Ouvrir le menu principal

MacGeneration

Recherche

iTunes et l’App Store ne distribuent pas leurs contenus en HTTPS

Mickaël Bazoge

lundi 03 décembre 2018 à 16:30 • 12

Ailleurs

Apple, qui est si attachée à la confidentialité des données, s’en tient toujours au bon vieux (et pas très sécurisé) HTTP pour distribuer ses contenus sur l’App Store et l’iTunes Store. Musique, films, applications, mises à jour… Tout cela arrive chez l’utilisateur sans la couche de transport sécurisé (TLS, Transport Layer Security) qui est le propre du HTTPS. Et que l’on repère au petit cadenas à côté de l’URL d’un site web.

Tous les portails web ne présentent cependant pas cet indicateur graphique. C’est le cas d’iTunes et de l’App Store, et c’est ce qui a poussé les chercheurs de Disconnect à fouiner un peu dans l’architecture des services d’Apple. C’est là qu’ils ont découvert l’absence de certificat TLS.

En théorie, cette pratique facilite la vie des malandrins qui voudraient en savoir plus sur un utilisateur : avoir connaissance des applications qu’un individu télécharge, c’est déjà en savoir beaucoup sur la personne. De plus, chacun de ces téléchargements non chiffrés intègre un code Apple, le Destination Signaling Identifier (DSI), un numéro unique lié à l’appareil généré par iCloud, et qui change régulièrement.

Que se passerait-il si un pirate exploitait ce code DSI pour traquer un utilisateur à son insu ? En septembre, Discover déposait un bug report auprès d’Apple, qui a répondu que la situation n’avait rien d’un bug, au contraire : ces téléchargements via HTTP sont le comportement normal. Si les envois de données ne sont pas chiffrés, les interactions pour initier et compléter un téléchargement sont, elles, sécurisées. En particulier les métadonnées de transfert avant le téléchargement du contenu à proprement parler.

La validité et l’intégrité des fichiers téléchargés sont protégées par un processus de confirmation cryptographique, précise aussi le constructeur. Apple n’explique cependant pas pourquoi le téléchargement dans son ensemble ne se déroule pas via HTTPS. Wired, qui rapporte l’histoire, rappelle que depuis 2016, Apple demande aux développeurs d’utiliser TLS dans leurs applications ; de fait, le trafic internet à l’intérieur des apps est chiffré.

En l’absence d’explications sur l’usage du simple HTTP pour le téléchargement des données provenant des boutiques d’Apple, on en est réduit aux conjectures. Will Strafach, le chercheur bien connu, avance une hypothèse : cela fournit aux administrateurs système, en particulier dans les grandes entreprises, une manière de stocker en cache les grosses applications et les fichiers afférents sur leurs réseaux locaux. La distribution des apps en est donc facilitée.

Si le téléchargement était chiffré de bout en bout, cette halte ne pourrait pas exister. « Cela n’a pas l’air aux normes et plutôt étrange à première vue », convient Strafach, « mais je ne pense pas que cela représente une menace sur la sécurité, puisque des vérifications d’intégrité sont toujours en place ». Il indique aussi qu’un brigand peut toujours tenter de deviner les applications téléchargées d’un utilisateur en fonction du poids de l’app, même si le processus est complètement protégé par un certificat TLS.

En ce qui concerne le Play Store, Google a mis en place une procédure de téléchargement qui transite entièrement par HTTPS. Cela ne signifie pas que les applications Android n’aient aucun problème de sécurité bien sûr, mais de ce côté Google s’est assuré que tout était bien bordé.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Test du Twelve South AirFly Pro 2 : pour s’enfiler en l’air

11:00

• 6


Sortie de veille : un MacBook avec une puce d’iPhone, attrape-nigaud ou coup de génie ?

08:00

• 22


Un dirigeant de Microsoft conseille aux plus de 9 000 employés licenciés de se faire aider par l’IA

04/07/2025 à 22:00

• 175


Apple fait ses emplettes dans les start-up, entre avatars virtuels et monitoring de l’IA

04/07/2025 à 21:00

• 1


Un premier pas vers le jailbreak de la Touch Bar : le système démarre en mode verbose

04/07/2025 à 17:45

• 19


MacBook Air M2 à 750 € ou Mac Studio M2 Max à 1 300 € ? Entre portable et fixe, il faut choisir

04/07/2025 à 15:22

• 27


Un (faux) traceur GPS sur les cartons des MacBook Air, pour dissuader les livreurs de les voler

04/07/2025 à 13:02

• 82


Un site web pour décoder les pages sauvées en .webarchive par Safari

04/07/2025 à 11:00

• 3


Ulanzi présente une station d'accueil au look de petit Mac Pro

04/07/2025 à 10:15

• 17


Promo : une batterie chameau de 27650 mAh capable de recharger Mac et iPhone à 114 € (-56 €)

04/07/2025 à 09:18

• 13


Développeurs : Technotes ajoute des notes de la communauté sur la documentation d’Apple

04/07/2025 à 08:33

• 5


L’iPhone redécolle en Chine, le Mac cartonne aux États-Unis : Apple souffle un peu avant les trimestriels le 31

04/07/2025 à 07:52

• 41


Apple a creusé l’idée de proposer des services de cloud computing aux développeurs pour concurrencer AWS

03/07/2025 à 21:45

• 47


Apple sort des fonds d’écran aux couleurs de son nouvel Apple Store à Osaka

03/07/2025 à 21:00

• 10


Test du ViewSonic ColorPro VP2788-5K : 27″, 5K et DCI-P3 pour le prix d’un demi-Studio Display

03/07/2025 à 20:30

• 10


Guerre commerciale : les produits fabriqués au Vietnam voient leur taxe multipliée par cinq

03/07/2025 à 20:20

• 30