Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Apple, Facebook, Google : des certificats révoqués puis restaurés, des excuses publiques

Apple, Facebook, Google : des certificats révoqués puis restaurés, des excuses publiques

Le 01 février 2019 à 09h39

Le drame Apple-Facebook-Google continue, avec une restauration de certificats, des excuses, des soulagements et une nouvelle punition.

Pour rappel, Facebook et Google ont violé les conditions d’utilisation de l’Apple Store en se servant d’un certificat d’entreprise pour des applications capables d’espionner – avec accord de l’utilisateur – à peu près tout ce qui se passe dans le téléphone.

On commence avec Facebook, dont le certificat d’entreprise avait été révoqué, et qui est maintenant restauré. Il ne servira pas à son programme Research, l’application ayant de toute façon été retirée de l’App Store.

En revanche, cette restauration permet à nouveau aux applications internes (notamment les bêtas en développement) de fonctionner. Un porte-parole l’a assuré à plusieurs médias américains : « Pour être clair, cela n’a pas eu d’impact sur nos services grand public ».

Il est probable qu’Apple ait surtout voulu taper sur les doigts de Facebook pour lui rappeler que personne n’est à l’abris en cas de violation sur l’App Store.

Le réseau social n’est pas pour autant à l’abri, l’affaire ayant des échos négatifs au Congrès américain. Le sénateur Hosh Hawley s’étonne que des enfants de 13 ans puissent être embrigadés, tandis que Frank Pallone, également sénateur, y voit une nouvelle nécessité d’une « loi forte et exhaustive sur la vie privée ».

Le traitement infligé à Facebook a également été appliqué à Google. En l’espace d’une demi-journée, le certificat d’entreprise de Mountain View a été révoqué puis restauré.

Là encore, l’application Screenwise Meter était visée, mais la révocation a touché aussi les développements internes chez Google, notamment les bêtas de YouTube, Gmail et autres, avec la chute de productivité que l’on devine.

Après la révocation du certificat de Facebook, Google s’était publiquement excusé, reconnaissant avoir violé les conditions de l’App Store et jugeant que « c’était une erreur ». la société espérait sans doute se faufiler entre les balles, mais elle a quand même subi l’ire d’Apple.

Conclusion, les applications « d’espionnage volontaire » de Facebook et Google ont été supprimées de l’App Store, des certificats ont été révoqués puis restaurés, et deux des plus importants géants du Net ont présenté leurs excuses.

Les versions Android restent cependant disponibles. Il sera difficile à Google de le reprocher à Facebook puisqu’elle-même pratique ce type de collecte. À la différence toutefois que les finalités de l’application sont mieux expliquées chez Google que chez Facebook.

À voir maintenant si Apple se lance dans une chasse générale aux certificats mal utilisés. L’entreprise a tout intérêt à montrer son intransigeance sur le sujet, une partie de marketing tablant sur la sécurité et le respect de la vie privée dans ses produits.

Le 01 février 2019 à 09h39

Commentaires (24)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







AltreX a écrit :



<img data-src=" /> j’en sais absolument rien de ce qu’il ferait de ces données, mais je suis sur qu’il y trouveraient une utilité lucrative.

Et oui ce serait bien stupide de leur part de s’adonner à cette pratique au vu de l’orientation de leur campagne commerciale, mais bon on est à l’abri de rien, c’est pour ça que si ça s’avère ça me ferait bien rire bien que ça ne m’étonnerait guère.







Ben moi, je peux trouver rigolo que FB se mette tout d’un coup a respecter la vie privee de ses utilisateurs mais ça n’en fait pas une verité pour aujaurd’hui ni une perspective crédible pour le futur…


votre avatar

Oulahlah pardon d’avoir eu l’outrecuidance d’émettre une boutade sur un hypothétique écart de conduite du sacro sain sauveur de la terre et des licornes Apple sama.

stay cool <img data-src=" />, j’ai jamais parlé de vérité, je partageais juste une hypothèse (peu probable certes) que je trouvais rigolote dans le contexte de la news à des fins humoristiques <img data-src=" />

votre avatar

On est passé de “ça ne m’étonnerait même pas” à “peu probable” et tu la ramènes encore ?



Tu as dit une connerie, assume le.

votre avatar

Y’a eu aussi les “mais je suis sur que” et “mais bon on est à l’abri de rien”…









fred42 a écrit :



On est passé de “ça ne m’étonnerait même pas” à “peu probable” et tu la ramènes encore ?



Tu as dit une connerie, assume le.







Toujours ces satanées nuances qu’on ne saisit pas… c’est chiant…

cc @Kevsler


votre avatar

Néanmoins cette histoire me rappelle une des inquiétudes liées au tout HTTPS.

Aujourd’hui, il suffit de révoquer un certificat pour bloquer un moyen de communication. Ca laisse songeur.

votre avatar







SebGF a écrit :



Néanmoins cette histoire me rappelle une des inquiétudes liées au tout HTTPS.

Aujourd’hui, il suffit de révoquer un certificat pour bloquer un moyen de communication. Ca laisse songeur.







Pour HTTPS, ça bloque pas, ça fait crier les navigateurs… Et puis pour HTTPS, tu peux pas vraiment faire de la révocation “sélective” (seule la CA le peut) et si on force les navigateurs à dégager une CA complète, ça fait un sacré paquet de dégats collatéraux.

Bien plus large que bloquer tout un bloc d’IP au niveau FAI…


votre avatar

Pourquoi l’article parle sans cesse de l’App Store ?



Ces apps étaient installable via un sous domaine pour Facebook (et surement pareil pour Google), l’utilisation du certificat entreprise permettait justement de se passer de l’app store et sa verification. Mais affichait “Voulez vous autoriser l’installation et l’execution d’application signé par le certificat de Facebook Inc (in house)”.



De base pour accéder au programme “In house”,&nbsp; tu dois fournir toutes les infos de ta boite, un numero DUS (que je connaissais même pas avant la procédure), ensuite ils vérifient (pour nous ça a durer un mois), enfin ils t’appelent pour BIEN te faire comprendre que “C’est pour un usage interne SEULEMENT” (il a bien du le dire au moins 6 fois).



Tu paie 300 euros par ans et tu peux signer tes applications interne via le certificat entreprise.

Après ça dans xcode tu peux exporter ton .ipa avec un xml, tu met le tout sur un serveur web (avec https) tu donne le liens a tes utilisateurs internes, safari propose d’installer l’application et l’utilisateur doit valider qu’il autorise les applications signé avec le certificat entreprise à tourner sur ton terminal.



Après il y a les certificats ad-hoc, dans ces certificats il y a les identifiants uniques de chaque terminal qui peut executer (donc il faut que l’utilisateur te communique l’UID de son terminal) le code signé par ce certificat, limité a 100 terminaux par compte / ans.

Si on essaie d’installer une application signé par un certificat ad-hoc qui ne contient pas l’UID du terminal qui essaie de lancer l’application iOS empêche l’execution









noks a écrit :



Moi je trouve toujours aussi aberrant qu’une boite qui te vend des appareils puisse t’empêcher de faire des choses avec. 




En gros Apple décide de ce que j'ai le droit d'installer ou pas sur mon telephone, le seul moyen étant l'app store et la validation des applis présentes est à la seul discrétion d'Apple.      







Et tout le monde est content ...









En fait tu peux installer ce que tu veux sur un iPhone, soit via le code source de l'application que tu souhaite soit en signant le fichier .ipa (récupéré je ne sais ou) avec ton certificat perso (que normalement tu utilise pour developper).




Par contre quand tu es dev et que tu souhaite rendre ton app “installable facilement” par la masse, là ça se complique puisque il faut passer par l’app store et respecter les règles (j’ai passé 6 mois a me battre avec un mec qui me disais “non” avec des raisons pas toujours très clair …)


votre avatar







KP2 a écrit :



OK, c’est trop cher donc tu peux pas en avoir un donc t’es frustré donc t’es pas content. Compris.





Avoir de l’argent ne signifie pas le dépenser n’importe comment…


votre avatar







skankhunt42 a écrit :



Avoir de l’argent ne signifie pas le dépenser n’importe comment…







Estimer que le prix d’un produit est trop cher pour soi ne justifie le fait qu’on trolle dessus ou, pire, qu’on insulte ses clients.

Moi, je dis toujours qu’il y a largement assez de trucs vrais sur Apple pour dauber sans avoir à inventer des trolls.

Et dans ton message, tu prends 4 exemples foireux… c’est dommage…


votre avatar







KP2 a écrit :



Estimer que le prix d’un produit est trop cher pour soi ne justifie le fait qu’on trolle dessus ou, pire, qu’on insulte ses clients. Moi, je dis toujours qu’il y a largement assez de trucs vrais sur Apple pour dauber sans avoir à inventer des trolls. Et dans ton message, tu prends 4 exemples foireux… c’est dommage…





En attendant t’a une chute des vente d’environ 20% et de 30% sur le cours de l’action en moins de 6 mois. Après concernant les trolls ou non il y à beaucoup à dire, certains argument sont meilleurs que d’autre. Je passe aussi sur le fait qu’un iphone ne coute quasiment rien à la sortie d’usine et que apple n’investit pas forcément énormément d’argent niveau marqueting… Mais bon c’est pas encore assez donc délocalisation en inde :/



ps : N’oublie pas que Apple était en position de monopole avec l’iphone 2 / 3g / 3gs et maintenant ils peine à maintenir une part de marché de plus de 20%. En 10 ans perdre 80% des ventes c’est juste énorme !


votre avatar







skankhunt42 a écrit :



En attendant t’a une chute des vente d’environ 20% et de 30% sur le cours de l’action en moins de 6 mois.







Oui et ?







skankhunt42 a écrit :



Après concernant les trolls ou non il y à beaucoup à dire, certains argument sont meilleurs que d’autre.







Oui y’en a de meilleurs que d’autres mais la plupart des arguments sont particulièrement foireux… et je passe sur les insultes type “pigeons”







skankhunt42 a écrit :



Je passe aussi sur le fait qu’un iphone ne coute quasiment rien à la sortie d’usine et que apple n’investit pas forcément énormément d’argent niveau marqueting… Mais bon c’est pas encore assez donc délocalisation en inde :/







Huh ?

Les couts en marketing sont enormes chez Apple, faut pas croire… Et le cout du matériel n’a aucun rapport avec le prix final car la conception, la R&D et l’intégration sont des centres de couts très élevés. Apple conçoit ses propres CPU pour son propre usage. Comment tu chiffres ça ?

En raisonnant par l’absurde, bientôt, on va calculer le “vrai” prix d’un téléphone en fonction de son poids en minerai et en plastique… Ah oui, là, ça va pas couter grand chose non plus…



Va voir combien coute un Xiaomi a la sortie d’usine, c’est pas jojo non plus. Et pourtant, coté innovations, ils sont à 10km.



Il suffit pas de prendre des composants à l’unité et secouer le tout pour faire un téléphone. Donc additionner le prix de chaque composant n’a aucun sens.







skankhunt42 a écrit :



ps : N’oublie pas que Apple était en position de monopole avec l’iphone 2 / 3g / 3gs et maintenant ils peine à maintenir une part de marché de plus de 20%. En 10 ans perdre 80% des ventes c’est juste énorme !







Il était en position de que dalle. Apple n’a jamais été en position de monopole. Quand il a lancé les iPhones, il était face à Nokia avec Symbian et les HTC/Motorola/etc sous WinMo qui étaient deja là depuis plusieurs années et qui couvraient bien le marché haut de gamme.

Et à peine 1 an après la sortie du 1er iPhone, Google a sorti Android et il a fallut moins de 6 mois pour voir apparaitre les 1ers smartphones Android (HTC) et Samsung et arrivé en 2009 (soit seulement 2 ans après la sortie de l’iPhone).

Et les ventes d’iPhone n’ont pas décollé immédiatement… loin de là, c’était même un peu mou au départ. Il a fallut attendre le 3GS (3e génération) pour que ça explose vraiment. Le 4 (4e gen) et le 4S (5e gen) ont été vraiment des énormes succès mais la concurrence n’etait pas en reste (notamment Samsung) et ils vendaient aussi des camions…

Apple a toujours augmenté ses ventes d’une année sur l’autre mais c’est juste que le marché grossissait encore plus vite. Mais ce n’est absolument pas le signe d’un recul, au contraire.

D’ailleurs, en cherchant des chiffres, je remarque qu’Apple a toujours été officiellement autour des 20% depuis 2010. C’est juste que le marché des smartphones n’était pas une catégorie en soi au départ.


votre avatar

Apple remue la merde … au cure-dents ! Les héros ! <img data-src=" />

votre avatar

Moi je trouve toujours aussi aberrant qu’une boite qui te vend des appareils puisse t’empêcher de faire des choses avec.



En gros Apple décide de ce que j’ai le droit d’installer ou pas sur mon telephone, le seul moyen étant l’app store et la validation des applis présentes est à la seul discrétion d’Apple.



Et tout le monde est content …

votre avatar







noks a écrit :



Moi je trouve toujours aussi aberrant qu’une boite qui te vend des appareils puisse t’empêcher de faire des choses avec.



En gros Apple décide de ce que j’ai le droit d’installer ou pas sur mon telephone, le seul moyen étant l’app store et la validation des applis présentes est à la seul discrétion d’Apple.



Et tout le monde est content …





Personne ne t’empêche pourtant d’installer un certificat tiers sans passer par eux…. et c’est justement le sujet épineux ici.&nbsp;


votre avatar

Sauf que c’est bien Apple qui les delivre les certificats , et peut donc les révoqués si l’utilisation qui en est faite ne lui plait pas, comme c’est le cas ici.

votre avatar

Personne ne t’oblige à acheter un iPhone.



Sur le fond, je suis d’accord mais pour rester sur Android qui permet de ne pas passer par son magasin: vois-tu des applications produits par la puissance publique est disponible directement APK? Non



Android autorise de se passer de son magasin mais les hommes politiques préfèrent s’égoziller sur Google que nous donner les moyen de réduire son emprise.

votre avatar

Il faudrait arrêter avec l’imparfait, le drame ne s’est pas passé il y a si longtemps.

votre avatar

Quand on voit cette histoire, on se dit que c’est un mal pour un bien. Après, tout le monde reste libre de choisir la plateforme qu’il désire, que ce soit du côté des développeurs ou du côté des utilisateurs. Il faut juste choisir en connaissance de cause et il faut pas se leurrer, il existe des conditions pour tout. A nous de voir si on est prêt à les accepter ou non.&nbsp;

votre avatar

ça ne m’étonnerait même pas que dans quelques temps on voit passer la news :

“Apple a lui aussi son programme de collecte de données.

Apple s’étaient positionné contre les pratiques de facebook et google sur de la collecte consenti de donnée, et pourtant ils ont un programmes identiques.”



et ça me ferait bien rire.

votre avatar

C’était le cas un moment : ils pompaient tout ce qu’ils pouvaient pomper sur les téléphones (SMS, appels, géoloc, et autres) et l’envoyait vers leurs serveurs. Ils se sont fait choppé, mea culpa de leur part, et ils ont arrêté.



Ça ne m’étonnerait pas non plus, qu’ils aient récidivé. Et en même temps, depuis, de l’eau à coulé sous les ponts… On leur doit le bénéfice du doute.



Facebook et Google, par contre, ils l’ont perdu depuis longtemps, ce droit au doute.

votre avatar

Apple à trop pris ses clients pour des pigeons avec l’histoire de bridage de cpu pour économiser la batterie, une hausse des prix sans aucune évolution potable et pour enfoncer le clou, pas possible de rajouter une carte de stockage externe. Je ne parlerais même pas de la disparition du port jack…

&nbsp;

votre avatar







Kevsler a écrit :



Apple remue la merde … au cure-dents ! Les héros ! <img data-src=" />







Tout en nuances..







noks a écrit :



Moi je trouve toujours aussi aberrant qu’une boite qui te vend des appareils puisse t’empêcher de faire des choses avec.

En gros Apple décide de ce que j’ai le droit d’installer ou pas sur mon telephone, le seul moyen étant l’app store et la validation des applis présentes est à la seul discrétion d’Apple.

Et tout le monde est content …







Si tu regardes bien, y’a toujours une limitation qqpart… Un constructeur quelqu’il soit ne peut pas prévoir TOUS les cas d’usages. De plus, il est soumis lui-même a des restrictions contractuelles, de licences et des obligations qui vont avec.

Par exemple, aujourd’hui, il n’existe pas de téléphone qui te permet de bricoler le modem 4G toi meme… et encore moins le firmware. Car il n’existe QUE des modem et des firmwares proprio actuellement.

Et ces firmwares et modem sont validés sur les reseaux operateurs qui obligent à les utiliser.

C’est le grand drame des projets OpenSource qui veulent proposer un OS ou meme un smartphone complet libre : c’est pas possible dans l’absolu.

Donc a partir du moment ou il y a des limitations, c’est a toi de choisir lesquelles tu acceptes.

Et Apple propose bcp de limitations mais d’un autre coté, il y a une grande tranquilité d’esprit a savoir que son tel est tres fiable. Chacun place son curseur ou il le veut et y’a pas de bon ou mauvais choix à ce niveau…







AltreX a écrit :



ça ne m’étonnerait même pas que dans quelques temps on voit passer la news :

“Apple a lui aussi son programme de collecte de données.

Apple s’étaient positionné contre les pratiques de facebook et google sur de la collecte consenti de donnée, et pourtant ils ont un programmes identiques.”



et ça me ferait bien rire.







Et il ferait quoi de ces données ?

De plus, ca serait tres con car il est tout seul sur le “marché” de la vie privee… c’est un argument de vente enorme face aux autre GAFA. Ca serait une vraie connerie de lacher cet avantage…







Kevsler a écrit :



C’était le cas un moment : ils pompaient tout ce qu’ils pouvaient pomper sur les téléphones (SMS, appels, géoloc, et autres) et l’envoyait vers leurs serveurs. Ils se sont fait choppé, mea culpa de leur part, et ils ont arrêté.







Alors, c’est toujours le cas car Apple propose un service pour synchroniser beaucoup d’informations entre les iDevices. Donc ca suppose forcément que les infos transitent par ses serveurs.

Mais c’est pas le probleme en soi. Le probleme est double :




  • comment c’est sécurisé (et pour l’instant, c’est plutot pas mal)

  • qu’est ce qu’il fait ou qui d’autre y a acces ? (et Apple ne revend pas les données)


votre avatar







skankhunt42 a écrit :



Apple à trop pris ses clients pour des pigeons avec l’histoire de bridage de cpu pour économiser la batterie, une hausse des prix sans aucune évolution potable et pour enfoncer le clou, pas possible de rajouter une carte de stockage externe. Je ne parlerais même pas de la disparition du port jack…





OK, c’est trop cher donc tu peux pas en avoir un donc t’es frustré donc t’es pas content.

Compris.


votre avatar







KP2 a écrit :



Et il ferait quoi de ces données ?

De plus, ca serait tres con car il est tout seul sur le “marché” de la vie privee… c’est un argument de vente enorme face aux autre GAFA. Ca serait une vraie connerie de lacher cet avantage…





<img data-src=" /> j’en sais absolument rien de ce qu’il ferait de ces données, mais je suis sur qu’il y trouveraient une utilité lucrative.

Et oui ce serait bien stupide de leur part de s’adonner à cette pratique au vu de l’orientation de leur campagne commerciale, mais bon on est à l’abri de rien, c’est pour ça que si ça s’avère ça me ferait bien rire bien que ça ne m’étonnerait guère.


Apple, Facebook, Google : des certificats révoqués puis restaurés, des excuses publiques

Fermer