Si vous utilisez un iPhone au travail pour recevoir vos courriels depuis un serveur Microsoft Exchange et que vous avez installé la mise à jour 10.2 d’iOS, il se peut que la synchronisation avec vos courriels, votre calendrier et vos contacts soit en erreur depuis ce temps. Voici la solution qui a permis de résoudre ce problème dans mon entreprise.
Le tout a commencé au début du mois de décembre dernier lorsqu’Apple a poussé la mise à jour 10.2 d’iOS sur l’iPhone de mes collègues (je suis à peu près le seul à utiliser Android !). C’est alors que j’ai commencé à recevoir des demandes d’aide parce que les courriels de nos boîtes Microsoft Exchange ne se synchronisaient plus sur les appareils d’Apple.
En tentant d’actualiser l’application Mail, iOS affichait un message « Impossible de relever le courrier ». De même, lors de la création d’un nouveau compte Exchange dans les réglages de l’iPhone, iOS indiquait qu’il ne pouvait pas contacter le serveur Exchange ou relever les données sur celui-ci. Ces messages s’affichaient alors que l’appareil était bien connecté à Internet par Wi-Fi.
Après avoir attendu qu’Apple corrige le problème (ce qui n’est jamais arrivé même dans la dernière « beta » iOS 10.3), j’ai commencé à faire des recherches sur Internet pour trouver moi-même une solution. Je l’ai trouvée…
Lors de mes recherches, j’ai découvert qu’Apple bloque maintenant, et ce depuis iOS 10.2, la synchronisation de ses appareils avec les serveurs Exchange qui utilisent un certificat de sécurité « StartSSL » émis par l’autorité de certification WoSign (StartCom). Après vérification sur le serveur Exchange de mon entreprise, le certificat installé était bien StartSSL.
La solution est simple…
Si vous avez le même problème auquel a été confrontée mon entreprise, il suffit de remplacer le certificat de sécurité StartSSL du serveur Exchange par un certificat décerné par une autorité de certification acceptée par Apple comme Comodo ou GlobalSign. Vous en trouverez la liste ici : https://support.apple.com/fr-ca/HT207177.
Je m’abstiendrai ici de détails trop techniques et de procédures sur la façon de remplacer le certificat SSL du serveur de votre entreprise. Si vous n’êtes pas un professionnel en infrastructure informatique et en réseautique, faites appel à une personne qualifiée pour cette tâche.
Pourquoi Apple a-t-elle bloqué les certificats StartSSL ?
C’est la question que je me suis posée à la suite de cette mésaventure technique. Après avoir effectué d’autres recherches, j’ai trouvé une partie de la réponse.
D’abord, il faut savoir que les certificats SSL permettent de sécuriser l’échange de données entre un client (par exemple votre ordinateur) et une infrastructure informatique (serveur). J’ai expliqué et vulgarisé le tout dans un article publié sur mon blogue en avril 2016 lorsque ce dernier est passé au « HTTPS ».
Un certificat SSL est délivré par une autorité de certification qui doit être digne de confiance. Celle-ci doit répondre à certaines exigences en matière de sécurité. Si des problèmes sont détectés, par exemple, dans les processus de validation des certificats émis, l’autorité de certification peut faire face à des investigations et des enquêtes.
C’est ce qui est arrivé avec l’autorité de certification StartCom rachetée secrètement par WoSign (Chine) en août 2016. Après le rachat, quelques incidents sont survenus et ont incité Mozilla (Firefox) à mener une enquête conjointe avec Google (Chrome). À la suite des investigations, Mozilla a conclu qu’il était nécessaire de bannir les certificats délivrés par WoSign ou StartCom.
Mozilla a donc décidé de ne plus faire confiance aux deux autorités de certification à partir du 21 octobre 2016, et ce, pour une période d’un an (communiqué officiel en anglais). Les utilisateurs de Firefox depuis la version 51 sont avertis du risque potentiel lorsqu’ils visitent un site Web sécurisé par un certificat émis par WoSign / StartCom. Google fait la même chose avec son navigateur Chrome depuis la version 56 (communiqué officiel en anglais).
Pour sa part, Apple a poussé plus loin la mesure de sécurité. En plus de l’avertissement affiché sur son navigateur Safari, la firme bloque la synchronisation de ses appareils sous iOS 10.2 avec les serveurs de courriels utilisant un certificat StartSSL (WoSign / StartCom).
Si la décision de Mozilla est prévue pour se maintenir durant une période d’un an, celle de Google et d’Apple est d’une durée indéterminée.
Discussion
5 commentaires
Sur « Solution au problème de synchronisation avec Microsoft Exchange depuis la mise à jour iOS 10.2 »
Écrire un commentaire
@Alexis Énorme merci depuis le temps que je cherche pourquoi mon compte ne fonctionne plus.
En faite, il faut surtout installer un certificat valide émis par une AC autorisée par iOS. Celui-ci est le moins cher : https://www.wistee.fr/certificat-ssl/microsoft-exchange/autodiscover.html
@Chris merci beaucoup pour l’information complémentaire et très pertinente !
Depuis iOS 8, il faut installer votre certificat de l’autorité de certification Windows ou votre certificat auto-signé sur votre smartphone ou tablette Apple. Pour cela, il suffit de mettre le certificat sur votre OneDrive ou autre et de le partager, tapez le lien ou envoyer le sur une autre mail fonctionnelle (ex: gmail) sur votre smartphone ou tablette Apple. Puis, installez-le.
Depuis iOS 10.2, il faut également autorisé votre certificat de l’autorité de certification Windows ou votre certificat auto-signé sur votre smartphone ou tablette Apple. Pour cela, vous allez dans Réglages > Général > Informations > Réglages des certificats > Activer la confiance totale pour les certificats racine > Continuer.
Pour ceux qui ont la chance d’avoir Microsoft Intunes, vous pouvez faire ça automatiquement sur toute votre flotte sans passer sur chaque smartphone.
En aucun cas, vous êtes obliger d’acheter une certificat chez Starfieldtech ou autre à 120$ par an pour un certificat UCC/SANs mais c’est plus simple.
@Alexis merci beaucoup pour ces précisions.