En annonçant la généralisation de sa couche de sécurité ATS - App Transport Security - pour l'ensemble des applications mobiles poussées sur sa boutique en ligne lors de son dernier événement WWDC 2016, Apple pensait sans doute tenir entre ses mains le Saint Graal de la sécurité mobile. Sans remettre en cause son intérêt, la firme à la pomme a cependant été contrainte de mettre de l'eau dans son vin. La société a en effet été contrainte de décaler, à une date indéterminée, l'obligation pour les développeurs d'activer la brique de sécurité et de chiffrement ATS dans leurs apps. « Afin de vous donner un temps supplémentaire pour vous préparer, la date limite a été étendue et nous publierons une prochaine mise à jour lorsqu'une nouvelle date limite sera confirmée », a indiqué Apple sur son forum développeurs.
A l'origine, la fonctionnalité ATS pour les apps tierces proposées sur l'Apple Store devait être activée au 1er janvier 2017. ATS constitue une couche de sécurité essentielle des applications mobiles au niveau de la sécurité réseau, incluant HTTPS, TLS, PFS ainsi que Certificate Transparency. Or, d'après la société de conseil et de services en sécurité Appthority, il apparaît que très peu de développeurs ont activé cette fonction. Les chercheurs d'Appthority ont trouvé que seulement 5% des apps pro utilisent ATS intégralement, indique la société dans un rapport. « Par ailleurs, plus de la moitié des apps (55%) permettent l'utilisation d'HTTP au lieu de recourir à HTTPS. »
Pour son étude, Appthority s'est basé sur les 200 principales apps iOS pour entreprises installées sur des terminaux professionnels dans le monde.