Apple supprime plusieurs bloqueurs de contenus sur iOS 9 par sécurité

Apple supprime plusieurs bloqueurs de contenus sur iOS 9 par sécurité

Artillerie très lourde

Avatar de l'auteur
Vincent Hermann

Publié dans

Société numérique

12/10/2015 4 minutes
27

Apple supprime plusieurs bloqueurs de contenus sur iOS 9 par sécurité

Bien qu’a priori aucun vol d’informations ne soit attesté, Apple a supprimé plusieurs bloqueurs de contenus pour des raisons de sécurité. Ces applications utilisaient des certificats racine pour bloquer les contenus dans les flux sécurisés. Une technique qui permettrait la mise en place des attaques de type « homme du milieu ».

Dans notre article consacré à iOS 9, nous avons abordé le cas des bloqueurs des contenus. Il est possible d’installer sur la nouvelle version du système mobile des applications dont le fonctionnement revient peu ou prou à celui de certaines extensions pour les navigateurs. Elles permettent de bloquer les contenus, avec en première ligne les publicités.

Une infrastructure particulière a été mise en place pour que ces bloqueurs agissent sur Safari, et à travers lui toutes les applications qui en appellerait un contrôle de vue web (en utilisant spécifiquement le nouveau modèle introduit par iOS 9).

Un certificat racine pour analyser les connexions

Mais certaines applications vont plus loin. Elles ne se contentent pas de bloquer les publicités dans Safari, elles le font aussi dans les applications tierces. Mais puisque Apple ne propose aucun mécanisme pour ce second cas (et pour cause, la firme fait elle-même régie publicitaire), elles doivent ruser. Elles installent donc un certificat racine afin d’analyser le flux entrant dans l’iPhone pour en supprimer tout ce qui ressemble à une publicité. Une action rendue possible par l’utilisation d’un VPN.

Mais ce type de fonctionnement ne plait pas à Apple, dont on se demande d’ailleurs pourquoi elle a accepté en premier ressort ces applications dans son App Store. L’installation d’un tel certificat leur permet en effet de s’introduire dans les connexions sécurisées et d’en extraire de nombreuses informations. Un scénario de type « homme du milieu » (MITM). Le même reproche qui avait été fait finalement au logiciel SuperFish, que l’on trouvait sur une partie des ordinateurs de Lenovo.

Un risque trop grand

Ces applications ont été supprimées de l’App Store, en particulier Been Choice qui commençait à rencontrer un certain succès. Évidemment, la promesse d’un blocage total des publicités ne pouvait qu’inciter à la télécharger. Mais cela ne pouvait aussi que déplaire à Apple qui semble enclin à favoriser le blocage de la publicité sur le web, là où elle rapporte notamment à Google, mais sans doute pas dans les applications de son écosystème.

Apple a fourni un communiqué à plusieurs sites pour s’expliquer : « Nous avons supprimé quelques applications de l’App Store qui installaient des certificats racine permettant la surveillance des données du réseau du client, qui pouvait à son tour être utilisée pour compromettre des solutions de sécurité SSL/TLS. Nous travaillons étroitement avec ces développeurs pour que les applications reviennent rapidement sur l’App Store, tout en s’assurant que la vie privée et la sécurité des clients ne sont pas en danger ».

Cela ne concerne au final qu’un très petit nombre d’applications, et rien n’indique que les intentions des développeurs aient été néfastes pour l’utilisateur. Le risque était cependant trop grand pour laisser cette méthode possible, même s’il aurait été clairement plus productif de bloquer dès la base un tel fonctionnement. Les bloqueurs plus classiques sont quant à eux toujours disponibles.

Dans le cas de Been Choice, l’éditeur a déjà indiqué qu’il allait supprimer ses fonctions de blocage pour les applications Facebook, Google, Yahoo et Pinterest et proposer une nouvelle version pour validation auprès de l’App Store.

27

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un certificat racine pour analyser les connexions

Un risque trop grand

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (27)


Putain la glissade, mais quelle régression en quelques années seulement, c’est triste… :(


Je commence à me dire que le futur est d’utiliser un proxy maison qui fait le boulot d’optimiser les données. Donc non seulement enlever les pubs, mais aussi compresser les données. Je cherche actuellement une solution comme ça pour mon android.


Utilisez vos propre dns avec des “sinkhole/blackhole/…”, vous allez voir comme ça fonctionne bien ^^








gokudomatic a écrit :



Je commence à me dire que le futur est d’utiliser un proxy maison qui fait le boulot d’optimiser les données. Donc non seulement enlever les pubs, mais aussi compresser les données. Je cherche actuellement une solution comme ça pour mon android.





https://getfoxyproxy.org/downloads.html ?&nbsp;<img data-src=" />









boogieplayer a écrit :



https://getfoxyproxy.org/downloads.html<img data-src=" />





Tu pensais à quelle solution? Parce que je vois des téléchargement pour changer son propre ip, mais je ne vois pas en quoi ça peut m’aider. De plus, je suppose qu’à terme je dois utiliser firefox vu que c’est le seul navigateur sur android qui supporte les proxy pour le moment (rooter mon appareil n’est pas une option).



Et côté serveur, je pense bien à privoxy car je l’avais déjà utilisé pour filtrer les pubs sur mon desktop. Mais idéalement je voudrais aussi pouvoir compresser les données à la Opera mini. Je me demande s’il y a une solution open source pour ça. Objectif final: consommer le moins de données possible pour un usage de surf normal.









gokudomatic a écrit :



Tu pensais à quelle solution? Parce que je vois des téléchargement pour changer son propre ip, mais je ne vois pas en quoi ça peut m’aider. De plus, je suppose qu’à terme je dois utiliser firefox vu que c’est le seul navigateur sur android qui supporte les proxy pour le moment (rooter mon appareil n’est pas une option).



Et côté serveur, je pense bien à privoxy car je l’avais déjà utilisé pour filtrer les pubs sur mon desktop. Mais idéalement je voudrais aussi pouvoir compresser les données à la Opera mini. Je me demande s’il y a une solution open source pour ça. Objectif final: consommer le moins de données possible pour un usage de surf normal.





le service :&nbsp;FoxyProxy VPN Utility qui te permet de faire un VPN, mais j’ai peux être mal compris ton besoin&nbsp;





Mais cela ne pouvait aussi que déplaire à Apple qui semble en clin à

favoriser le blocage de la publicité sur le web, là où elle rapporte

notamment à Google, mais sans doute pas dans les applications de son

écosystème.





Mouahaha, comment on dit déjà ? L’arroseur arrosé ?


Non. Merci mais je ne pense pas que ça puisse m’aider. Pour que ma solution marche, il faut que le navigateur de mon téléphone passe systématiquement par mon serveur proxy. Le VPN ne permet que de rendre accessible de manière sécurisée (et payante chez foxyproxy) mon serveur, mais mon navigateur sur android ne l’utilisera pas pour autant.



Mon serveur peut être accessible publiquement s’il est correctement sécurisé. Ceci n’est pas un soucis.


Nous sur PC on a rien à craindre si on continue à utiliser Ublock Origin, n’est ce pas ?








Athropos a écrit :



Mouahaha, comment on dit déjà ? L’arroseur arrosé ?





Mouais, ça reste des suppositions de Vincent hein… ainsi que dans tout le reste de l’article.

Apple n’en a que faire de défavoriser machin ou truc ou je ne sais qui.&nbsp; C’est juste que la demande de la part des utilisateurs était tellement forte suite à l’abus très excessif des régies et des sites, que Apple ne pouvait plus rester passif devant la situation.&nbsp;









the true mask a écrit :



Mouais, ça reste des suppositions de Vincent hein… ainsi que dans tout le reste de l’article.

Apple n’en a que faire de défavoriser machin ou truc ou je ne sais qui.&nbsp; C’est juste que la demande de la part des utilisateurs était tellement forte suite à l’abus très excessif des régies et des sites, que Apple ne pouvait plus rester passif devant la situation.&nbsp;





Tu y crois vraiment ?&nbsp;<img data-src=" />



Bah disons que si Apple ne fais pas de bloqueurs de pub, les autres disent: “oulalala ios c’est nul tu peux pas bloquer les pub”

Si ils le font les autres disent : “Oulalala ils veulent juste bloquer google mais pas eu, arroseur arrosé!”

Perso je viens de regarder et weblock est encore dispo et de ce que j’ai compris il bloque aussi les pub in app non?


A voir dans le cas de cette application, étrange effectivement.


J’utilise Weblock depuis plusieurs années maintenant et en effet en lisant la news je me suis dis que Weblock aurait dù être supprimé puisque cela passe par un proxy, non?



Par contre, ça bloque qu’en Wifi pas en 3G.


Abon? Pas en 3G ? Oo alors la je comprend pas quelle limitations techniques ils ont! Oo


Tu dois ajouter un proxy automatique pour utiliser Weblock, c’est très bien expliqué dans la FAQ de l’appli. <img data-src=" />



Voir les questions 7 et 9 :https://www.weblockapp.com/faq/


Sécurité… financière surtout


Une solution simple, gratuite et efficace si vous avez l’accès root à votre téléphone est de rediriger les requêtes DNS vers un serveur DNS ads-free comme FoolDNS avec iptables.



J’utilise ces deux commandes et ça bloque &gt;90% des pubs dans les navigateurs et dans les apps:

iptables -t nat -A OUTPUT -p udp –dport 53 -j DNAT –to-destination 87.118.110.215

iptables -t nat -A OUTPUT -p tcp –dport 53 -j DNAT –to-destination 87.118.110.215



C’est radical <img data-src=" />








JBrek a écrit :



Une solution simple, gratuite et efficace si vous avez l’accès root à votre téléphone est de rediriger les requêtes DNS vers un serveur DNS ads-free comme FoolDNS avec iptables.



J’utilise ces deux commandes et ça bloque &gt;90% des pubs dans les navigateurs et dans les apps:

iptables -t nat -A OUTPUT -p udp –dport 53 -j DNAT –to-destination 87.118.110.215

iptables -t nat -A OUTPUT -p tcp –dport 53 -j DNAT –to-destination 87.118.110.215



C’est radical <img data-src=" />





Tiens je ne connaissais pas FoolDNS, merci ^^



Ça me rappel Avast! qui pratique la même chose en installant son certificat racine et ainsi analyser tout le trafic HTTPS, sans avoir demandé quoique ce soit à l’utilisateur, c’est activé par défaut. C’est désactivable, pour les personnes qui ne veulent pas qu’Avast! puissent voir TOUT le trafic HTTPS, c’est expliqué dans cet article sur leur blog :https://blog.avast.com/2015/05/25/explaining-avasts-https-scanning-feature/


C’est radical, merci pour l’info. Le plus gros problème reste de devoir rooter l’appareil.


j’ai une question

j’étais sous iphone et je me suis arrêté au 4, passé sous android rooté, j’ai installé adaway, y a t il un équivalent sous ios ?








gokudomatic a écrit :



Je commence à me dire que le futur est d’utiliser un proxy maison qui fait le boulot d’optimiser les données. Donc non seulement enlever les pubs, mais aussi compresser les données. Je cherche actuellement une solution comme ça pour mon android.







Perso ce que je voudrais c’est genre ton nas qui filtre toute la merde et redistribue les données sur le reseau local + wifi à tout les smartphone/tablette de la maison. Tranquille, une fois pour toute.



&nbsp;



Je pousse la logique encore plus loin en profitant de mon nas filtreur même à l’extérieur de mon réseau wifi (donc en 3G). Donc bien sûr, profiter du filtreur à l’intérieur du réseau local est aussi inclu.








latlanh a écrit :



Perso je viens de regarder et weblock est encore dispo et de ce que j’ai compris il bloque aussi les pub in app non?









Vincent_H a écrit :



A voir dans le cas de cette application, étrange effectivement.









Gigatoaster a écrit :



J’utilise Weblock depuis plusieurs années maintenant et en effet en lisant la news je me suis dis que Weblock aurait dù être supprimé puisque cela passe par un proxy, non?



Par contre, ça bloque qu’en Wifi pas en 3G.





En fait cette appli utilise un proxy.pac spécifique (fonction qui n’est géré qu’en Wifi par iOS). L’idée est juste de proxyfier les connexions à regiepub.tld vers un proxy inexistant, tandis que le reste reste en direct.



We also DO NOT act as a proxy server for any part of your traffic. Every time Weblock blocks some content, it’s because your device will try to get it through a dummy proxy server.





D’ailleurs ils ont réutilisé la même idée avec la fonction VPN on demand (qui fonctionne en 3G) : si une requête vers regiepub.tld est initiée, iOS tente de monter un VPN qui échoue. (mais elle a été emportée par la vague décrite dans l’article, je ne sais pas pourquoi)



Yes, j’attends de vois ce que donnerahttps://www.adblockios.com/faq



J’espère qu’ils trouveront une parade!