Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Apple reporte le HTTPS obligatoire pour les développeurs tiers

Une question de publicité ?
Mobilité 2 min
Apple reporte le HTTPS obligatoire pour les développeurs tiers
Crédits : zmeel/iStock

Apple a décidé de donner plus de temps aux développeurs sur la transition vers des connexions sécurisées pour leurs applications. La mesure devait être active au 1er janvier, mais la société fait visiblement face à certains soucis.

À l’automne 2015, quand iOS 9 et OS X Yosemite sont arrivés, ils proposaient tous deux une fonctionnalité baptisée App Transport Security (ATS). Il s’agissait de simplifier pour les développeurs la connexion sécurisée de leurs applications à des serveurs distants. Rien n’avait jamais été exigé sur le terrain du HTTPS jusqu’à lors.

Au début de l’été, à la WWDC, Apple donne soudain le « La » : ATS sera obligatoire à compter du 1er janvier 2017. Traduction, les développeurs allaient devoir abandonner leurs connexions HTTP classiques pour se tourner vers le chiffrement. Une mesure que l’on pouvait estimer bienvenue puisque les données concernées n’allaient plus circuler en clair.

Un report sans nouvelle date

Cependant, imposer le HTTPS comporte plusieurs défis et Apple semble s’en être rendu compte. Dans un message publié cette nuit sur son site dédié aux développeurs, la firme indique que le support obligatoire d’ATS a été reporté à une date ultérieure. Non seulement les développeurs retardataires n’ont plus la pression des quelques derniers jours, mais la société ne donne aucune nouvelle date, ce qui est plus surprenant.

Il est souvent arrivé en effet qu’Apple ajoute des délais supplémentaires pour imposer certaines bascules, comme l’utilisation du format binaire universel pour les applications mobiles ou celle du tout 64 bits sur l’App Store. Mais il s’agissait d’un délai précis, en général de trois à six mois. Pourquoi pas dans ce cas ?

Trop lourdes contraintes autour de la publicité ?

Apple ne donne aucune raison, mais une hypothèse nous semble logique : la publicité. De très nombreuses connexions s’effectuent en effet en HTTP. Rendre obligatoire le chiffrement casse probablement le fonctionnement de ces contenus chez de nombreux éditeurs.

Le problème est le même pour de nombreux sites qui attendent simplement que l’industrie publicitaire s’adapte en conséquence pour généraliser le HTTPS (voir notre analyse). Mais quelle que soit la raison, les développeurs ont désormais du temps pour s’adapter. Quand Apple communiquera à nouveau, ce sera de toute façon pour préciser le nouveau délai.

13 commentaires
Avatar de jb18v Abonné
Avatar de jb18vjb18v- 22/12/16 à 08:39:29

Signaler ce commentaire aux modérateurs :

comme c'est dommage, la pub..

ils peuvent pas activer https pour leurs applis et laisser le http pour la pub ? c'est pas si grave. M'enfin je suis pas dans le secret

Avatar de Soriatane Abonné
Avatar de SoriataneSoriatane- 22/12/16 à 08:54:15

Signaler ce commentaire aux modérateurs :

Avec Let's encrypt, le passage des publicitaires à HTTPS devraient être facilité, non ?

Avatar de Mr.Nox INpactien
Avatar de Mr.NoxMr.Nox- 22/12/16 à 09:18:26

Signaler ce commentaire aux modérateurs :

Ce n'était pas l'une des problématiques à laquelle NXI avait du faire face aussi ?

Avatar de maverick78 Abonné
Avatar de maverick78maverick78- 22/12/16 à 09:33:51

Signaler ce commentaire aux modérateurs :

Soriatane a écrit :

Avec Let's encrypt, le passage des publicitaires à HTTPS devraient être facilité, non ?

Je ne suis pas sur que ca soit le coût d'un certificat qui fasse peur aux régies pubs hein ;)

Avatar de t-la INpactien
Avatar de t-lat-la- 22/12/16 à 10:06:59

Signaler ce commentaire aux modérateurs :

Et si on buttait le HTTP. Ca serait tellement plus simpe.

Avatar de Altair31 Abonné
Avatar de Altair31Altair31- 22/12/16 à 10:10:27

Signaler ce commentaire aux modérateurs :

Soriatane a écrit :

Avec Let's encrypt, le passage des publicitaires à HTTPS devraient être facilité, non ?

Certes, mais il faudrait embaucher un vrai Sysops (et potentiellement des vrais devs) et que ces personnes sont plutôt du genre à utiliser un bloqueur de pub !

Avatar de MountainOtter Abonné
Avatar de MountainOtterMountainOtter- 22/12/16 à 10:27:37

Signaler ce commentaire aux modérateurs :

Le problème n'est absolument pas dans la gestion/prix du certificat en lui même, mais au niveau de la mise en place et charge serveur que ca demande en plus.
Et comme la publicité en ligne est composé de centaines de petits acteurs (en plus des gros) et qu'il en suffit d'un pas à jour pour tout faire planter, ça coince...

Avatar de manfried INpactien
Avatar de manfriedmanfried- 22/12/16 à 12:25:55

Signaler ce commentaire aux modérateurs :

Faut pas  croire tout ce qu'on lit. Les acteurs sérieux de la pub savent parfaitement gérer le https, après dans l'univers du mobile les acteurs sérieux il y en a assez peu. Clairement le https est un vrai sujet sur lequel les plus gros acteurs pub sont largement prêt. 

Avatar de Freeben666 Abonné
Avatar de Freeben666Freeben666- 22/12/16 à 13:34:49

Signaler ce commentaire aux modérateurs :

ATS ce n'est pas juste "passer de HTTP vers HTTPS", c'est passer vers du TLSv1.2 avec des ciphers ECDHE (apportant le PFS), ce qui en dehors des considérations publicitaires peut apporter des soucis en empêchant des sondes de sécurité (IDS/IPS) d'analyser le traffic utilisant ces ciphers (ce qui est possible avec les ciphers précédents (tant que la sonde dispose de la clé privée du certificat).
C'est une des nombreuses raisons pour lesquelles le passage à ATS pose des soucis à pas mal de monde.

Avatar de WereWindle Abonné
Avatar de WereWindleWereWindle- 22/12/16 à 14:00:07

Signaler ce commentaire aux modérateurs :

bah voila, on a déjà une meilleure explication que "OLOL c'est des feignasses les publicitaires"

Il n'est plus possible de commenter cette actualité.
Page 1 / 2