Apple n'a activé le HTTPS pour l'App Store d'iOS que récemment

L'App Store, ce lieu de transit 

L’App Store est un élément central de la stratégie d’Apple depuis la sortie d’iOS 2.0. Rapidement, attractivité de l’iPhone oblige, les développeurs se sont intéressés à cette plateforme qui offrait à l’époque bon nombre de nouveautés en termes d’utilisation et d’ergonomie. Puis le cercle vertueux a pris place : le nombre d’iPhone vendus a attiré les développeurs, la boutique s’est rapidement remplie, attirant de nouveaux clients potentiels. Les ventes d’iPhone ont continué de croître, rendant la plateforme incontournable pour le reste des développeurs. Une situation qui s’est depuis largement accélérée avec les autres appareils iOS, dont l’iPad.

Mais depuis des années, les achats réalisés sur iOS n’étaient pas en HTTPS. Ce protocole, pourtant déjà très ancien, s’assure de plusieurs éléments importants. D’une part, que le serveur ciblé par la communication est bien celui qu’il prétend être. D’autre part, il permet surtout de déclarer un chiffrement des données et donc d’utiliser un protocole dédié. Sans le HTTPS, les informations peuvent circuler en clair, ce qui soulevait bien entendu des inquiétudes.

Un chercheur de Google avait tiré la sonnette d'alarme 

Elie Bursztein, chercheur chez Google, rapporte avoir envoyé à Apple les détails de plusieurs failles de sécurité en juillet 2012. Il ne dit pas si la firme de Cupertino a réagi, mais il a décidé de publier les détails de plusieurs brèches pour une simple et bonne raison : elles ne sont désormais plus exploitables. Selon le chercheur, la boutique App Store utilise désormais bien le HTTPS pour les communications avec les serveurs, Apple ayant visiblement comblé son énorme lacune en la matière. Le HTTPS n’a en effet rien d’une nouveauté et de nombreux services très fréquentés tels que Facebook, Twitter ou encore Google l'utilisent.

Sans HTTPS, les possibilités étaient nombreuses pour les pirates potentiels. Évidemment, même si les informations pouvaient transiter en clair, il restait la barrière de la connexion Wi-Fi elle-même. De fait, télécharger et surtout acheter une application pouvait révéler des informations sensibles. Ces dernières pouvaient être récupérées via des outils spécialisés. Il était en théorie possible également de créer de fausses boutiques d’applications pour y rediriger l’utilisateur. L’achat d’applications leurres pouvait alors très bien fournir les informations bancaires aux pirates.

Multiples scénarios possibles 

Bursztein détaille sur son site plusieurs scénarios d’attaques qui, auparavant, étaient possibles :

• Vol de mots de passe : insertion d’une fausse fenêtre de confirmation de mot de passe lors de l’ouverture de l’App Store
• Échange d’applications : le pirate réoriente l’opération d’achat et/ou de téléchargement d’une application vers une autre
• Fausse mise à jour : amène l’utilisateur à acheter/installer une application voulue par le pirate en utilisant de fausses mises à jour pour les applications existantes
• Blocage d’installation : l’utilisateur ne peut pas installer une application particulière. Le pirate peut faire croire à cette dernière qu’elle est déjà installée.
• Fuite de données personnelles : l’App Store diffuse en clair la liste des applications installées lorsque que le processus de mise à jour est actif

Plusieurs de ces méthodes sont illustrées en vidéos à travers l’article.

De son côté, Ars Technica indique que même si le HTTPS est désormais géré par l’App Store, la qualité de l’implémentation des protocoles et l’ensemble des protections mises en place peuvent laisser à désirer. Et de citer le site SSL Labs qui mesure justement ces paramètres pour le protocole SSL : à l’heure actuelle, Apple peut faire bien mieux.

L’activation du HTTPS et le chiffrement des données restent cependant des étapes importantes pour la sécurité dans tous les cas.