Un souci de certificats pour d'anciennes applications du Mac App Store

Pierre Dandumont |

Il y a quelques jours, certains utilisateurs du Mac App Store ont eu une surprise : des applications installées depuis longtemps ne fonctionnaient plus, avec un message peu explicite qui indique que l'application est endommagée et ne peut pas être lancée1.

Un joli message (image Der Flounder) et sa VF (merci Gwen).

Un problème de certificats… mais pas que

Une des raisons de cette erreur vient d'un problème de certificats expirés : certains de ceux employés pour signer le code des applications n'étaient valables que jusqu'au 6 ou au 7 février 2023 (il y en a plusieurs). L'erreur en cas de certificats invalides n'est malheureusement pas très explicite : le système considère que l'application est endommagée — comprendre « Elle a été modifiée » — et refuse de la lancer.

Le certificat expiré en février 2023 (image Der Flounder)

Mais diverses sources indiquent que le problème de dates n'est pas le seul problème, comme le rapportent Der Flounder et TechCrunch. Dans le premier cas, il a été noté que des applications signées avec un certificat valide ne fonctionnaient pas, et dans le second, une explication est avancée : le fait qu'Apple a renforcé la sécurité.

Dixit TechCrunch, donc, le problème vient de la façon de signer. La firme est passée à un chiffrement SHA-2 en septembre, alors que les anciennes applications utilisaient SHA-1 (notoirement faible). Et visiblement, certaines anciennes applications intègrent une bibliothèque trop vieille2 pour valider les nouveaux certificats, ce qui empêche le remplacement de ces derniers et donc une erreur au lancement. En théorie, les développeurs peuvent évidemment mettre à jour leurs applications pour valider correctement les certificats, mais ce n'est pas systématique : certaines apps ont été abandonnées avec le temps. Dans ce cas de figure, vous pouvez tenter une réinstallation, si l'application est encore disponible dans vos achats.

  1. Si vous avez été touché et que vous avez une capture en français, contactez-nous.  ↩︎

  2. OpenSSL gère le SHA-2 depuis 2005.  ↩︎

Tags
#macOS #Mac App Store
avatar R-APPLE-R | 

J’ai eu ce problème sur quelques applications que j’ai dû télécharger de nouveau 👿

avatar gwen | 

J’ai eu une bonne dizaine d’applications impactées, dont graphic converter 10. Malheureusement, je n’ai pas pris de capture d’écran.

avatar Mrleblanc101 | 

Je ne comprend pas, pourquoi une application devraient valider son propre certificat ? C'est plutôt l'OS qui valide le certificat de l'appli

avatar r e m y | 

Peut-être parce que ce n'est pas le certificat de notarization de l'application, mais le certificat correspondant au compte iCloud l'ayant achetée sur l'AppStore.

avatar jerome74 | 

Une app peut vérifier le reçus d'achat, lui aussi signé, mais comme ici c'est l'OS qui affiche une erreur et non l'app, c'est uniquement la faute d'Apple. Le développeur n'y peut absolument rien!

avatar r e m y | 

Retelecharger l'application ne sert à rien quand il s'agit d'une vieille appli non mise à jour récemment. Une fois retelechargee, elle ne sait pas mieux gérer le certificat et apparaît toujours "endommagée" 😕

avatar gwen | 

@r e m y

Chez moi ça a marché en retelechargeant l’application. Le soucis c’est que j’ai dû le faire pour une bonne vingtaine d’applications au final (je n’avais pas finis lors de mon premier post plus haut).

avatar maxichoucroutte | 

J'ai du le cas sur mon iMac qui est sous Catalina avec l'application "Window Tidy". Plus de problème après réinstallation. Par contre rien sur mon MacBook Pro qui est aussi sous Catalina ...

avatar mat16963 | 

« It just works » 😍 c’est pour ça qu’on choisit Apple, pas se prendre la tête toussa

avatar marc_os | 

@ mat16963

Eh, faut redescendre sur terre, personne n'a jamais dit que la perfection absolue existait dans ce monde en évolution permanence qui plus est.
Le genre de gugus qui crierait aussi au scandale si Apple autorisait des systèmes de sécurité obsolètes le jour un un "chercheur en sécurité" dirait : Regardez, Apple autorise des certificats qui ne sont pas surs !

avatar byte_order | 

Le problème du "It Just Works" c'est que c'est à un instant T assez facile à faire, mais maintenir cet état durant un cycle de vie d'un ecososytème informatique de multiples années, c'est nettement moins facile. Certains s'acharnent à le faire, et cela demande de très gros efforts de retro-compatibilité, qui rentre de plus en plus en conflit avec la sécurité, d'autres s'en contrefoutent et, en gros, laissent le problème sur le dos des utilisateurs, avec en excuse "vous n'aviez qu'à faire régulièrement les MAJ quand *nous* vous l'avons demander de le faire", en balayant sous le tapis toutes les raisons pour lesquels des gens ont parfaitement le droit de ne pas vouloir faire des MAJ selon les décisions unilatérales d'un acteur extérieur, des raisons fonctionnelles, matérielles, voir même financières.

It Still Just Works, c'est nettement plus compliqué, en bref.

avatar lactel | 

J’ai eu ce message (en Anglais) sur 1Password 7 mais il a redémarré normalement sans rien faire à part OK

CONNEXION UTILISATEUR