Le HTTPS sera obligatoire dans les app iOS

Bientôt, il ne sera plus possible de publier ou de mettre à jour une application mobile iOS si elle a des contenus ou fait appel à des services en HTTP ! Ceux-ci doivent désormais être remplacés par du HTTPS, un mode sécurisé d’échange de données.

Cette annonce a été faite lors de la Keynote WWDC d’Apple de juin 2016 dans le but de renforcer les exigences de sécurité des applications mobiles publiées sur l’App Store. Il s’agit de l’ATS : App Transport Security, une caractéristique d’iOS 9 qui force une application à faire appel à des services web via une connection HTTPS.

Mise à jour le 2 janvier 2017 :

Jusqu’au 24 décembre décembre 2016, les développeurs avaient jusqu’au 31 pour effectuer ces modifications. Or suite à quelques problèmes, la société à la pomme est revenue sur ce délai et l’a repoussé à une date pour le moment indéfinie. La pression du nouvel an est donc levée pour les développeurs n’ayant pas encore passé l’intégralité de leurs contenus http en HTTPS. Mais celle-ci ne devrait pas tarder à être communiquée.
Source : Apple reporte le HTTPS obligatoire pour les développeurs tiers (via Next INpact)

Suis-je concerné ?

« Je vais prochainement publier une application sur l’App Store, suis-je concerné ? »
Tout à fait. Si votre app contient du HTTP, elle sera tout simplement rejetée par Apple.

« Si je publie mon application mobile avant le 1er janvier 2017, est-ce que j’évite cette contrainte ? »
À très court terme… oui. Mais c’est déconseillé car vous serez obligé de changer vos contenus en HTTPS si vous souhaitez faire une mise à jour après le 1er janvier.
Vous avez tout intérêt à partir sur du HTTPS dès maintenant, sauf si votre projet est très ponctuel et ne nécessite pas de mise à jour, par exemple : un sondage de quelques semaines, une app pour un événement qui aura lieu avant la fin de l’année, etc.

« J’ai une ou plusieurs applications sur l’App Store qui ont du HTTP, dois-je les mettre à jour ? »
Vous serez obligé de le faire à un moment ou à un autre. L’App Store ne rejettera pas les applications contenant du HTTP au 1er janvier 2017 mais vous serez concernés lors de la prochaine mise à jour que vous souhaiterez faire.

C’est décidé, vous allez changer vos contenus et services en HTTPS ? Alors voyons ce que tout cela signifie et quels services peuvent vous convenir !

Le HTTPS c’est quoi ?

L’HyperText Transfert Protocol Secure est un mode de sécurisation de données échangées entre un internaute et le serveur. Il a été conçu pour pallier les défauts de sécurisation des données du HTTP.

Le protocole HTTP permet d’envoyer et de recevoir des informations à un serveur. Il est simple à mettre en place et gratuit, mais ne chiffre pas les données. Elles peuvent donc être facilement interceptées et lues par quiconque “espionne” le réseau. Pour du contenu informatif (Wikipédia, média d’actualité, site vitrine, etc.) ce n’est pas un problème, en revanche pour des données sensibles (informations bancaires, plateforme de paiement en ligne, etc.) il est indispensable de les protéger !

C’est pourquoi il existe le HTTPS. C’est du HTTP avec lequel a été utilisé le système SSL (Secure Socket Layer). Ce dernier permet l’échange de données entre deux ordinateurs (utilisateur/serveur) en garantissant que les données ne peuvent être espionnées ou truquées lors du transfert et de s’assurer de l’identité de l’ordinateur avec laquelle on communique.

Quels services HTTPS utiliser pour votre app mobile ?

Il existe de nombreux services de chiffrement de vos données HTTP. Pour faire votre choix, vous allez devoir définir ce qui est important pour vous : crédibilité, gratuité, temps de réponse, etc.

1. Les certificats auto-signés

Les transferts sont chiffrés mais l’identité du serveur n’est pas vérifiée par un tiers de confiance.

Leur avantage est que vous pouvez générer vous-même vos contenus en HTTPS. Mais ces certificats ne sont pas tous très fiables, ce qui ne vous garantit pas une sécurité à 100%. Mais surtout, ils ne sont pas reconnus par les navigateurs : une page de mise en garde s’affichera pour alerter l’internaute que le site n’est peut-être pas sécurisé et à gauche de sa barre de navigation, l’icône cadenas sera barrée d’une croix rouge.

D’expérience, nous déconseillons ces services. Car ils génèrent une crainte chez les utilisateurs.

2. Notre conseil libre de droit : Let’s encrypt

Il existe tout de même une solution libre de droit, fiable, quasi-gratuite ET reconnue par les navigateurs : Let’s encrypt ! Par contre, il faut renouveler ce certificat tous les 30 jours :

• Vous pouvez le faire vous même (attention à ne pas l’oublier) ;
• Demander à un prestataire de le faire pour vous chaque mois (ce ne sera pas gratuit).

C’est une bonne solution pour un projet ponctuel, un Proof of Concept (POC) ou un budget limité par exemple.

3. Sécurité, performance et crédibilité : les services payants

Vous pouvez également passer par un certificat qui propose un service de très bonne qualité tels que Verisign ou globalsign :

• Une excellente fiabilité dans la sécurisation de vos données
• Une très bonne réputation
• 100% de reconnaissance auprès des navigateurs
• Un temps de réponse très rapide (temps de récupération des données + temps d’affichage, plus votre site est long à charger et plus votre taux de rebond est important)

Si vos interfaces web et/ou mobiles sont complexes, contiennent des fonctionnalités de transfert d’argent, des données utilisateurs ou confidentielles nous vous conseillons fortement de passer par l’un de ces services HTTPS.

Pour conclure

Si vous êtes concernés par l’obligation d’Apple de passer vos contenus HTTP en HTTPS pour votre (vos) application(s) mobile(s), vous avez tout intérêt à l’envisager de suite pour ne pas être pris de court !

Concernant Android, il semblerait qu’aucune annonce similaire n’a été faite pour le moment. Mais on peut supposer que ça arrivera car la sécurité est un sujet de plus en plus important.