Utilisation des fonctionnalités de sécurité réseau intégrées pour les appareils Apple
Les appareils Apple offrent des technologies de sécurité de réseau intégrées qui autorisent les utilisateurs et contribuent à protéger leurs données pendant la transmission de ces dernières. La sécurité réseau des appareils Apple prend en charge les éléments suivants :
Protocoles IPsec, IKEv2, L2TP intégrés
VPN personnalisé via les apps de l’App Store (iOS, iPadOS, visionOS)
Clients personnalisés VPN avec VPN tiers (macOS)
Sécurité de la couche transport (TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3) et DTLS
SSL/TLS avec des certificats X.509
Protocoles WPA/WPA2WPA3 Enterprise avec 802.1x
Authentification par certificats
Secret partagé et authentification Kerberos
RSA SecurID, CRYPTOCard (macOS)
Relais de réseau sous iOS, iPadOS, macOS et tvOS
Un relais intégré à iOS 17, iPadOS 17, macOS 14, et tvOS 17 ou toute version ultérieure peut être utilisé pour sécuriser le trafic au moyen d’une connexion chiffrée HTTP/3 ou HTTP/2 au lieu d’un VPN. Un relais réseau est un type particulier de serveur mandataire optimisé pour la performance, qui utilise les protocoles de transport et de sécurité les plus récents. Il peut servir à sécuriser le trafic TCP et UDP d’une app particulière, de la totalité d’un appareil et lors de l’accès de ressources internes. Il est possible d’utiliser plusieurs réseaux relais en parallèle, y compris le relais privé iCloud, sans qu’aucune app ne soit requise. Pour en savoir plus, consultez la rubrique Utilisation de relais réseau.
VPN et IPsec
De nombreux environnements d’entreprise intègrent une forme de réseau privé virtuel (VPN). Ces services VPN requièrent en règle générale des réglages et une configuration minimes pour pouvoir fonctionner avec des appareils Apple, lesquels prennent en charge l’intégration de nombreuses technologies VPN courantes.
iOS, iPadOS, macOS, tvOS, watchOS et visionOS prennent en charge les protocoles et méthodes d’authentification IPsec. Pour en savoir plus, consultez la rubrique Présentation des VPN.
TLS
Le protocole cryptographique SSL 3 et la suite d’algorithmes symétriques RC4 étaient obsolètes sous iOS 10 et macOS 10.12. Par défaut, les clients TLS ou les serveurs mis en œuvre avec les API de transport sécurisé n’activent pas les suites d’algorithmes symétriques RC4. Pour cette raison, ils sont incapables de se connecter lorsque RC4 est la seule suite d’algorithmes symétriques disponible. Pour être plus sécuritaires, les services ou les apps nécessitant RC4 devraient être mis à niveau pour activer les suites d’algorithmes.
Les améliorations de sécurité supplémentaires comprennent ce qui suit :
signature requise pour les connexions SMB (macOS);
prise en charge d’AES comme méthode de chiffrement pour Kerberized NFS (macOS 10.12 ou version ultérieure);
sécurité de la couche transport (TLS 1.2, TLS 1.3);
TLS 1.2 prend en charge AES 128 et SHA-2;
SSL 3 (iOS, iPadOS, visionOS)
DTLS (macOS).
Safari, Calendrier, Mail et d’autres apps Internet utilisent ces protocoles pour activer un canal de communication chiffrée entre iOS, iPadOS, macOS et visionOS et les services d’entreprise.
Vous pouvez aussi configurer le minimum et le maximum de la version TLS pour votre entité de réseau 802.1X avec EAP-TLS, EAP-TTLS, PEAP, et EAP-FAST. Par exemple, vous pouvez configurer :
les deux sur la même version TLS donnée;
la version TLS minimale à une valeur plus basse et la version TLS maximale à une valeur plus élevée, ce qui serait ensuite négocié avec le serveur RADIUS;
une valeur nulle, ce qui permettrait à l’appareil demandeur 802.1X de négocier la version TLS avec le serveur RADIUS.
iOS, iPadOS, macOS et visionOS exigent que le certificat feuille du serveur soit signé à l’aide d’un algorithme de signature faisant partie de la famille SHA-2 et utilise une clé RSA d’un minimum de 2048 bits, ou une clé ECC d’un minimum de 256 bits.
iOS 11, iPadOS 13.1, macOS 10.13, et visionOS 1.1, ou les versions ultérieures, prennent en charge le protocole TLS 1.2 pour l’authentification 802.1X. Les serveurs d’authentification qui prennent en charge le protocole TLS 1.2 peuvent nécessiter les mises à jour suivantes pour être compatibles :
Cisco : ISE 2.3.0
FreeRADIUS : Mettez-le à jour vers la version 2.2.10 ou 3.0.16.
Aruba ClearPass : Mettez-le à jour vers la version 6.6.x.
ArubaOS : Mettez-le à jour vers la version 6.5.3.4.
Microsoft : Windows Server 2012 - Serveur de stratégie réseau.
Microsoft : Windows Server 2016 - Serveur de stratégie réseau.
Pour en savoir plus sur 802.1X, consultez la rubrique Connexion d’appareils Apple aux réseaux 802.1X.
WPA2/WPA3
Toutes les plateformes Apple prennent en charge les protocoles d’authentification Wi‑Fi et de chiffrement conformes aux normes de l’industrie afin d’offrir un accès authentifié et confidentiel lors de la connexion aux réseaux sans fil sécurisés suivants :
WPA2 Personnel
WPA2 Entreprise
WPA2/WPA3 Transitionnel
WPA3 Personnel
WPA3 Entreprise
WPA3 Entreprise à sécurité 192 bits
Pour afficher une liste des protocoles d’authentification sans fil 802.1X, consultez Configurations 802.1X pour Mac.
Chiffrement FaceTime et iMessage
iOS, iPadOS, macOS et visionOS créent un identifiant unique pour chaque utilisateur FaceTime et iMessage, ce qui permet de garantir que les communications soient correctement chiffrées, acheminées et connectées.