Questions de sécurité autour de MobileMe
Voilà un épisode inédit dans la saga MobileMe, celui qui touche à la thématique de la sécurité. Depuis quelques jours et après un article paru sur Apple Insider, quelques blogs se sont intéressés - et un peu déchirés - sur la manière dont les données des abonnés sont gérées par MobileMe lorsqu'ils en utilisent les services via leur navigateur.
Il en ressort que lorsqu'on arrive sur la page de connexion au service (nom de domaine https://auth.apple.com), les données entrées par l'utilisateur sont acheminées cryptées par une transaction SSL (le petit cadenas dans la fenêtre du navigateur en témoigne).
Mais une fois authentifié, l'utilisateur est envoyé vers un autre domaine (http://www.me.com) qui lui n'est plus sécurisé. Lorsqu'on lit un courrier, qu'on en rédige un, lorsqu'on ouvre une fiche du carnet d'adresses ou que l'on consulte son agenda, à chaque fois les données échangées pendant ces actions pourraient être interceptées par quelqu'un présent sur le même réseau.
Un autre scénario suggère que le serveur DNS par lequel passe l'utilisateur pourrait être compromis et oriente l'utilisateur vers un faux domaine me.com, passé l'étape d'authentification.
En revanche lorsqu'on clique sur l'icône de gestion de son compte où l'on peut modifier par exemple son mot de passe ou ses données de facturation, on repart vers un autre domaine (https://secure.me.com/) qui lui aussi utilise des transactions sécurisées. Et certains de réclamer que ce cryptage des données s'applique également aux services Web de MobileMe.
Il faut souligner toutefois que Yahoo et Microsoft n'opèrent pas différemment d'Apple avec leurs propres webmail. En revanche Google a ajouté depuis peu une option pour forcer la connexion en mode sécurisé (https). De même, lorsqu'on accède à MobileMe depuis Mail ou Entourage ou encore depuis son iPhone, les échanges sont là-aussi sécurisés.
A ces demandes d'une généralisation des transactions via SSL sur MobileMe, Andrew Jaquith du Yankee Group apporte un autre éclairage (à voir dans les réactions du blog).
Selon lui SSL n'est pas la panacée (mais Apple gagnerait tout de même à l'exploiter plus largement). Ce mécanisme d'après lui est efficace pour s'assurer que le site visité est sûr mais si le certificat de validité utilisé pour cela a été lui-même falsifié, rien ne l'indiquera. Il s'agirait que le navigateur puisse lui aussi correctement identifier la nature officielle du site.
Enfin il suggère qu'Apple sécurise peut-être ces échanges avec ses propres méthodes, et qu'il est un peu hâtif de déclarer les services de MobileMe complètement ouverts aux quatres vents.
Il en ressort que lorsqu'on arrive sur la page de connexion au service (nom de domaine https://auth.apple.com), les données entrées par l'utilisateur sont acheminées cryptées par une transaction SSL (le petit cadenas dans la fenêtre du navigateur en témoigne).
Mais une fois authentifié, l'utilisateur est envoyé vers un autre domaine (http://www.me.com) qui lui n'est plus sécurisé. Lorsqu'on lit un courrier, qu'on en rédige un, lorsqu'on ouvre une fiche du carnet d'adresses ou que l'on consulte son agenda, à chaque fois les données échangées pendant ces actions pourraient être interceptées par quelqu'un présent sur le même réseau.
Un autre scénario suggère que le serveur DNS par lequel passe l'utilisateur pourrait être compromis et oriente l'utilisateur vers un faux domaine me.com, passé l'étape d'authentification.
En revanche lorsqu'on clique sur l'icône de gestion de son compte où l'on peut modifier par exemple son mot de passe ou ses données de facturation, on repart vers un autre domaine (https://secure.me.com/) qui lui aussi utilise des transactions sécurisées. Et certains de réclamer que ce cryptage des données s'applique également aux services Web de MobileMe.
Il faut souligner toutefois que Yahoo et Microsoft n'opèrent pas différemment d'Apple avec leurs propres webmail. En revanche Google a ajouté depuis peu une option pour forcer la connexion en mode sécurisé (https). De même, lorsqu'on accède à MobileMe depuis Mail ou Entourage ou encore depuis son iPhone, les échanges sont là-aussi sécurisés.
A ces demandes d'une généralisation des transactions via SSL sur MobileMe, Andrew Jaquith du Yankee Group apporte un autre éclairage (à voir dans les réactions du blog).
Selon lui SSL n'est pas la panacée (mais Apple gagnerait tout de même à l'exploiter plus largement). Ce mécanisme d'après lui est efficace pour s'assurer que le site visité est sûr mais si le certificat de validité utilisé pour cela a été lui-même falsifié, rien ne l'indiquera. Il s'agirait que le navigateur puisse lui aussi correctement identifier la nature officielle du site.
Enfin il suggère qu'Apple sécurise peut-être ces échanges avec ses propres méthodes, et qu'il est un peu hâtif de déclarer les services de MobileMe complètement ouverts aux quatres vents.