Avec iOS 9, Apple renforce sa sécurité, et cela passe aussi par vos process de développement mobile. Si vous devez publier ou republier une app en 2016, certaines mises en conformités sont donc à prendre en compte.

iOS 9 : LES NOUVELLES NORMES DE SÉCURITÉ ATS POUR VOS APPLICATIONS MOBILES 

 

LES NOUVEAUTÉS POUR LES USERS

ios-9

Apple s’engage dans la protection des Personal Data en fournissant le minimum d’informations pour préserver la sécurité des données de ses utilisateurs. Les données collectées lors de la phase de paiement avec Apple Pay ou avec le paiement sans contact sont conservées au sein de l’iPhone et non pas dans un cloud, ni envoyées aux commerçants ou à Apple.

La vie privée de vos mobinautes est alors davantage sécurisée.

L’authentification à votre device est également renforcée grâce à un code d’accès à 6 chiffres (au lieu de 4).

LES NOUVEAUTÉS POUR LES DÉVELOPPEURS

Pour assurer un niveau de sûreté optimale, Apple mise surtout sur l’amélioration de la sécurité des réseaux informatiques en s’attaquant au VPN par application et au contrôle du trafic du réseau (ex : UDP).

Si vous voulez soumettre une application sur l’Apple Store, vous devrez maintenant vérifier que vous êtes bien en accord avec les nouvelles exigences de sécurité App Transport Security.

Mais qu’est-ce-que l’App Transport Security ?

App Transport Security (ATS) est la nouvelle norme de sécurité à laquelle tous les développeurs iOS doivent se plier pour développer sous iOS 9. ATS sécurise les communications et échanges de données entre votre app et les webservices en utilisant exclusivement le protocole HTTPS (HyperText Transfert Protocol secure). Avec HTTPS, toutes les données échangées sont maintenant cryptées.

Voici les exigences de sécurité d’ATS :

  • Votre server doit supporter au moins le protocole TLS version 1.2
  • Seules les connexions Ciphers (chiffrement de connexion) confidentielles sont autorisées
  • Les certificats doivent utiliser un SHA256 ou un algorithme d’au moins 2048-bit ou supérieur à une clé RSA ou 256-bit ou une clé supérieure à Elliptic-Curve (ECC). Des certificats invalides entraineront des erreurs et pas de connexion.

Si vous souhaitez monter votre app en version iOS 9 ou soumettre une nouvelle app sur cette version d’OS, tous vos échanges servers (liens, webservices…) doivent maintenant se faire sous HTTPS, ou vos connexions risquent d’échouer :

CFNetwork SSLHandshake failed (-9801)
Error Domain=NSURLErrorDomain Code=-1200 "An SSL error has occurred and a secure connection to the server cannot be made." UserInfo=0x7fb080442170 {NSURLErrorFailingURLPeerTrustErrorKey=<SecTrustRef: 0x7fb08043b380>, NSLocalizedRecoverySuggestion=Would you like to connect to the server anyway?, _kCFStreamErrorCodeKey=-9802, NSUnderlyingError=0x7fb08055bc00 "The operation couldn’t be completed. (kCFErrorDomainCFNetwork error -1200.)", NSLocalizedDescription=An SSL error has occurred and a secure connection to the server cannot be made., NSErrorFailingURLKey=https://yourserver.com, NSErrorFailingURLStringKey=https://yourserver.com, _kCFStreamErrorDomainKey=3}

 

Les trafics non sécurisés entre les apps et les servers backend seront en effet bloqués. Ce qui signifie que si votre app fait appel à des sources d’autres servers backend non sécurisés, les requêtes n’aboutiront pas et vos utilisateurs n’auront donc pas de contenu, ce qui risque sérieusement d’entacher l’expérience utilisateur. Même principe pour les publicités mobiles, si celles-ci ne sont pas conformes, elles ne se chargeront pas.

Dans le cas où vos applications interagissent avec des APIs tierces dont vous ne pouvez pas contrôler la sécurité, vous pourrez spécifier les exceptions dans le fichier Info.plist de votre app ou extension.

MAIS NOUS NE RECOMMANDONS PAS CETTE PRATIQUE ! En plus de ne pas savoir combien de temps cette souplesse sera autorisée, la prise en compte de la sécurité de vos échanges est favorable pour vous et vos clients.

Il est alors plus que nécessaire de faire évoluer vos infrastructures et systèmes réseaux pour offrir une expérience mobile fonctionnelle et confortable à vos utilisateurs. Mais cela peut s’avérer complexe et lourd lorsque l’on n’a ni le temps ni les moyens techniques pour le faire correctement.

Aussi, facilitez-votre travail en vous servant de la solution Apps Panel.

En effet, notre infrastructure est régulièrement mise à jour et évolue continuellement pour vous apporter un maximum de sécurité dans le développement de votre projet mobile. Soucieux du résultat et de la performance de nos outils, nos techniques de développement sont conforment aux recommandations d’Apple iOS 9. Vous pouvez donc d’ores et déjà profitez de notre mise en conformité avec iOS 9 et cela, sans développement ou frais supplémentaire.

 

Faire l’impasse sur l’ATS et HTTPS n’est plus possible si vous êtes développeur iOS ou si vous avez un projet mobile accessible sur les devices de la firme Apple.

Il n’existe aucune possibilité pour contourner cette nouvelle norme de sécurité alors n’attendez plus pour mettre à jour vos process ou faire appel à nos services pour être conforme à ces nouvelles exigences.

La révolution App Data Security est en marche !