Apple a décidé de donner plus de temps aux développeurs sur la transition vers des connexions sécurisées pour leurs applications. La mesure devait être active au 1er janvier, mais la société fait visiblement face à certains soucis.
À l’automne 2015, quand iOS 9 et OS X Yosemite sont arrivés, ils proposaient tous deux une fonctionnalité baptisée App Transport Security (ATS). Il s’agissait de simplifier pour les développeurs la connexion sécurisée de leurs applications à des serveurs distants. Rien n’avait jamais été exigé sur le terrain du HTTPS jusqu’à lors.
Au début de l’été, à la WWDC, Apple donne soudain le « La » : ATS sera obligatoire à compter du 1er janvier 2017. Traduction, les développeurs allaient devoir abandonner leurs connexions HTTP classiques pour se tourner vers le chiffrement. Une mesure que l’on pouvait estimer bienvenue puisque les données concernées n’allaient plus circuler en clair.
Un report sans nouvelle date
Cependant, imposer le HTTPS comporte plusieurs défis et Apple semble s’en être rendu compte. Dans un message publié cette nuit sur son site dédié aux développeurs, la firme indique que le support obligatoire d’ATS a été reporté à une date ultérieure. Non seulement les développeurs retardataires n’ont plus la pression des quelques derniers jours, mais la société ne donne aucune nouvelle date, ce qui est plus surprenant.
Il est souvent arrivé en effet qu’Apple ajoute des délais supplémentaires pour imposer certaines bascules, comme l’utilisation du format binaire universel pour les applications mobiles ou celle du tout 64 bits sur l’App Store. Mais il s’agissait d’un délai précis, en général de trois à six mois. Pourquoi pas dans ce cas ?
Trop lourdes contraintes autour de la publicité ?
Apple ne donne aucune raison, mais une hypothèse nous semble logique : la publicité. De très nombreuses connexions s’effectuent en effet en HTTP. Rendre obligatoire le chiffrement casse probablement le fonctionnement de ces contenus chez de nombreux éditeurs.
Le problème est le même pour de nombreux sites qui attendent simplement que l’industrie publicitaire s’adapte en conséquence pour généraliser le HTTPS (voir notre analyse). Mais quelle que soit la raison, les développeurs ont désormais du temps pour s’adapter. Quand Apple communiquera à nouveau, ce sera de toute façon pour préciser le nouveau délai.
