Bien qu’a priori aucun vol d’informations ne soit attesté, Apple a supprimé plusieurs bloqueurs de contenus pour des raisons de sécurité. Ces applications utilisaient des certificats racine pour bloquer les contenus dans les flux sécurisés. Une technique qui permettrait la mise en place des attaques de type « homme du milieu ».

Dans notre article consacré à iOS 9, nous avons abordé le cas des bloqueurs des contenus. Il est possible d’installer sur la nouvelle version du système mobile des applications dont le fonctionnement revient peu ou prou à celui de certaines extensions pour les navigateurs. Elles permettent de bloquer les contenus, avec en première ligne les publicités.

Une infrastructure particulière a été mise en place pour que ces bloqueurs agissent sur Safari, et à travers lui toutes les applications qui en appellerait un contrôle de vue web (en utilisant spécifiquement le nouveau modèle introduit par iOS 9).

Un certificat racine pour analyser les connexions

Mais certaines applications vont plus loin. Elles ne se contentent pas de bloquer les publicités dans Safari, elles le font aussi dans les applications tierces. Mais puisque Apple ne propose aucun mécanisme pour ce second cas (et pour cause, la firme fait elle-même régie publicitaire), elles doivent ruser. Elles installent donc un certificat racine afin d’analyser le flux entrant dans l’iPhone pour en supprimer tout ce qui ressemble à une publicité. Une action rendue possible par l’utilisation d’un VPN.

Mais ce type de fonctionnement ne plait pas à Apple, dont on se demande d’ailleurs pourquoi elle a accepté en premier ressort ces applications dans son App Store. L’installation d’un tel certificat leur permet en effet de s’introduire dans les connexions sécurisées et d’en extraire de nombreuses informations. Un scénario de type « homme du milieu » (MITM). Le même reproche qui avait été fait finalement au logiciel SuperFish, que l’on trouvait sur une partie des ordinateurs de Lenovo.

Un risque trop grand

Ces applications ont été supprimées de l’App Store, en particulier Been Choice qui commençait à rencontrer un certain succès. Évidemment, la promesse d’un blocage total des publicités ne pouvait qu’inciter à la télécharger. Mais cela ne pouvait aussi que déplaire à Apple qui semble enclin à favoriser le blocage de la publicité sur le web, là où elle rapporte notamment à Google, mais sans doute pas dans les applications de son écosystème.

Apple a fourni un communiqué à plusieurs sites pour s’expliquer : « Nous avons supprimé quelques applications de l’App Store qui installaient des certificats racine permettant la surveillance des données du réseau du client, qui pouvait à son tour être utilisée pour compromettre des solutions de sécurité SSL/TLS. Nous travaillons étroitement avec ces développeurs pour que les applications reviennent rapidement sur l’App Store, tout en s’assurant que la vie privée et la sécurité des clients ne sont pas en danger ».

Cela ne concerne au final qu’un très petit nombre d’applications, et rien n’indique que les intentions des développeurs aient été néfastes pour l’utilisateur. Le risque était cependant trop grand pour laisser cette méthode possible, même s’il aurait été clairement plus productif de bloquer dès la base un tel fonctionnement. Les bloqueurs plus classiques sont quant à eux toujours disponibles.

Dans le cas de Been Choice, l’éditeur a déjà indiqué qu’il allait supprimer ses fonctions de blocage pour les applications Facebook, Google, Yahoo et Pinterest et proposer une nouvelle version pour validation auprès de l’App Store.

@reneritchie We will remove ad blocking for FB, Google, Yahoo, Yahoo Fin., and Pinterest and resubmit tomorrow, to comply.

— Been® Choice (@beenchoice) 9 Octobre 2015