l'App Store qui a été retirée pour cette même raison, qu'est-ce qui nous autorise à penser que l'on peut continuer un projet identique, au moyen d'un certificat d'entreprise ? ».

Le cas de Facebook est par conséquent exceptionnel par le profil de l'intéressé. L'avantage de la méthode employée par Apple est qu'elle paralyse temporairement une partie de l'activité interne du réseau social — elle savait qu'en bloquant l'app incriminée, d'autres allaient suivre dans le même mouvement — sans gêner les apps utilisées par les centaines de millions d'utilisateurs à travers le monde. Un coup de semonce qui aura peut-être valeur d'avertissement pour d'autres éditeurs, petits comme grands.