Sécurité IT : Apple irrité par les bloqueurs de pub ?
Apple a retiré de son App Store plusieurs applications mobiles qui posaient un « risque de sécurité et de confidentialité » . Il pourrait s’agir de bloqueurs de publicité.
La gestion des bloqueurs de publicité est délicate pour Apple.
La firme a fait un effort dans le sens des utilisateurs finaux en autorisant, avec iOS 9, les extensions capables de bloquer, dans le navigateur Internet Safari, diverses ressources allant des images aux cookies en passant par les fenêtres pop-up.
Mais qu’en est-il dans les applications mobiles ? C’est plus compliqué… et cela semble même poser des problèmes de sécurité.
Témoin l’avertissement publié vendredi par Apple pour inciter les utilisateurs d’iPhone et d’iPad à la vigilance : « quelques applications » ont été supprimées de l’App Store, car elles pouvaient surveiller des connexions chiffrées.
De quelles applications s’agit-il ? En recoupant les indices apparus notamment sur les réseaux sociaux, on peut supposer qu’Apple a ciblé des bloqueurs fonctionnant sur le principe du VPN : tout le trafic est redirigé vers un serveur tiers, puis inspecté pour supprimer les contenus jugés à caractère publicitaire.
Alors que le fonctionnement de ces outils dans Safari (Crystal, Purify, 1Blocker…) est strictement encadré, il l’est beaucoup moins dans les applications mobiles. Bilan : certains éditeurs en profitent pour flirter avec les limites de la politique de sécurité et de confidentialité d’Apple.
Illustration avec le cas Been Choice. Cette application avait retenu l’attention la semaine dernière. Ayant passé l’épreuve du « contrôle qualité », elle s’était retrouvée sur l’App Store, en dépit de son mode opératoire, qui consiste à installer des certificats racines (autosignés) pour pouvoir surveiller tout le trafic HTTP sécurisé, sur SSL comme sur TLS.
Cette technique d’interception de type « Man-in-the-Middle » est approuvée par l’utilisateur lorsqu’il installe l’application. Difficile, toutefois, de ne pas s’inquiéter en constatant que les développeurs de Been Choice se réservent le droit de récupérer, au passage, des informations sur le terminal, l’opérateur, le réseau, diverses « statistiques d’utilisation » ou encore le contenu des communications et des transactions, sauf bancaires et e-commerce.
Les fondateurs de Been Choice avaient expliqué à TechCrunch jouer la « transparence » en proposant à l’utilisateur une option « Earn » pour partager volontairement des données en échange de récompenses, pour le moment versées via PayPal. Ils avaient précisé que les données routées vers leurs serveurs pour éliminer la pub n’étaient inspectées « qu’au vol, sans stockage de contenu ».
Capable de bloquer de nombreux formats publicitaires comme les pré-rolls et les billets sponsorisés, Been Choice fonctionnait avec des applications populaires : Facebook, Google, Yahoo, Pandora, Pinterest, etc.
Il faudra bientôt en parler au passé : l’application ayant été retirée de l’App Store, les développeurs se sont engagés à ne plus proposer de VPN et à en rester au blocage « traditionnel » sur Safari ainsi que dans certaines applications qui exploitent leur propre navigateur basé sur Safari View Controller.
Crédit photo : sarahdesign – Shutterstock.com