Pour cette rentrée CocoaHeads 2015, j’ai présenté une nouveauté introduite avec iOS9 et OSX10.11 concernant la sécurité des échanges réseaux de vos applications mobiles et Macs. Apple Transport Security (ATS) est un mécanisme qui provoquera, j’en suis convaincu, bon nombre de discussions entre vos équipes de développement et ITs. Autant être prêt dès aujourd’hui :
Que faut-il retenir en 5 points ?
- ATS est un mécanisme bas niveau qui s’assure que vos communications réseaux sont suffisamment sécurisées (ensemble de bonnes pratiques sécuritaires).
- Votre code actuel reste valide, vous n’avez pas à re-développer la partie qui réalise les échanges réseaux avec vos webservices.
- ATS est actif une fois les applications compilées pour iOS9 et OSX 10.11.
- Tous les échanges serveurs considérés comme insuffisamment sécurisés seront coupés.
- Sécurité exigée : HTTPS (plus d’HTTP), TLS1.2+, forward secrecy, certificat (valide) et SHA256.
Quels impacts pour mon projet ?
- Vos développeurs doivent être formés sur ce sujet au plus tôt, sous peine que votre application mobile ne puisse plus communiquer avec votre serveur.
- Il est possible de désactiver (pour l’instant) ce mécanisme de sécurité (le temps de vous préparer avec vos équipes serveurs).
- Vous pouvez aussi désactiver ou activer finement les vérifications ATS (autoriser tel domaine, spécifier le niveau TLS sur un autre…)
- Avoir une application sécurisée a cependant un coût, cela complexifiera l’analyse des bugs en production.
Les slides de la session Cocoaheads
Partagez cet article
