Le drame Apple-Facebook-Google continue, avec une restauration de certificats, des excuses, des soulagements et une nouvelle punition.
Pour rappel, Facebook et Google ont violé les conditions d’utilisation de l’Apple Store en se servant d’un certificat d’entreprise pour des applications capables d’espionner – avec accord de l’utilisateur – à peu près tout ce qui se passe dans le téléphone.
On commence avec Facebook, dont le certificat d’entreprise avait été révoqué, et qui est maintenant restauré. Il ne servira pas à son programme Research, l’application ayant de toute façon été retirée de l’App Store.
En revanche, cette restauration permet à nouveau aux applications internes (notamment les bêtas en développement) de fonctionner. Un porte-parole l’a assuré à plusieurs médias américains : « Pour être clair, cela n’a pas eu d’impact sur nos services grand public ».
Il est probable qu’Apple ait surtout voulu taper sur les doigts de Facebook pour lui rappeler que personne n’est à l’abris en cas de violation sur l’App Store.
Le réseau social n’est pas pour autant à l’abri, l’affaire ayant des échos négatifs au Congrès américain. Le sénateur Hosh Hawley s’étonne que des enfants de 13 ans puissent être embrigadés, tandis que Frank Pallone, également sénateur, y voit une nouvelle nécessité d’une « loi forte et exhaustive sur la vie privée ».
Le traitement infligé à Facebook a également été appliqué à Google. En l’espace d’une demi-journée, le certificat d’entreprise de Mountain View a été révoqué puis restauré.
Là encore, l’application Screenwise Meter était visée, mais la révocation a touché aussi les développements internes chez Google, notamment les bêtas de YouTube, Gmail et autres, avec la chute de productivité que l’on devine.
Après la révocation du certificat de Facebook, Google s’était publiquement excusé, reconnaissant avoir violé les conditions de l’App Store et jugeant que « c’était une erreur ». la société espérait sans doute se faufiler entre les balles, mais elle a quand même subi l’ire d’Apple.
Conclusion, les applications « d’espionnage volontaire » de Facebook et Google ont été supprimées de l’App Store, des certificats ont été révoqués puis restaurés, et deux des plus importants géants du Net ont présenté leurs excuses.
Les versions Android restent cependant disponibles. Il sera difficile à Google de le reprocher à Facebook puisqu’elle-même pratique ce type de collecte. À la différence toutefois que les finalités de l’application sont mieux expliquées chez Google que chez Facebook.
À voir maintenant si Apple se lance dans une chasse générale aux certificats mal utilisés. L’entreprise a tout intérêt à montrer son intransigeance sur le sujet, une partie de marketing tablant sur la sécurité et le respect de la vie privée dans ses produits.
Commentaires (25)
#1
Apple remue la merde … au cure-dents ! Les héros !
" />
#2
Moi je trouve toujours aussi aberrant qu’une boite qui te vend des appareils puisse t’empêcher de faire des choses avec.
En gros Apple décide de ce que j’ai le droit d’installer ou pas sur mon telephone, le seul moyen étant l’app store et la validation des applis présentes est à la seul discrétion d’Apple.
Et tout le monde est content …
#3
#4
Sauf que c’est bien Apple qui les delivre les certificats , et peut donc les révoqués si l’utilisation qui en est faite ne lui plait pas, comme c’est le cas ici.
#5
Personne ne t’oblige à acheter un iPhone.
Sur le fond, je suis d’accord mais pour rester sur Android qui permet de ne pas passer par son magasin: vois-tu des applications produits par la puissance publique est disponible directement APK? Non
Android autorise de se passer de son magasin mais les hommes politiques préfèrent s’égoziller sur Google que nous donner les moyen de réduire son emprise.
#6
Il faudrait arrêter avec l’imparfait, le drame ne s’est pas passé il y a si longtemps.
#7
Quand on voit cette histoire, on se dit que c’est un mal pour un bien. Après, tout le monde reste libre de choisir la plateforme qu’il désire, que ce soit du côté des développeurs ou du côté des utilisateurs. Il faut juste choisir en connaissance de cause et il faut pas se leurrer, il existe des conditions pour tout. A nous de voir si on est prêt à les accepter ou non.
#8
ça ne m’étonnerait même pas que dans quelques temps on voit passer la news :
“Apple a lui aussi son programme de collecte de données.
Apple s’étaient positionné contre les pratiques de facebook et google sur de la collecte consenti de donnée, et pourtant ils ont un programmes identiques.”
et ça me ferait bien rire.
#9
C’était le cas un moment : ils pompaient tout ce qu’ils pouvaient pomper sur les téléphones (SMS, appels, géoloc, et autres) et l’envoyait vers leurs serveurs. Ils se sont fait choppé, mea culpa de leur part, et ils ont arrêté.
Ça ne m’étonnerait pas non plus, qu’ils aient récidivé. Et en même temps, depuis, de l’eau à coulé sous les ponts… On leur doit le bénéfice du doute.
Facebook et Google, par contre, ils l’ont perdu depuis longtemps, ce droit au doute.
#10
Apple à trop pris ses clients pour des pigeons avec l’histoire de bridage de cpu pour économiser la batterie, une hausse des prix sans aucune évolution potable et pour enfoncer le clou, pas possible de rajouter une carte de stockage externe. Je ne parlerais même pas de la disparition du port jack…
#11
#12
#13
#14
#15
Oulahlah pardon d’avoir eu l’outrecuidance d’émettre une boutade sur un hypothétique écart de conduite du sacro sain sauveur de la terre et des licornes Apple sama.
" />, j’ai jamais parlé de vérité, je partageais juste une hypothèse (peu probable certes) que je trouvais rigolote dans le contexte de la news à des fins humoristiques 
" />
stay cool
#16
On est passé de “ça ne m’étonnerait même pas” à “peu probable” et tu la ramènes encore ?
Tu as dit une connerie, assume le.
#17
Y’a eu aussi les “mais je suis sur que” et “mais bon on est à l’abri de rien”…
#18
Néanmoins cette histoire me rappelle une des inquiétudes liées au tout HTTPS.
Aujourd’hui, il suffit de révoquer un certificat pour bloquer un moyen de communication. Ca laisse songeur.
#19
#20
Pourquoi l’article parle sans cesse de l’App Store ?
Ces apps étaient installable via un sous domaine pour Facebook (et surement pareil pour Google), l’utilisation du certificat entreprise permettait justement de se passer de l’app store et sa verification. Mais affichait “Voulez vous autoriser l’installation et l’execution d’application signé par le certificat de Facebook Inc (in house)”.
De base pour accéder au programme “In house”, tu dois fournir toutes les infos de ta boite, un numero DUS (que je connaissais même pas avant la procédure), ensuite ils vérifient (pour nous ça a durer un mois), enfin ils t’appelent pour BIEN te faire comprendre que “C’est pour un usage interne SEULEMENT” (il a bien du le dire au moins 6 fois).
Tu paie 300 euros par ans et tu peux signer tes applications interne via le certificat entreprise.
Après ça dans xcode tu peux exporter ton .ipa avec un xml, tu met le tout sur un serveur web (avec https) tu donne le liens a tes utilisateurs internes, safari propose d’installer l’application et l’utilisateur doit valider qu’il autorise les applications signé avec le certificat entreprise à tourner sur ton terminal.
Après il y a les certificats ad-hoc, dans ces certificats il y a les identifiants uniques de chaque terminal qui peut executer (donc il faut que l’utilisateur te communique l’UID de son terminal) le code signé par ce certificat, limité a 100 terminaux par compte / ans.
Si on essaie d’installer une application signé par un certificat ad-hoc qui ne contient pas l’UID du terminal qui essaie de lancer l’application iOS empêche l’execution
#21
#22
#23
#24