Questions de sécurité autour de MobileMe

Florian Innocente |
Voilà un épisode inédit dans la saga MobileMe, celui qui touche à la thématique de la sécurité. Depuis quelques jours et après un article paru sur Apple Insider, quelques blogs se sont intéressés - et un peu déchirés - sur la manière dont les données des abonnés sont gérées par MobileMe lorsqu'ils en utilisent les services via leur navigateur.

Il en ressort que lorsqu'on arrive sur la page de connexion au service (nom de domaine https://auth.apple.com), les données entrées par l'utilisateur sont acheminées cryptées par une transaction SSL (le petit cadenas dans la fenêtre du navigateur en témoigne).

mobilemelogin


Mais une fois authentifié, l'utilisateur est envoyé vers un autre domaine (http://www.me.com) qui lui n'est plus sécurisé. Lorsqu'on lit un courrier, qu'on en rédige un, lorsqu'on ouvre une fiche du carnet d'adresses ou que l'on consulte son agenda, à chaque fois les données échangées pendant ces actions pourraient être interceptées par quelqu'un présent sur le même réseau.

Un autre scénario suggère que le serveur DNS par lequel passe l'utilisateur pourrait être compromis et oriente l'utilisateur vers un faux domaine me.com, passé l'étape d'authentification.

En revanche lorsqu'on clique sur l'icône de gestion de son compte où l'on peut modifier par exemple son mot de passe ou ses données de facturation, on repart vers un autre domaine (https://secure.me.com/) qui lui aussi utilise des transactions sécurisées. Et certains de réclamer que ce cryptage des données s'applique également aux services Web de MobileMe.

Il faut souligner toutefois que Yahoo et Microsoft n'opèrent pas différemment d'Apple avec leurs propres webmail. En revanche Google a ajouté depuis peu une option pour forcer la connexion en mode sécurisé (https). De même, lorsqu'on accède à MobileMe depuis Mail ou Entourage ou encore depuis son iPhone, les échanges sont là-aussi sécurisés.

GmailParametresssh


A ces demandes d'une généralisation des transactions via SSL sur MobileMe, Andrew Jaquith du Yankee Group apporte un autre éclairage (à voir dans les réactions du blog).

Selon lui SSL n'est pas la panacée (mais Apple gagnerait tout de même à l'exploiter plus largement). Ce mécanisme d'après lui est efficace pour s'assurer que le site visité est sûr mais si le certificat de validité utilisé pour cela a été lui-même falsifié, rien ne l'indiquera. Il s'agirait que le navigateur puisse lui aussi correctement identifier la nature officielle du site.

Enfin il suggère qu'Apple sécurise peut-être ces échanges avec ses propres méthodes, et qu'il est un peu hâtif de déclarer les services de MobileMe complètement ouverts aux quatres vents.


avatar marsupilami2 | 
Effectivement ça serait bien qu'Apple proprose de rester en https tout au long de la navigation sur me.com. Concernant l'histoire du DNS, c'est un problème... de DNS, pas de MobileMe. Donc pas la faute d'Apple.
avatar daito | 
Pour être clair : - Toute la synchronisation depuis le Mac vers MobileMe est sécurisé et les données cryptées. - l'envoie de Mail depuis l'application Mail (Imap, SMTP) de même. - La synchronisation depuis un PC, de même. - Le push vers l'iPhone et l'iPod, de même. - l'authentification sur la page d'accueil MobileMe et la zone réservée aux réglages du compte, de même. - Seule les données manipulées dans les WebApplis de Mobile ne sont pas cryptées. Comme en fait sur Microsoft's live Hotmail et Yahoo Mail. Un article très intéressent : http://www.roughlydrafted.com/2008/08/22/is-apples-mobileme-secure/
avatar Hak | 
Bref on brasse du vent pour rien sur MobileMe ces derniers temps, c'est un peu le jeu de celui qui trouve le truc à dire pour casser du MobileMe.... mais au final peu vraiment comprennent de quoi il s'agit....
avatar jodido | 
[quote]- Seule les données manipulées dans les WebApplis de Mobile ne sont pas cryptées. Comme en fait sur Microsoft's live Hotmail et Yahoo Mail. [/quote] La justification qui passe par: "les autres font aussi pourri alors pourquoi pas nous" j'ai toujours trouvé ça d'un ridicule. C'est d'ailleurs l'argument préféré de notre président (pour les français j'entends). Le nivellement par le bas n'était il me semble pas, une des qualités d'Apple.
avatar daito | 
Il n'est pas question de justifier quelque chose. D'ailleurs, il n'y a rien à justifier. Il est juste intéressant de noter que deux gros services internet comme Live Hotmail et Yahoo mail fonctionnent de la même manière au niveau de la sécurisation des données (pour savoir si c'est pourri ou non, je t'invite à lire l'article du lien) et pourtant on n'a jamais dit que ces services étaient des trous au niveau sécurité comme on a pu le suggérer avec MobileMe. PS : Google vient juste de proposer une sécurisation SSL pour Gmail.
avatar lukasmars | 
Je suppose que pour un service payant, on pouvais s'attendre à mieux que les autres gratuits Sinon autant prendre les gratuits ! Cela dit, pour MobileME , c'est vrai que les critiques deviennent un peu injustifiées et lourdes à la longue
avatar jodido | 
[quote] (pour savoir si c'est pourri ou non, je t'invite à lire l'article du lien)[/quote] Sérieux pour savoir si le fait de rien crypter de bout en bout c'est pourri ou pas il faut que je lise l'article? (ce que j'ai fais d'ailleurs, macGé a fait un bon résumé) [quote]et pourtant on n'a jamais dit que ces services étaient des trous au niveau sécurité comme on a pu le suggérer avec MobileMe. " [/quote] La gratuité à tendance à beaucoup excuser dans certain cas.
avatar daito | 
"Sérieux pour savoir si le fait de rien crypter de bout en bout c'est pourri ou pas il faut que je lise l'article (ce que j'ai fais d'ailleurs, macGé a fait un bon résumé)" Oui c'est toute la question!! Je t'invite vraiment à faire l'effort de lire cette article bien plus précis que le survol de MacG!! Vraiment! "La gratuité à tendance à beaucoup excuser dans certain cas." Come on! MobileMe serait gratuit, on aurait eu droit au même tapage!
avatar jodido | 
"Oui c'est toute la question!! Je t'invite vraiment à faire l'effort de lire cette article bien plus précis que le survol de MacG!! Vraiment! " Non mais joue pas ta mystérieuse crache le passage qui dit que finalement aucune sécurité cay trop bieng. "Come on! MobileMe serait gratuit, on aurait eu droit au même tapage!" Tu joues les madames irma? le fait est que ce n'est PAS gratuit
avatar daito | 
"Non mais joue pas ta mystérieuse crache le passage qui dit que finalement aucune sécurité cay trop bieng." Je ne dis pas ça. SVP, peux tu lire l'article que j'ai cité. SVP!! Tu vas voir que tout est une question de nuance! 'Tu joues les madames irma? le fait est que ce n'est PAS gratuit" Non pas besoin, c'est évident! Je ne comprends pas tes propos! Un service gratuit a le droit d'être mauvais?? (même si ce n'est pas le cas dans notre histoire). Je rappelle quand même que ces services, même gratuit, doivent proposer des fonctions solides pour attirer les utilisateurs....indispensable pour profiter des revenus de la pub intrinsèque à ces services.
avatar Frenchie | 
Purée, on va pouvoir savoir ce que je pense de ma belle-mère!
avatar jodido | 
[quote]Je ne dis pas ça. SVP, peux tu lire l'article que j'ai cité. SVP!! Tu vas voir que tout est une question de nuance![/quote] 15 fois que le monsieur te dis qu'il l'a lu l'article et toi y'en a toujours pas comprendre que je vois pas de quels passages tu parles. Non tu veux pas cracher l'info à un moment? (quel ligne, vers quel paragraphe, allez soyons fou l'extrait concerné!) Je souhaite vraiment être réconforté sur ce sujet ça changera toute ma vision sur ce que j'ai appris/appliqué en réseau. [quote] Je ne comprends pas tes propos! Un service gratuit a le droit d'être mauvais?? (même si ce n'est pas le cas dans notre histoire).[/quote] Euh ben oui non? Tu connais l'expression rembourser les invitations?

CONNEXION UTILISATEUR