Le gestionnaire de mots de passe 1Password n’était pas le seul concerné par ce certificat expiré qui oblige ses utilisateurs à mettre à jour manuellement l’app en cas de téléchargement direct. Deux autres applications ont souffert du même problème, comme le note MacRumors : la calculatrice textuelle Soulver et l’éditeur de PDF PDFPen.
Pour ces deux apps, le constat est le même. Le certificat développeur indispensable pour qu’une app s’ouvre sur macOS sans être bloquée par Gatekeeper a expiré la semaine dernière. La correction a été effectuée dans la foulée, mais une mise à jour manuelle est malheureusement nécessaire pour ouvrir l’application correspondante. Les versions précédentes seront bloquées par le système d’Apple.
Cela ne concerne que les utilisateurs qui ont téléchargé les apps sur le site de l’éditeur. Si vous êtes passés par le Mac App Store, vous n’aurez pas le problème, la sécurité étant alors différente (pour faire simple, c’est Apple qui gère les certificats). Mais pourquoi au moins trois éditeurs différents se sont faits avoir par un certificat expiré ?
TidBITS a contacté Smile Software, l’éditeur de PDFPen, pour en savoir plus. Pour qu’une app soit totalement bloquée au lancement comme c’était le cas pour ces trois exemples, il ne suffit pas d'un certificat qui a expiré. Il faut une condition supplémentaire, qui est que l’app peut accéder à iCloud.
Cet accès était réservé pendant longtemps aux apps du Mac App Store, mais Apple a ouvert cette option à tous les développeurs avec macOS Sierra. Pour en bénéficier, il y avait une condition supplémentaire toutefois, un certificat spécifique que le système vérifie en permanence pour éviter de corrompre iCloud. Les trois éditeurs évoqués ici ignoraient cette condition et ils ont laissé passer la date de fin de leur certificat sans penser que cela aurait de telles conséquences.
Pour simplifier les choses, Apple a apparemment fourni aux éditeurs concernés un certificat plus long. Les créateurs de 1Password ont ainsi jusqu’en 2022 avant de devoir renouveler l’autorisation. Auparavant, les certificats devaient être obligatoirement renouvelés tous les ans.
