Sécurité des applications : Apple se heurte aux développeurs

C’était en juin dernier. A l’occasion de sa conférence développeurs annuelle, Apple avait assuré la promotion de ses efforts pour renforcer la sécurité des échanges en ligne entre applications et serveurs. Des API spécifiques, doivent d’ailleurs simplifier la tâche des développeurs pour utiliser SSL et TLS, et une autre pour le contrôle des certificats serveurs. Le tout dans le cadre de la démarche dite ATS, pour App Transport Security, qui vise à exiger des applications qu’elles communiquent via HTTPS. L’approche devait initialement être adoptée par tous les éditeurs d’applications iOS et macOS au 31 décembre 2016. Mais ils semblent loin d’être prêts pour cela.

De fait, Apple vient de publier une note d’information indiquant que « l’échéance a été repoussée » pour donner aux éditeurs « plus de temps pour se préparer ». Sans préciser la nouvelle échéance. Celle-ci sera communiquée ultérieurement, à une date encore une fois non déterminée.

Appthority montre de son côté que l’écosystème iOS/macOS est bien loin d’être prêt. Il y a peu, moins de 3 % des applications d’entreprise supportaient, selon lui « ATS sans exception ». Au 22 décembre, ce chiffre avait progressé à 5 % : « nous supposons qu’Apple a lui aussi réalisé qu’un nombre inacceptablement élevé d’applications échouerait à satisfaire à l’échéance si elle n’était pas repoussée ».

Mais Appthority s’interroge : « il est curieux qu’Apple n’ait pas fourni de nouvelle date. Le but consistant à atteindre un niveau de sécurité plus élevé pour le transport des données applicatives été retardé ou abandonné ? » Impossible à savoir pour l’instant. Mais « même si le but de support complet d’ATS n’a pas été abandonné, il est peu probable que nous le voyons à court terme ».