iOS: Apple bloque certains bloqueurs de publicités, Réactions à la publication du 15/07/2017

[Lionel]

Apple semble avoir décidé de ne plus valider des applications destinées à bloquer les publicités sous iOS. Les applications en question font appel à l'installation de VPN qui vont intercepter et filtrer les contenus parvenant aux appareils pour ne pas laisser passer les contenus publicitaires.
Seules les applications utilisant les systèmes de rétention de la publicité sous Safari seront autorisées.

Apple semble vouloir ménager le modèle économique de nombre d'applications iOS qui échangent contenus et services contre de la publicité dont elle est parfois pourvoyeuse.

Lien vers le billet original

[zero]

Même le site d'Apple n'est pas accessible lorsqu'on utilise certains bloqueurs de pub.

[Starfleet Comman...]

Il suffit d'installer un bloqueur de bloqueur de bloqueur de publicités.

[lolo-69]

Si les oies refusent de manger, on leur met un entonnoir pour les gaver...

[jujuhtst]

C'est surtout que passer par un vpn est potentiellement dangereux si on ne connaît pas celui qui le fait fonctionner. Vu que toutes les données passent dessus, elles peuvent potentiellement être volée, corrompues...

[Bob24]

L'implementation de ces bloqueurs est bien particulière et n'utilise pas la méthode de blocage mise à disposition par Apple (mais à la place une sorte de hack de la fonction VPN pour capturer et filter tout le traffic internet). Il y a peut être une question commerciale, mais je pense aussi que ces développeurs sont à la limite des règles de l'App Store. Ce genre de contournement des API officielles est quelque chose qu'Apple n'a jamais appréciée et justifie sûrement tout ou part de la décision.

Ce message a été modifié par Bob24 - 15 Jul 2017, 09:35.

[iAPX]

C'est surtout que passer par un vpn est potentiellement dangereux si on ne connaît pas celui qui le fait fonctionner. Vu que toutes les données passent dessus, elles peuvent potentiellement être volée, corrompues...

+1 et offrir un service de VPN sans demander d'abonnement cache généralement quelque-chose, comme l'injection de publicité en lieu et place de celle enlevées, ad-minima.

Ce message a été modifié par iAPX - 15 Jul 2017, 12:50.

[linus]

Même le site d'Apple n'est pas accessible lorsqu'on utilise certains bloqueurs de pub.

Mais il est sans doute beaucoup plus normal que l'antispam de Mail.app mette en spam certains messages ou factures d'Apple.
J'ai rencontré d'autres aberrations du même acabit mais cela ne me revient pas à l'esprit.

Ce message a été modifié par linus - 15 Jul 2017, 15:52.

[Muludovski]

Apple semble vouloir ménager le modèle économique de nombre d'applications iOS qui échangent contenus et services contre de la publicité dont elle est parfois pourvoyeuse.

Pas compris cette phrase... En tout cas heureusement qu'ils interdisent ces apps basées sur des VPN !

[yannich]

Comment font Face Book ou encore Tumbler pour faire passer leurs pubs, les bloqueurs ne fonctionnent absolument pas sur ces sites ?

[Twisell]

En fait ça fait froid dans le dos qu'une telle App ai pu être disponible jusqu'ici.

En se faisant passer pour un simple bouquet de contenu, il s'agissait en fait de rediriger l'ensemble du trafic d'iOS vers un VPN ce qui donnait donc au VPN concernés la possibilité d'espionner absolument tout le trafic non crypté d'un utilisateur...

On peut "remercier" l'HADOPI d'avoir dederamatiser l'impact des VPN aux yeux du grand public prêt à prendre le moins cher ou le premier venu pour pirater l'esprit tranquille... Sauf qu'en vrai, il est capital, si l'on a l'usage d'un VPN, de choisir un prestataire en qui on a une absolue confiance (et plus qu'à son FAI a fortiori).

[Patounet1]

BONJOUR,

C'est surtout que passer par un vpn est potentiellement dangereux si on ne connaît pas celui qui le fait fonctionner. Vu que toutes les données passent dessus, elles peuvent potentiellement être volée, corrompues...

Je me demande ce qui n'est pas dangereux quand on utilise un ordinateur ? Hier, c'était les mises à jour qu'il fallait prudemment ne pas faire, mais attendre, alors que d'un autre coté on nous disait qu'avoir un système à jour, était le seul moyen de se protéger des derniers "ransonwares".
Hier encore je croyais qu'il était indispensable d'utiliser un VPN, dès qu'on utilisait un WIFI public, ou une connexion douteuse et voilà que j'apprends que les utiliser est dangereux, sauf à connaître ... ! Comment puis-je connaître celui qui le fait fonctionner ? Vu que si j'ai bien compris, même pour les plus notables entreprises (GAFA, Kaspersky, ... ) on ne sait pas, dans qu'elle mesure, elles ne sont pas au service des autorités de leur pays, voire ne récoltent pas nos données pour les revendre ?
Très peu de gens peuvent créer leur propre VPN.

[SartMatt]

Comment font Face Book ou encore Tumbler pour faire passer leurs pubs, les bloqueurs ne fonctionnent absolument pas sur ces sites ?

Les bloqueurs de pubs, ça fonctionne en identifiant les pubs par deux moyens :
* les URL des fichiers servant à gérer les pubs,
* les identifiants et les classes CSS des éléments HTML affichant les pubs.

Un site qui utilise une régie externe n'a quasiment aucun moyen de bloquer les bloqueurs, parce qu'il va faire référence à des fichiers typiques des régies pubs. Mais pour un site comme Facebook qui a sa propre régie, c'est plutôt très simple :
* les fichiers servant à gérer les pubs peuvent être chargés depuis le même domaine que les autres fichiers, empêchant le filtrage par nom de domaine,
* les chemins des fichiers qui apparaissent dans la page peuvent être "virtuels" et aléatoires, empêchant le filtrage par nom de fichier,
* les identifiants et les classes CSS peuvent eux aussi être aléatoires, puisqu'on peut régénérer à la volée tous les scripts et fichiers CSS mentionnant des identifiants et classes.

Avec une analyse très poussée de la page, ça doit encore être possible de bloquer ces pubs, mais aucun bloqueur de pubs n'est assez évolué pour ça.

[SartMatt]

On peut "remercier" l'HADOPI d'avoir dederamatiser l'impact des VPN aux yeux du grand public prêt à prendre le moins cher ou le premier venu pour pirater l'esprit tranquille... Sauf qu'en vrai, il est capital, si l'on a l'usage d'un VPN, de choisir un prestataire en qui on a une absolue confiance (et plus qu'à son FAI a fortiori).

+1. Le plus dingue, c'est que l'idée de "VPN = sécurité" est tellement rentrée dans les têtes que j'en connais même qui passent systématiquement par un obscure VPN suédois construisant clairement son succès sur la promotion du piratage pour tout leur trafic, comme ça "au moins mon FAI peut pas me voler mes données personnelles"... On marche sur la tête là...

Hier encore je croyais qu'il était indispensable d'utiliser un VPN, dès qu'on utilisait un WIFI public, ou une connexion douteuse et voilà que j'apprends que les utiliser est dangereux, sauf à connaître ... ! Comment puis-je connaître celui qui le fait fonctionner ? Vu que si j'ai bien compris, même pour les plus notables entreprises (GAFA, Kaspersky, ... ) on ne sait pas, dans qu'elle mesure, elles ne sont pas au service des autorités de leur pays, voire ne récoltent pas nos données pour les revendre ?
Très peu de gens peuvent créer leur propre VPN.

Un VPN opéré par un grand nom connu est aussi fiable que ton FAI (tu ne sais pas non plus si ton FAI n'est pas au service des autorités ou récolte tes données pour les vendre... c'est qu'une question de confiance). Ou en tout cas, bien plus que le premier hotspot Wi-Fi venu.

Après, pour le côté très peu de gens peuvent créer leur propre VPN, c'est globalement vrai, mais il y a quand même de plus en plus d'exceptions. Par exemple en France, tous les abonnés Free dotés d'une des deux Freebox actuels peuvent très facilement faire un VPN, ça fait partie des fonctionnalités de la box. Il y a aussi de plus en plus de routeurs grand public qui intègrent une fonction serveur VPN, et on le trouve également souvent sur les NAS. Le tout c'est de le savoir, et surtout, d'avoir conscience de l'intérêt d'un VPN...

Perso quand je suis sur un hotspot public, j'utilise le VPN de ma Freebox. Ça bride fortement la connexion (vu que le download se retrouve limité par l'upload de la Freebox...), mais au moins c'est pas plus risqué que si j'étais connecté depuis chez moi.

Ce message a été modifié par SartMatt - 16 Jul 2017, 09:34.

[Twisell]

BONJOUR,

C'est surtout que passer par un vpn est potentiellement dangereux si on ne connaît pas celui qui le fait fonctionner. Vu que toutes les données passent dessus, elles peuvent potentiellement être volée, corrompues...

Je me demande ce qui n'est pas dangereux quand on utilise un ordinateur ? Hier, c'était les mises à jour qu'il fallait prudemment ne pas faire, mais attendre, alors que d'un autre coté on nous disait qu'avoir un système à jour, était le seul moyen de se protéger des derniers "ransonwares".
Hier encore je croyais qu'il était indispensable d'utiliser un VPN, dès qu'on utilisait un WIFI public, ou une connexion douteuse et voilà que j'apprends que les utiliser est dangereux, sauf à connaître ... ! Comment puis-je connaître celui qui le fait fonctionner ? Vu que si j'ai bien compris, même pour les plus notables entreprises (GAFA, Kaspersky, ... ) on ne sait pas, dans qu'elle mesure, elles ne sont pas au service des autorités de leur pays, voire ne récoltent pas nos données pour les revendre ?
Très peu de gens peuvent créer leur propre VPN.

Pour moi en terme de complication/sécurité la réponse et en plusieurs niveaux de bonnes pratiques selon chaque type d'utilisateur:

Niveau 1
Utiliser un Mac sans mode administrateur, ne pas accepter les applis non signées dans gatekeeper et appliquer les mises à jour dans la semaine qui suit leur mise à disposition.
Ça offre un niveau de sécurité raisonable par rapport à une utilisation basique et une volonté de ne pas mettre les main dans le cambouis.

Niveau 2
Avoir les droits d'admin ce qui impose un minimum de bon sens pour ne pas confier à de logiciels potentiellement vérolés l'autorisation racine (root: qui permet de en gros de faire ce qu'on veut sur l'ordi). En échange possibilité d'installer des applications plus complexes installant des bibliothèques systèmes.

Niveau 3
Idem niveau 2 avec en plus...

Possibilité aussi de mitiger ces nouveaux risques avec l'installation de logiciel de sécurité tél que Little snitch ou éventuellement un antivirus si on a confiance dans l'éditeur (perso jamais installé d'antiviraux et je me porte très bien)

Niveau 4 et +
Idem niveau 2 et 3 avec en plus...

Configurer en fonction de ses besoins des composants nécessitants des connaissances en infrastructure réseau externes à l'ordi tel que:

• VPN pour crypter tout le trafic (idéalement hébergé sur son propre VPS/dédié)
• Serveur mail hébergé soit-même
• DNS alternatif voir DNS crypté
• Etc...

A titre perso je suis au niveau 4 mais avec seulement une partie choisie de outils.

Sur leur ordi, j'ai configuré mon papa au niveau 2 et ma maman au niveau 1.
Je n'ais jamais eu d'appel au secours lié à un malware de leurs part.
Par contre un pote à eux que je conseil aussi a souvent des soucis parce qu'il essaye d'avoir un niveau 2-3 alors qu'il devrait peut être se contenter d'un niveau 1-2.

C'est un classification à l'arrache que je viens de faire, n'hésitez pas à l'améliorer ou la critiquer avec des remarques constructives

Edit: re formulation de certains passages pour plus de clarté

Ce message a été modifié par Twisell - 16 Jul 2017, 09:45.

[Anozer]

Le problème de fond, c'est qu'à cause de l'impossibilité d'installer des plugins élémentaires sur un navigateur iOS, on en soit venu à ce genre de solution.
Mais ça, Apple a bien l'air de s'en foutre.

[iAPX]

On peut "remercier" l'HADOPI d'avoir dederamatiser l'impact des VPN aux yeux du grand public prêt à prendre le moins cher ou le premier venu pour pirater l'esprit tranquille... Sauf qu'en vrai, il est capital, si l'on a l'usage d'un VPN, de choisir un prestataire en qui on a une absolue confiance (et plus qu'à son FAI a fortiori).

+1. Le plus dingue, c'est que l'idée de "VPN = sécurité" est tellement rentrée dans les têtes que j'en connais même qui passent systématiquement par un obscure VPN suédois construisant clairement son succès sur la promotion du piratage pour tout leur trafic, comme ça "au moins mon FAI peut pas me voler mes données personnelles"... On marche sur la tête là...

Dans le cadre de cette App, ce n'est pas tant l'aspect VPN, qui fonctionne par encapsulation de contenu et laisse chiffré ls communications qui doivent l'être (https, IMAP-S, etc. tout en TLS bien sûr), une obligation pour les App actuelles, pour protéger les échanges même sur un réseau non-fiable (en gros partout aujourd'hui).

Cette App rajoutait un certificat dans l'appareil iOS, permettant à son créateur de s'installer en MITM dans une communication chiffrée, en générant soit au vol soit pour des sites/Apps particulières, un certificat qui serait alors considéré comme valable pour les échanges, donnant ainsi accès à tous le contenu normalement chiffré.
C'est indispensable si on veut filtrer ls communications et les pubs qu'affichent certaines App gratuites, mais en même temps ça donne potentiellement un accès complet à tous les échanges, et c'est ce certificat qui est la racine même du problème (pun intended pour les spécialistes), comme ce qui est arrivé à Lenovo avec SuperFish.

Utiliser un VPN n'est en aucun cas affaiblir sa sécurité per-se, pour tout le traffic chiffré, l'essentiel pour les Apps.
Un certificat racine couvrant la machine, ça c'est extrêmement dangereux.

[scoch]

Comment font Face Book ou encore Tumbler pour faire passer leurs pubs, les bloqueurs ne fonctionnent absolument pas sur ces sites ?

[…] Avec une analyse très poussée de la page, ça doit encore être possible de bloquer ces pubs, mais aucun bloqueur de pubs n'est assez évolué pour ça.

Avec uBlock Origin, pas de pub sur Facebook ou Tumblr. Mais ça n'est pas dispo pour Safari ou iOS.

[SartMatt]

Comment font Face Book ou encore Tumbler pour faire passer leurs pubs, les bloqueurs ne fonctionnent absolument pas sur ces sites ?

[…] Avec une analyse très poussée de la page, ça doit encore être possible de bloquer ces pubs, mais aucun bloqueur de pubs n'est assez évolué pour ça.

Avec uBlock Origin, pas de pub sur Facebook ou Tumblr. Mais ça n'est pas dispo pour Safari ou iOS.

Si uBlock y arrive, c'est sans doute que ces sites n'ont pas utilisés toutes les stratégies dont dispose un site qui est sa propre régie.

De mémoire uBlock a quelques solutions contre les id aléatoires (du genre filtrer le nième élément de la page), mais ça reste assez limité, un site peut assez facilement palier à ça.

Ce message a été modifié par SartMatt - 16 Jul 2017, 13:50.

[Patounet1]

Bonjour,
Merci, SartMatt pour ta réponse.
Si je comprends bien : on doit faire avec ...., il n'est pas question de sécurité (absolue), mais de limiter les risques. Bien que je ne fasse aucune confiance à mon FAI, je suis même persuadé qu'il travaille main dans la main avec les autorités pour nous espionner, je n'ai pas vraiment le choix, je fais avec .
Pour résumer :
[*]Mise à jour, suivant la situation, faire les mises à jour (après avoir sauvegardé) rapidement, surtout pour un ordinateur personnel. S’il y a un risque d'avoir des applications incompatibles avec la mise à jour, il faut prendre le temps de bien tester avant de faire la mise à jour. C'est le cas quand il y a un grand nombre d'ordis professionnels à mettre à jour, mais il faut les faire.

[*]VPN, L'utilisation d'un VPN ne rend pas la navigation sans risque, elle permet juste de limiter les risques, quand on utilise une connexion publique, hôtel, camping, ... , dans la limite ou on accorde plus de confiance au VPN.

Une remarque : L'utilisation du VPN pour regarder une émission Française depuis l'étranger (Espagne), mais là il ne s’agit pas de sécurité, mais de faire évoluer l'Europe sans frontière.

[fr78]

... Bien que je ne fasse aucune confiance à mon FAI, je suis même persuadé qu'il travaille main dans la main avec les autorités pour nous espionner ...

Faut arrêter avec cette paranoïa. La France, à la différence des Etats Unis, n'a pas les moyens financiers, humains et techniques, d'intercepter tout et n'importe quoi.
OUI, les FAI fournissent les communications aux autorités, mais uniquement dans le cadre d'une enquête légale. Si vous êtes intercepté, c'est que vous êtes ciblé soit directement, soit en étant en communication avec quelqu'un qui l'est. Et les seules personnes ciblées le sont dans le cadre d'enquêtes pour terrorisme, assassinat, enlèvement, pédophilie, ou autres crimes graves.
Êtes-vous concerné ou en contact avec quelqu'un de ce genre ? Dans le cas contraire, et c'est préférable pour vous, vos communications ne sont pas interceptées.

[Patounet1]

Bonjour,
Quand je dis que je ne fais pas confiance, je ne dis pas que je suis forcément surveillé, mais simplement que je peux l'être à tout moment sans le savoir, c'est tout comme .
À savoir, si la simple plainte d'un voisin, malintentionné ne suffit pas, à déclencher une "enquête légale".
Puis tu le dis, si on n’est pas encore tous suivis c'est que ça coûte trop cher .

[SartMatt]

À savoir, si la simple plainte d'un voisin, malintentionné ne suffit pas, à déclencher une "enquête légale".

Peu probable, les écoutes légales se font dans des affaires graves, pour lesquelles il y a suffisamment d'éléments pour déclencher une enquête avec écoute.

Pour le particulier lambda, le plus gros risque de se retrouver sur écoute, c'est les IMSI-catcher. Lorsqu'une personne est ciblée avec un IMSI-catcher, tout utilisateur d'un téléphone portable dans le voisinage peut se retrouver "accidentellement" écoutée.

[Twisell]

Par contre tant qu'on y est par curiosité, y a t'il dans les tuyaux le passage de Macbidouille en HTTPS?

C'est désormais possible gratuitement avec https://letsencrypt.org donc autant monter le bon exemple non?

[_Panta]

Les VPN sont quelques choses dont j'aurais du mal à me passer car je me connecte quotidiennement "n'importe ou" (entreprise, collectivité locale, administration); Chez moi je passe par ma freebox, en dehors de chez moi par l'un de mes serveurs sur lequel j'ai plusieurs machines virtuelles dédié à des VPN, sur des IP failover étrangères ou françaises, il ne faut qu'une minute pour en cloner une avec une autre ip si besoin.

[yannich]

Comment font Face Book ou encore Tumbler pour faire passer leurs pubs, les bloqueurs ne fonctionnent absolument pas sur ces sites ?

Les bloqueurs de pubs, ça fonctionne en identifiant les pubs par deux moyens :
* les URL des fichiers servant à gérer les pubs,
* les identifiants et les classes CSS des éléments HTML affichant les pubs.

Un site qui utilise une régie externe n'a quasiment aucun moyen de bloquer les bloqueurs, parce qu'il va faire référence à des fichiers typiques des régies pubs. Mais pour un site comme Facebook qui a sa propre régie, c'est plutôt très simple :
* les fichiers servant à gérer les pubs peuvent être chargés depuis le même domaine que les autres fichiers, empêchant le filtrage par nom de domaine,
* les chemins des fichiers qui apparaissent dans la page peuvent être "virtuels" et aléatoires, empêchant le filtrage par nom de fichier,
* les identifiants et les classes CSS peuvent eux aussi être aléatoires, puisqu'on peut régénérer à la volée tous les scripts et fichiers CSS mentionnant des identifiants et classes.

Avec une analyse très poussée de la page, ça doit encore être possible de bloquer ces pubs, mais aucun bloqueur de pubs n'est assez évolué pour ça.

Merci pour l'explication , j'ai (presque ) tout compris .