Utiliser des fonctionnalités de sécurité réseau intégrées pour les appareils Apple
Les appareils Apple présentent des technologies de sécurité réseau intégrées qui autorisent les utilisateurs et protègent leurs données pendant la transmission. La prise en charge de la sécurité réseau pour les appareils Apple comprend :
Protocoles IPsec, IKEv2 et L2TP intégrés
VPN personnalisé via les apps de l’App Store (iOS, iPadOS, visionOS)
VPN personnalisé via les clients VPN tiers (macOS)
Protocoles Transport Layer Security (TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3) et DTLS
SSL/TLS avec des certificats X.509
Protocoles WPA/WPA2/WPA3 Enterprise avec 802.1X
Authentification par certificat
Authentification Kerberos et authentification par secret partagé
RSA SecurID, CRYPTOCard (macOS)
Relais réseau dans iOS, iPadOS, macOS et tvOS
Un relais intégré à iOS 17, iPadOS 17, macOS 14 et tvOS 17, ainsi qu’aux versions ultérieures, peut servir à sécuriser le trafic par le biais d’une connexion HTTP/3 ou HTTP/2, sans avoir à utiliser un VPN. Un relais réseau est un type particulier de proxy optimisé pour la performance et qui utilise les derniers protocoles de transport et de sécurité. Il peut être utilisé pour sécuriser le trafic TCP et UDP d’une app en particulier, d’un appareil entier et lors d’accès à des ressources internes. Plusieurs relais réseau peuvent être utilisés en parallèle, notamment le relais privé iCloud, sans qu’une app soit requise. Pour en savoir plus, consultez la rubrique Utiliser des relais réseau.
VPN et IPsec
De nombreux environnements d’entreprise possèdent une forme de réseau privé virtuel (VPN). Ces services VPN requièrent en règle générale des réglages et une configuration minimes pour pouvoir fonctionner avec des appareils Apple, lesquels prennent en charge l’intégration de nombreuses technologies VPN courantes.
iOS, iPadOS, macOS, tvOS, watchOS et visionOS prennent en charge les méthodes d’authentification et les protocoles IPsec. Pour en savoir plus, consultez la rubrique Vue d’ensemble des VPN.
TLS
Le protocole cryptographique SSL 3 et la suite de chiffrement symétrique RC4 sont devenus obsolètes sous iOS 10 et macOS 10.12. Par défaut, les clients ou serveurs TLS utilisant les API Secure Transport n’ont pas de suite de chiffrement RC4 activée. Par conséquent, ils ne sont pas capables de se connecter lorsque RC4 est la seule suite de chiffrement disponible. Pour plus de sécurité, les services ou les apps nécessitant RC4 doivent être mis à niveau pour activer les suites de chiffrement.
Les améliorations supplémentaires en matière de sécurité comprennent :
Signature requise pour les connexions SMB (macOS)
Sous macOS 10.12 ou ultérieur, prise en charge du chiffrement AES comme méthode de chiffrement pour les NFS kerbérisés (macOS)
Protocoles Transport Layer Security (TLS v1.2, TLS 1.3)
TLS 1.2 prend en charge les chiffrements AES 128 et SHA-2.
SSL 3 (iOS, iPadOS, visionOS)
DTLS (macOS)
Safari, Calendrier, Mail et d’autres apps Internet utilisent ces protocoles pour activer un canal de communication chiffré entre les appareils iOS, iPadOS, macOS et visionOS et les services d’entreprise.
Vous pouvez également définir votre version TLS minimale et maximale pour vos données utiles de réseau 802.1X avec EAP-TLS, EAP-TTLS, PEAP et EAP-FAST. Vous pouvez, par exemple, définir :
Les deux sur la même version TLS spécifique
Une valeur inférieure pour la version TLS minimale et une valeur supérieure pour la version TLS maximale, qui seraient ensuite négociées avec le serveur RADIUS
Une valeur nulle, ce qui autoriserait le demandeur 802.1X à négocier la version TLS avec le serveur RADIUS
iOS, iPadOS, macOS et visionOS requièrent la signature du certificat nœud terminal du serveur à l’aide des algorithmes de signature de la famille SHA-2 et doivent utiliser une clé RSA d’au moins 2 048 octets ou une clé ECC d’au moins 256 octets.
iOS 11, iPadOS 13.1, macOS 10.13 et visionOS 1.1 ou ultérieur prennent en charge TLS 1.2 pour l’authentification 802.1X. Les serveurs d’authentification prenant en charge TLS 1.2 peuvent nécessiter les mises à jour de compatibilité suivantes :
Cisco : ISE 2.3.0
FreeRADIUS : Mettre à jour vers la version 2.2.10 et 3.0.16.
Aruba ClearPass : Mettre à jour vers la version 6.6.x.
ArubaOS : Mettre à jour vers la version 6.5.3.4.
Microsoft : Windows Server 2012 - Serveur de stratégie réseau.
Microsoft : Windows Server 2016 - Serveur de stratégie réseau.
Pour en savoir plus sur le protocole 802.1X, consultez la rubrique Connecter des appareils Apple à des réseaux 802.1X.
WPA2/WPA3
Toutes les plateformes Apple prennent en charge l’authentification Wi-Fi et les protocoles de chiffrement standards, afin de proposer un accès authentifié et d’assurer de la confidentialité lors de la connexion aux réseaux sans fil sécurisés suivants :
WPA2 Personnel
WPA2 Entreprise
WPA2/WPA3 Transitionnel
WPA3 Personnel
WPA3 Entreprise
WPA3 Entreprise sécurité 192 bits
Pour afficher une liste de protocoles d’authentification sans fil 802.1X, consultez la rubrique Configurations 802.1X pour Mac.
Chiffrement FaceTime et iMessage
iOS, iPadOS, macOS et visionOS créent un identifiant unique pour chaque utilisateur de FaceTime et d’iMessage, veillant ainsi à ce que les communications soient correctement chiffrées, acheminées et connectées.