Sécurité des produits iOS : certifications, validations et recommandations

Cet article contient des références à diverses ressources liées aux certifications de produits, aux validations cryptographiques et aux recommandations en matière de sécurité pour les plateformes iOS. Contactez-nous à l’adresse security-certifications@apple.com si vous avez des questions.

Validations de modules cryptographiques

Tous les certificats d’Apple de validation de conformité avec la norme FIPS 140-2 se trouvent sur la page des fournisseurs adhérant au programme CMVP. Apple participe activement à la validation du module CoreCrypto et du module noyau CoreCrypto pour chaque version majeure d’iOS. La validation ne peut être effectuée que par rapport à une version de module définitive et soumise officiellement lors de la sortie officielle du système d’exploitation. CMVP conserve désormais l’état de la validation des modules cryptographiques sur deux listes distinctes en fonction de leur état actuel. Les modules sont d’abord inscrits sur la liste des mises en œuvre à l’essai avant d’être inscrits sur la liste des modules en cours de traitement.

Versions antérieures

Les versions antérieures d’iOS ci-dessous disposaient de la validation des modules cryptographiques et sont à présent archivées :

  • iOS 10
  • iOS 9
  • iOS 8
  • iOS 7

Guides de configuration relatifs à la sécurité

Les organisations chargées de garantir la sécurité diffusent des instructions précises et approuvées, relatives à la configuration de diverses plateformes, conformément aux normes d’utilisation. Les guides de configuration relatifs à la sécurité fournissent un aperçu des fonctionnalités de macOS et d’iOS permettant de renforcer le niveau de protection de votre appareil. Les gouvernements du monde entier ont collaboré avec Apple à l’élaboration de guides d’instructions et de recommandations visant à maintenir ou à accroître le niveau de sécurité d’un environnement. 

Pour utiliser ces guides, vous devez être un utilisateur expérimenté ou un administrateur système, connaître l’interface utilisateur et maîtriser les outils de gestion relatifs à la plateforme en question. Il est également recommandé de maîtriser les concepts de base de la gestion de réseau. Certaines instructions fournies dans ces guides sont complexes et doivent être suivies attentivement afin d’éviter des effets indésirables ou la réduction du niveau de protection. En cas de modification apportée aux réglages de votre appareil, effectuez minutieusement les tests nécessaires avant le déploiement.

Pour en savoir plus, consultez le Guide de sécurité d’iOS (PDF).

Certifications de sécurité

Liste des certifications obtenues par Apple, actives et reconnues.

Certifications ISO 27001 et ISO 27018

Apple a reçu les certifications ISO 27001 et ISO 27018 pour la mise en place d’un système de gestion de la sécurité de l’information (ISMS) pour l’infrastructure, le développement et les opérations prenant en charge les produits et les services suivants : Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, les identifiants Apple gérés, Siri et Pour l’école, conformément à la version 2.2 de la déclaration d’applicabilité, datée du 11 mai 2018. La British Standards Institution (BSI) a certifié la conformité d’Apple aux normes ISO. Le site Web de la BSI dispose de certificats de conformité pour ISO 27001 et ISO 27018.

Certification selon les critères communs

Les critères communs sont un ensemble de normes de sécurité approuvées au niveau international, permettant de fournir une évaluation transparente et fiable des fonctionnalités de sécurité des produits de technologie de l’information. En attestant en toute impartialité de la capacité d’un produit à satisfaire aux normes de sécurité, la certification selon les critères communs procure aux clients une confiance accrue dans les produits de technologie de l’information et permet ainsi la prise de décisions plus éclairées.

Grâce à un accord de reconnaissance des critères communs (CCRA), les pays et régions membres se sont entendus pour qualifier de manière identique le niveau de confiance de tels produits. Le nombre de membres continue de croître chaque année. De même, l’éventail des profils de protection s’élargit, de manière à englober les technologies émergentes. Grâce à cet accord, les développeurs de produits n’ont besoin d’obtenir qu’une seule certification auprès de l’une des autorités compétentes.

Les profils de protection (PP) précédents ont été archivés et sont désormais remplacés par des profils de protection ciblés et axés sur des solutions et des environnements spécifiques. Afin de garantir une reconnaissance mutuelle continue entre tous les pays signataires de l’accord, la communauté technique internationale (iTC) est chargée du développement des profils de protection futurs et des mises à jour vers les profils de protection collaboratifs (cPP), mis au point dès le départ par de nombreuses autorités de certification.

Depuis début 2015, dans le cadre de cette restructuration des critères communs, Apple a pris part à un processus de certification pour des profils de protection ciblés. Les certifications obtenues par Apple, actives et reconnues, sont répertoriées ci-dessous. 

iOS 12

 

Profil de protection

VID

Achèvement

Appareil mobile

PP_MD_v3.1

10937

03/2019

Agent MDM

EP_MDM_Agent_v3.0

10937

03/2019

Agent WLAN

PP_WLAN_CLI_EP_v1.0

10937

03/2019

Client VPN

MOD_VPN_CLI_V2.1

10937

03/2019

Logiciel d’application (Contacts)

PP_APP_v1.2

10961

02/2019

Navigateur (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10960

ETA : 06/2019

En cours d’évaluationk

iOS 11

 

Profil de protection

VID

Achèvement

Appareil mobile

PP_MD_v3.1

10851

30/03/2018

Agent MDM

EP_MDM_Agent_v3.0

10851

30/03/2018

Agent WLAN

PP_WLAN_CLI_EP_v1.0

10851

30/03/2018

Client VPN

PP_VPN_IPSEC_CLIENT_V1.4

10876

10/05/2018

Logiciel d’application (Contacts)

PP_APP_v1.2

10915

13/09/2018

Navigateur (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

09/11/2018

Versions antérieures

Versions antérieures d’iOS certifiées et désormais archivées :

  • iOS 10
  • iOS 9

En règle générale, d’importantes mises à jour sont apportées aux profils de protection tous les 12 à 18 mois par la communauté s’occupant des critères communs dans le but d’ajouter ou de modifier des exigences fonctionnelles de sécurité (SFR).

Vous trouverez une liste complète des profils de protection (PP) et des profils de protection collaboratifs (cPP) ainsi que leur date de validité sur le portail dédié aux critères communs. Vous pouvez également vous rendre sur le site de l’autorité de votre choix, comme le site du National Information Assurance Partnership (NIAP) aux États-Unis.

Approbation pour une utilisation au sein des organismes publics

Informations provenant de pays et de régions spécifiques ayant approuvé des appareils en vue d’une utilisation au sein des organismes publics.

Gouvernement australien

Comme résumé sur la page de la liste des produits évalués (EPL) :

L’Australian Signals Directorate (ASD) conserve la liste EPL des produits de sécurité ICT évalués par elle-même pour une utilisation au sein des organismes publics d’Australie et de Nouvelle-Zélande.

  • Les produits figurant sur la liste EPL sont certifiés pour des usages spécifiques.
  • Les produits figurant sur la liste EPL peuvent être utilisés afin de créer des systèmes et des réseaux sécurisés tels que décrits dans le manuel de sécurité des informations (ISM) du gouvernement australien.
  • Les produits sont certifiés conformes aux critères communs (CC) ISO 15408 reconnus au niveau international. Le portail des CC répertorie d’autres produits disposant d’une certification mutuellement reconnue et pouvant également être utilisés.
  • L’Australasian Certification Authority, le bureau de certification de l’ASD, supervise le programme australien d’évaluation de la sécurité des informations (AISEP), qui gère les tests de produits réalisés par des organismes commerciaux d’évaluation agréés.
  • La liste EPL répertorie également les évaluations cryptographiques de l’ASD.

Produit : iOS 9
Type de produit : produits mobiles
État du produit : achevé
Niveau d’assurance : évalué par l’ASD
Version : 9.3.5 ou ultérieure
Guide de configuration relatif à la sécurité

Gouvernement britannique

Comme résumé sur la page du centre national de cybersécurité du Royaume-Uni (NCSC) Commercial Product Assurance - products at foundation grade :

Le CPA évalue les produits commercialisés et leurs développeurs par rapport aux normes de sécurité et de développement publiées. Un produit de sécurité qui passe cette évaluation avec succès se voit attribuer la certification Foundation Grade. Cela signifie qu’il a été démontré que le produit est le fruit de bonnes pratiques en matière de sécurité commerciale et qu’il est adapté aux environnements présentant un risque de menace faible.

  • La certification CPA est valide pendant deux ans. Elle autorise la mise à jour des produits pendant la durée de validité de la certification lorsque des vulnérabilités sont détectées. 
  • La certification CPA est acceptée par le catalogue de l’OTAN et est reconnue comme l’une des évaluations requises pour faire partie du catalogue de l’UE.
  • Pour en savoir plus sur Foundation Grade, consultez cette page du site du NCSC.

Gouvernement allemand

Comme indiqué sur la page Communication mobile :

Aperçu

Les téléphones intelligents et les tablettes offrent de nombreux avantages, dans la vie professionnelle comme dans la vie privée, et nous accompagnent désormais dans tous les moments de la vie. Toutefois, en matière de traitement des informations sensibles, l’utilisation des technologies informatiques et de communication mobiles s’effectue souvent au détriment de la sécurité.

Les solutions de communication mobile sécurisées destinées à une utilisation au sein de l’administration fédérale doivent toujours avoir pour objectif de répondre aux exigences du travail mobile moderne ainsi qu’aux exigences de sécurité élevées requises pour le traitement des données sensibles.

Afin d’assurer la sécurité de l’approvisionnement au sein de l’administration fédérale, il est également important d’identifier plusieurs fournisseurs. Des informations détaillées figurent dans la brochure « Secure mobile work: problem definition, technical requirements and solutions based on the requirements for mobile devices in the federal administration » (« Travail mobile sécurisé : définition du problème, exigences techniques et solutions basées sur les exigences en matière d’appareils mobiles pour l’administration fédérale »).

SecurePIM Government SDS

Système d’exploitation : iOS

Approbation jusqu’au niveau VS-NfD

Fabricant : Virtual Solution AG

Appareils iOS les plus récents (iPhone, iPad à partir de la version 12 d’iOS)

Gouvernement des États-Unis

Comme indiqué sur la page des Solutions commerciales pour données confidentielles (CSfC) :

Les clients du gouvernement américain exigent de plus en plus l’intégration immédiate des technologies matérielles et logicielles les plus modernes au sein des systèmes de sécurité nationale (NSS) afin d’atteindre les objectifs de mission. C’est pourquoi l’Information Assurance Directorate (IAD, service chargé de la sécurité des systèmes d’information) de la National Security Agency (NSA) et du Central Security Service (CSS) développe de nouvelles méthodes pour tirer profit des technologies émergentes et ainsi fournir des solutions de sécurité plus rapidement afin de satisfaire aux exigences des clients, qui évoluent constamment.

Le programme Commercial Solutions for Classified (CSfC) de la NSA et du CSS a été créé afin de permettre l’utilisation de produits commerciaux dans des solutions multicouches de protection des données confidentielles des NSS. Ainsi, seuls quelques mois (et non plusieurs années) sont désormais nécessaires au développement de solutions commerciales de communication sécurisée.

Un nombre croissant d’environnements de données confidentielles ont émis le souhait de déployer des solutions Apple, mais n’ont pas osé franchir le pas pour des raisons de certification de produits. Dans le cadre de l’obtention de certifications selon les critères communs pour les profils de protection mentionnés précédemment, les produits Apple ont été répertoriés dans la liste des composants CSfC.

Chaque fois qu’un nouveau processus de certification d’un produit Apple selon les critères commun est entamé pour un profil de protection spécifique, les composants Apple correspondants sont soumis pour validation afin de figurer sur la liste CSfC, puis ajoutés ci-dessous.

Liste des composants CSfC

Les produits Apple suivants peuvent être utilisés dans une solution CSfC :

Ajouter des produits Apple à votre liste de produits

Un nombre croissant d’environnements gouvernementaux ont demandé à ce que les produits Apple soient approuvés par les programmes de leur pays, équivalents aux programmes CPA, EPL et CSfC. Si vous êtes un représentant habilité de l’un de ces programmes et que vous souhaitez intégrer les produits Apple à votre propre liste de produits, contactez-nous à l’adresse security-certifications@apple.com.

Certification de systèmes d’exploitation

En savoir plus sur la sécurité des produits, sur les validations et sur les recommandations relatives aux systèmes suivants :

Les renseignements sur les produits qui ne sont pas fabriqués par Apple ou sur les sites Web indépendants qui ne sont pas gérés ou vérifiés par Apple sont fournis sans recommandation ni approbation de la part d’Apple. Apple se dégage de toute responsabilité quant à la sélection, au bon fonctionnement ou à l’utilisation de sites Web ou de produits de tiers. Apple ne fait aucune déclaration et n’offre aucune garantie quant à l’exactitude ou à la fiabilité de ces sites Web de tiers. Communiquez avec le vendeur pour de plus amples renseignements.

Date de publication: