Oups, une erreur de certificat HTTPS sur le site d’Apple 🤭 [MàJ]

Nicolas Furno |

Si vous essayez d’accéder au site français d’Apple en suivant cette adresse https://www.apple.fr, vous tomberez sur un message d’erreur de ce type dans Safari :

Oups…

Chrome et Firefox affichent également des messages d’erreur, et pour cause : le certificat HTTPS est mal configuré ou invalide et les navigateurs le bloquent alors systématiquement. C’est une mesure de sécurité indispensable pour éviter le phishing, un site qui se ferait passer pour un autre pour récupérer vos informations personnelles. Sauf qu’en l’occurrence, c’est le site officiel d’Apple qui bloque…

En attendant un correctif, vous pouvez simplement retirer le « s » de l’URL et saisir : http://www.apple.fr. Dans ce cas, le navigateur vous redirigera de lui-même vers la véritable adresse du site, qui est https://www.apple.com/fr/.

[MàJ 26/10/2018 10h39] : en fait, cela ne concerne pas que le site français d’Apple, les autres versions internationales sont aussi concernées. Que ce soit https://www.apple.it, https://www.apple.jp ou un autre pays, vous tomberez sur la même erreur HTTPS.


Tags
avatar frankm | 

Ça fonctionne à nouveau. Et toujours pas de coque Apple pour le Xr

avatar romainB84 | 

@frankm
j'avoue !!
j'ai commandé mon XR ce weekend, je pensais me prendre la fameuse coque transparente dont on entend tant parler !!
du coup je me suis rabattu sur une MOD-NX de Rhinoshield
vu que tout le monde en dis que du bien, peut etre que c'est pas si mal que la coque officielle n'ai pas été sur le site d'apple au moment de ma commande ;)

avatar frankm | 

@romainB84

En voyant le début de votre message j’allais vous dire que j’avais enquêté et que Rhinoshield devait être un bon choix.
Vous avez fait le bon choix je pense.
Je penche pour la CrashGuard NX.

avatar romainB84 | 

La crashguard c’est le bumper il me semble ?
L’avantage du MOD NX c’est que c’est à la fois une coque ou un bumper (je pourrais changer au besoin)

avatar frankm | 

@romainB84

Oui

avatar Florent Morin | 

Toujours pas de TLS 1.3 ?

avatar byte_order | 

C'est un problème *dans* le certificat du serveur renvoyé par https://www.apple.fr.
Peu importe la version de TLS employée pour se l'échanger au début de la connexion TLS...

avatar oomu | 

pourquoi voudriez vous TLS 1.3 ?

c'est bien prématuré.

avatar Florent Morin | 

@oomu

Ça permet de gérer le Pinning SSL directement via l’OS, de manière transparente. Et c’est plus performant aussi.

avatar Minas_Tirith | 

Le certificat a été signé par « Apple Corporate Server CA 1 ». Apple devient une CA maintenant ? C’est pour ça que ça foire ce n’est pas reconnu par nos browsers.

avatar byte_order | 

A ce propos, sur iOS, plateforme fermée et dont le moteur Web est imposé par Apple, celle-ci a de facto un pouvoir de censurer des CA qui ne lui conviennent pas et ce de manière unilatérale.
Et cela n'impacte pas uniquement que les accès aux sites Web, mais toute communication Internet sécurisée par un certificat faite depuis iOS.

Juste pour rappel.

avatar Minas_Tirith | 

@byte_order

Qu’Apple le fasse pour l’usage « interne » à iOS et tout l’écosystème je le conçois, mais ici l’accès est fait depuis des devices relativement hétéroclites (site web public), le certificat Apple France est signé avec la CA d’Apple, d’où mon étonnement.

avatar byte_order | 

@Minas_Tirith

Ah mais c'est clairement une erreur lors du renouvellement / déploiement du certificat, qui date du 19 octobre dernier il me semble.

J'en profitais juste pour souligner que qui contrôle les root CA autorisées sur une plateforme contrôle de facto avec qui vous pouvez communiquer de manière sécurisée.
Et donc qu'il faut être vigilant, chacun, sur le niveau de contrôle et par qui.

avatar oomu | 

tout comme microsoft pourrait patcher Windows 10 la nuit, tuer chrome et firefox, imposer son CA dans Edge, vire du catalogue de certificats de windows tous les CA autres, et dominer l'Univers.

Google pourrait avoir une bombe logique dans toutes les déclinaisons d'android (car l'industrie ne lit jamais le code, comme on l'a vu avec libssh, openssl, etc) et subitement activer l'Ordre 66 et prendre le contrôle de tous les Drones, Téléphones, Machines à laver et enceinte smart (sauf amazon et apple, dernier baston de liberté) et Contrôler le monde.

-
Apple:

Apple a déjà un énorme contrôle via l'App Store sur ios.

On sait déjà l'impact que ça. et c'est déjà un soucis politique.

Concernant les CA, oui Apple pourrait devenir subitement encore plus Tyrannique. Mais:

1: un grand nombre de gens + vous en sont déjà conscients et donc vigilants. (OUI, on est pas SEUL avec nos paranoias dans le monde. On est tout un club ! )
2: l'impact serait cataclysmique. ça transformerait en 1 seconde Apple de société cool à trillion en criminel et société à fuir.
3: pourquoi voudriez vous que des êtres humains continuent d'utiliser un appareil aussi bridé ? WAP au japon ne vous a pas suffit ?

"O iPhonneuh tu es en alu et verre de si bon goût, tu me fais du mal mais je t'aimeuh quand même" *frot frot frot*

4: Microsoft tenta de pousser le bouchon régulièrement. Cela leur a valu une inimitié profondes des geeks (qui poussèrent à rendre Linux viable), un désaveu du public (abandon de IE 6, avec inertie oui mais réel), un acharnement politique sur plusieurs pays. La société se calma et tout va bien.

Et on était loin d'un coup à la "Timmy décide subitement quel site porno vous n'allez pas regarder via TLS." ou "Timmy met en oeuvre le man-in-the-middle via injection du CA Apple, muhohohoho".

Y a des limites au fantasme geek post-apocalyptique

-
Mais oui, le contrôle ACTUEL ET NON FANTASMATIQUE d'Apple sur le APP STORE de ios est DEJA un problème CONCRET à la fois culturel ET de libre concurrence. C'est une question déjà en ce moment même politique.

et c'est déjà suffisant.

-
dans le genre autre vrai problème réel du concret de NOW que pose Apple : la réparabilité des produits Apple et de pouvoir le faire soi même ou par un tiers. Cela pose un vrai soucis de droit du consommateur, tout comme culturel et économique.

De fait, j'estime qu'on a pas besoin de geeko-paranoier de ce que pourrait faire Apple (mais ne fait pas) pour déjà hurler de ce que FAIT Apple.

avatar byte_order | 

> tout comme microsoft pourrait patcher Windows 10 la nuit, tuer chrome et firefox,
> imposer son CA dans Edge, vire du catalogue de certificats de windows tous les CA
> autres, et dominer l'Univers.

Tentative inefficace tant que Microsoft ne peut pas bloquer l'installation de toute application gérant directement d'elle même le protocole TLS et la vérification des certificats avec sa propre liste de CA.

Toute repose sur le contrôle de la distribution des logiciels. Ce que ni Microsoft ni Google ne contrôle totalement, en particulier pour le premier.

Pour le reste, oui, pas besoin de tomber dans la paranoïa facile, mais attention à ne pas se focaliser sur les dérives actuelles du contrôle actuel sous prétexte que y'a déjà bien assez à dire.

"Only the paranoid survive" - Andrew Grove, co-fondateur d'Intel
^_^

avatar rxme78 | 

Les certificats Apple sont publics : https://www.apple.com/certificateauthority/

Sur macOS le "Trousseaux d'accès" permet de voir ceux qui sont installés. Et heureusement que les certificats sont mis à jour régulièrement (ajout/modification/révocation).

avatar kiddsoso | 

Il y a appstoreconnect aussi .. ?

avatar pocketalex | 

Il y en a un qui va se faire fortement taper sur les doigts...

avatar Almux | 

apple.ch fonctionne, quant à lui.

avatar Scooby-Doo | 

@frankm & Almux

Non cela ne fonctionne toujours pas !

Par exemple https://www.apple.ch/">https://www.apple.ch/ renvoie bien message de certificat invalide dans Edge sous Windows 10.

Nicolas Furno m'a confirmé que le problème était toujours présent.

Vous n'avez pas suivi la bonne procédure pour reproduire le problème.

Ouvrez votre navigateur préféré et tapez ceci :

https://www.apple.ch/">https://www.apple.ch/

pas juste apple.ch par exemple...

;-)

avatar frankm | 

@Scooby-Doo

Navré mais aucun impact au boulot sur Windows 10 Firefox

avatar Scooby-Doo | 

J'obtiens :

Ce site n’est pas sécurisé

Cela signifie que quelqu’un essaye de vous induire en erreur ou de voler les informations que vous envoyez au serveur. Vous devez fermer ce site immédiatement.

Atteindre votre page d’accueil

Détails :

Votre PC ne fait pas confiance au certificat de sécurité de ce site web.
Code d’erreur : DLG_FLAGS_INVALID_CA

Atteindre la page web (Non recommandé)

avatar Scooby-Doo | 

@ frankm

C'est vraiment étrange que vous n'avez pas ce problème avec Firefox en tapant l'adresse comme indiquée !

Vous avez peut-être du cache internet que Firefox utilise plutôt.

Pour ma part, j'ai essayé :

https://www.apple.ch/
https://www.apple.fr/
https://www.apple.jp/

Même erreur !

Si je tape juste apple.fr cela fonctionne car je suis rerouté automatiquement vers :

https://www.apple.com/fr/

Encore un de ces fameux mystères associés cachés dans les bas fonds de l'informatique...

avatar byte_order | 

Rien de mystérieux.
http*s*://apple.fr (sans le www. donc) est aussi en erreur de certif.

si vous tapez juste "apple.fr", c'est http://apple.fr en fait, et ça c'est visiblement redirigé sur http*s*://www.apple.com/fr.

Il semblerait que kkun chez Apple a regénéré tous les certifs des Common Names "apple.{pays}" (.cn, .nz, .be etc aussi sont touchés) avec comme CA celui interne d'Apple, qu'aucun navigateur ne reconnait comme valide.

par contre les redirections de http://apple.{pays} vers http*s*://apple.com/{pays}, elles, marchent toujours parce que l'accès initial se fait en http, donc sans vérification de certificat.

avatar Scooby-Doo | 

@byte_order

Merci d'avoir pris le temps de me répondre et vos explications intéressantes.

Maintenant, j'ai frankm qui me dit que tout roule pour lui sur Firefox !

Firefox ne vérifierait pas la validité d'un certificat ? Ce serait étonnant.

Pourquoi certains sont impactés, d'autres non ?

Et moi qui pensait que je pouvais enfouir mes os au fin fonds de l'informatique en toute tranquillité. Quelqu'un serait-il en train de vouloir les déterrer et me les subtiliser ?

avatar byte_order | 

Possible que @frankm au boulot passe par un proxy, qui lui présente un autre certificat que celui présenté par https://apple.fr, sans que le proxy relaye (bypass total, contrôle des certif pas systématiques mais via un cache plus long pour diminuer la charge du proxy, partagé par tous dans l'entreprise, etc) l'invalidité du certificat réel.
Du coup, son Firefox voit lui un site certifié par le CA de son entreprise, CA qui est ajouté sur chaque machine par l'IT, et donc n'y voit que du feu.

C'est une possibilité.

avatar koko256 | 

En fait cela n'empêche pas le phising. Obtenir un certificat letsencrypt est super simple dès que l'on contrôle le site web.

Et cela a toujours été les éditeurs d'OS qui ont géré les certificats (Win, macOS, les distributions Linux). Il y a Firefox qui a sa liste. Mais il me semble que le risque d'abus par les sociétés ou les éditeurs d'OS est du même niveau et assez faible. Que dirait-on si Apple était prise à falsifier des certificats (car si l'on se fait prendre, on a tout de suite un preuve de la falsification)

Par contre, un certificat invalide ne gène pas du tout le chiffrement. On n'est juste pas sûr de savoir à qui on cause. Il est de toute façon préférable de vérifier que le certificat est valide et a bien le nom de l'entreprise avant d'y faire confiance.

avatar byte_order | 

Y'a juste un différence entre un OS qui ne peut pas empêcher l'installation d'une application qui réimplémente elle même sa propre gestion de TLS et de vérification de certificat et un OS dont la seul façon d'y installer quelque chose passe par un contrôle de validité par une entité non indépendant et sans véritable contrôle qui, donc, peut refuser des applications qui n'utiliserait pas *son* implémentation native de TLS et *son* dictionnaire de CA.

A titre d'exemple, Firefox sur iOS utilise WebKit (pas le choix, c'est imposé), et donc n'a pas sa propre liste de CA.

Maintenant, c'est pas une raison d'être paranoïaque en effet, mais attention à ne pas penser naïvement que pour des raisons de pression politique, par exemple, un CA ne puisse pas être censuré. Je vois bien les autorités chinoises (mais d'autres aussi, hein, c'est pas les gouvernements autoritaires qui manquent ces temps-ci, c'est très tendance...) censurer par exemple LetsEncrypt...

Une censure de CA activée uniquement pour les utilisateurs dans le pays concerné, à l'instar du cloud gouvernemental imposé.

Entre la paranoïa et la naïveté, y'a un juste milieu à trouver, et c'est en rappelant quelques réalités factuelles que la vigilance se fait, pas sur des promesses ou espoirs.

avatar oomu | 

baaaah, qui n'a jamais fait une erreur de renouvellement de certificat sur l'ensemble des services mondiaux via le super script ansible qui fait tout :)

*sifflote*

avatar AkdM | 

Expires: Tuesday, 17 November 2020 at 22:37:15 Central European Standard Time

Il n'a pas expiré.

avatar Scooby-Doo | 

Cela respire l'expérience malheureuse vécue !

avatar byte_order | 

@oomu
Jamais !

*sifflote*

avatar Scooby-Doo | 

Et la panne pendant ce temp perdure.

La start-up californienne a perdu dans la nature son stagiaire qui apportait les pizzas, nettoyait la vaisselle, vidait la poubelle et s'occupait entre autre du site Internet...

avatar byte_order | 

Ou alors il a les doigts écrasés, cf @pocketalex.
Pas facile de corriger un script avec des doigts douloureux.

avatar Moonwalker | 

Le site « français » d’Apple c’est https://www.apple.com/fr/

Idem pour les autres nationalités. Mettez à jour vos signets au lieu de vous faire des films.

avatar marenostrum | 

les signets par default de Safari sont avec com derrière et pas avec fr, ou ch, ou jp.
le mien français est http://www.apple.com/fr tandis que la page américaine est avec com, sans le /fr.

avatar Pipes Chapman | 

Fascinant, vraiment , mais de quoi vous parlez ? au fait... :)

avatar Scooby-Doo | 

De problèmes de doigts écrasés de stagiaires de start-up californiennes...

avatar marenostrum | 

mais qui laisse les stagiaires intervenir sur ces choses là ?

avatar byte_order | 

des startups californiennes, semble-t-il...

avatar R1x_Fr1x | 

Ne fonctionne pas pour la France ni pour l'Italie. Je pense que c'est la réponse d'Apple à sa sanction tombée en Italie pour obsolescence programmée.

avatar byte_order | 

@R1x_Fr1x

La bouderie comme explication ?
Arf, après tout, pourquoi pas, c'est pas plus improbable que le stagiaire...
^_^

avatar Scooby-Doo | 

La bouderie comme explication ? Impossible !

Le stagiaire proteste avec force :-)

La version japonaise ne fonctionne pas non plus. A moins que les Japonais aient fait des misères à la start-up…

La seule explication raisonnable : un impayé !

Une facture EDF non réglée, un compteur Linky fou !

Vous pourriez me rétorquer que la start-up est CALIFORNIENNE !

Et que donc, nul EDF ne saurait intervenir dans cette mystérieuse équation…

La SARL française est aussi aux USA ! Elle envoie donc des factures à de pauvres utilisateurs américains...

avatar Lightman | 

C'est la même chose avec le site de Pôle emploi : certificat invalide depuis presque un an avec Safari et chrome. Seul Firefox passe.

CONNEXION UTILISATEUR