À peine lancé, Apple News+ est déjà ridiculisé pour ses failles de sécurité

La plateforme de presse d'Apple permet à tout le monde de télécharger les titres qu'elle héberge en PDF, même sans souscription.

Lundi 25 mars, Apple a dévoilé Apple News+, son "Netflix de la presse". Pour 9,99 dollars par mois, les utilisateurs américains de cette version dopée d’Apple News peuvent profiter de plus de 300 magazines (et pas n’importe lesquels : Time, National Geographic, New Yorker, Sports Illustrated, etc.) et quelques quotidiens triés sur le volet, comme Wall Street Journal ou LA Times.

Au-delà de la quantité de titres, News+ appâte le chaland avec la promesse de couvertures animées, d’articles interactifs et d’une mise en page typographique et photographique qui tirera parti de la brillance des célèbres écrans Retina de la marque. Comme Apple Music, News+ vous octroie des algorithmes de recommandations qui se chargent de vous proposer une newsletter sur-mesure, tout en vous montrant ce que les autres utilisateurs lisent.

Publicité

Bref, Apple veut devenir votre kiosque à journaux, et c’était le secret le moins bien gardé de 2018 après le rachat par la pomme de la start-up Texture, qui proposait la lecture en ligne de 200 titres de presse via une souscription. Sauf que, tout à son empressement, Apple a semble-t-il négligé quelques procédures de base pour sécuriser l’accès au contenu de News+. Au point, comme le relevait Numerama dans un article du 25 mars, de permettre à quiconque de télécharger les magazines à sa guise moyennant deux trois manipulations.

Open bar sur les magazines PDF

Premier à révéler sur Twitter cette faille zero-day (qui n’en est pas vraiment une, tant elle est béante), le développeur Steve Troughton-Smith, lundi 25 mars. Dans un premier post, il remarque tout d’abord que News+ n’utilise pas FairPlay, le gestionnaire de droits numériques (digital rights management, ou DRM) pourtant développé par Apple pour protéger les titres musicaux sous copyrights de la bibliothèque iTunes.

Sur iTunes, FairPlay transforme la piste MP4 originale en une piste audio AAC chiffrée, ce qui vous empêche de ripper un titre pendant que vous le jouez sur votre machine pour vous l’approprier, comme avec YouTube. News+ n’a pas implémenté ce chiffrement.

Publicité

Résultat : lorsque vous vous rendez sur News+ sans souscription, la plateforme affiche les premières pages du magazine, au format PDF, que rien ne vous empêche de ripper. Si vous souscrivez au service, vous pouvez généreusement copier tout le magazine pour le distribuer ensuite, explique Troughton-Smith. Première erreur.

Et ça ne s’arrête pas là : dans un second tweet, le développeur explore de nouvelles profondeurs dans la faille de sécurité de News+ en révélant que lorsqu’un utilisateur prévisualise un magazine sans souscrire au service, celui-ci télécharge un index sur sa machine qui liste les adresses de toutes les pages… hébergées sans aucune protection, sur des adresses publiques.

Selon lui, il est ensuite possible de créer un outil qui télécharge les pages une par une au format PDF. Et hop, un catalogue de 300 magazines, généreusement offert par Apple. Autant dire que les magazines de ce mois-ci sont déjà tous probablement en téléchargement (illégal) sur les annuaires de torrent. Au lendemain du lancement du service, l’information fait tâche.

Publicité

Tiens, News+ ne répond plus

Et si l’équipe de sécurité de News+ croyait la tempête passée, elle se trompait : le lendemain, Steve Troughton-Smith remet ça. Cette fois-ci, le développeur révèle qu’un simple "ajustement" effectué dans l’application mobile News+ débloque le mode de souscription AppleInternal, qui "permet un accès gratuit à tout". "Quelqu’un devrait avoir une réunion avec l’équipe News", suggère-t-il, non sans rouerie.

Quelqu’un l’a peut-être fait, puisque le mardi 26 mars, la plateforme News+ est mystérieusement inaccessible. Lorsqu’on sait que le 25 mars, le rédacteur en chef de MacStories, Federico Vettucci, révélait que 126 magazines sur les 251 du catalogue actuel utilisent le format PDF (les autres utilisant l’Apple News Format, ou ANF) et sont donc ouverts à tout téléchargement illégal, un crash de la plateforme tombe au meilleur moment pour les équipes de News+, qui pourront ainsi tranquillement corriger la faille avant de se faire joyeusement piller.

Un faux départ, de belles promesses

Pour résumer, News+ a foiré son lancement, et dans les grandes largeurs. Car outre ces failles de sécurité béantes pour le contenu (et, qui sait, pour les données de ses utilisateurs), d’autres critiques se sont élevées vis-à-vis du service.

Publicité

Le format PDF, explique Troughton-Smith, ne semble pas optimisé pour iPhone, et doit donc être zoomé manuellement ; le format ANF, lui, s’adapte bien au mobile, mais le design est bien plus aride que le PDF. Vous avez donc actuellement le choix entre des beaux PDF mal adaptés à votre écran, ou des pages moches à la bonne taille. Pour 9,99 dollars mensuels, c’est léger, surtout quand on se souvient qu’Apple souhaitait garder 50 % des recettes.

Ne nous inquiétons pas pour autant sur les capacités d’Apple à transformer News+ en un succès commercial après ce démarrage raté : les entreprises de presse ont désespérément besoin de ce genre de projet pour diversifier leurs recettes (même si, admettons-le, 10 dollars pour 300 titres, ce n’est pas folichon).

Apple compterait 40 millions d’abonnés à Apple Music, et l’entreprise compte bien multiplier les investissements pour s’approprier tous les marchés, y compris celui de la vidéo – Netflix, Amazon et les autres sont prévenus. La prochaine fois, il faudra faire un peu plus attention à la protection des contenus hébergés.

Par Thibault Prévost, publié le 27/03/2019

Pour vous :