Préparer votre environnement réseau pour des exigences de sécurité plus strictes
Les systèmes d’exploitation Apple exigeront un niveau de sécurité réseau plus strict pour les processus système. Vérifiez si vos connexions serveur sont conformes aux nouvelles exigences.
Cet article s’adresse aux personnes responsables de l’administration informatique ou du développement de services de gestion des appareils.
Dès les prochaines versions logicielles majeures, les systèmes d’exploitation Apple (iOS, iPadOS, macOS, watchOS, tvOS et visionOS) pourront refuser les connexions aux serveurs dont les configurations TLS sont obsolètes ou non conformes, en raison de l’application d’exigences de sécurité réseau supplémentaires.
Vous devez évaluer votre environnement afin d’identifier les serveurs qui ne respectent pas ces critères. La mise à jour de la configuration des serveurs afin de répondre à ces exigences peut nécessiter beaucoup de temps, en particulier pour les serveurs gérés par des prestataires externes.
Connexions concernées et exigences de configuration
Les nouvelles exigences s’appliquent aux connexions réseau directement impliquées dans les processus suivants :
Gestion des appareils mobiles (MDM)
Gestion déclarative des appareils (DDM)
Inscription automatisée des appareils
Installation de profils de configuration
Installation d’apps, y compris la distribution d’apps d’entreprise
Mises à jour logicielles
Exceptions : les connexions réseau à un serveur SCEP (pour l’installation d’un profil de configuration ou la résolution d’une ressource DDM) ainsi qu’aux serveurs de mise en cache de contenu (y compris lors de la demande de ressources relatives à l’installation d’apps ou aux mises à jour logicielles) ne sont pas concernées.
Exigences : les serveurs doivent prendre en charge le protocole TLS 1.2 ou version ultérieure, utiliser des suites de chiffrement conformes à la fonctionnalité ATS (App Transport Security) et présenter des certificats valides répondant aux standards ATS. Pour vous informer sur l’ensemble des exigences de sécurité réseau, consultez la documentation destinée aux développeurs et développeuses :
Évaluer votre environnement pour identifier les connexions non conformes
Utilisez des appareils de test pour identifier les connexions serveur de votre environnement qui ne répondent pas aux nouvelles exigences relatives au protocole TLS.
Planifier la portée du test
Les diverses configurations d’appareils peuvent se connecter à différents serveurs. Pour vous assurer que la portée de votre évaluation est exhaustive, testez toutes les configurations qui s’appliquent à votre environnement.
Environnement : production, préproduction, test
Type d’appareil : iPhone, iPad, Mac, Apple Watch, Apple TV, Apple Vision Pro
Rôle : groupe d’utilisateurs (vente, ingénierie, comptabilité), appareil en mode kiosque, appareil partagé
Type d’inscription : inscription automatisée des appareils, inscription basée sur un compte, inscription d’appareil basée sur un profil, iPad partagé
Répétez les étapes d’évaluation suivantes pour chaque configuration qui se connecte à des serveurs différents.
Installer le profil de journalisation Network Diagnostics
Téléchargez et installez le profil de journalisation Network Diagnostics sur un appareil de test représentatif doté d’iOS 26.4, d’iPadOS 26.4, de macOS 26.4, de watchOS 26.4, de tvOS 26.4 ou de visionOS 26.4 ou d’une version ultérieure, afin d’activer la création d’historiques. Une fois le profil installé, redémarrez l’appareil de test.
Pour vous assurer que les évènements enregistrés dans l’historique contiennent les détails nécessaires à l’identification des connexions non conformes, ce profil doit être installé avant d’effectuer le test. Si vous souhaitez tester l’inscription automatisée des appareils sur un iPhone ou un iPad, installez le profil à l’aide d’Apple Configurator pour Mac avant que l’appareil accède à l’écran Gestion de l’appareil de l’Assistant réglages.
Exécuter vos workflows habituels
Utilisez l’appareil de test comme vous le feriez habituellement au sein de votre environnement. Inscrivez-le à la gestion des appareils, installez des apps et des profils, et exécutez tout autre workflow impliquant une connexion aux serveurs de votre organisation.
L’objectif est de générer du trafic sur le réseau à destination de tous les serveurs susceptibles d’être concernés par les nouvelles exigences relatives au protocole TLS.
Collecter un rapport sysdiagnose
Une fois les workflows exécutés, collectez un rapport sysdiagnose à partir de l’appareil de test. Cette archive de diagnostic contient les évènements d’historique nécessaires à l’identification des connexions non conformes.
Instructions de récupération d’un rapport sysdiagnose spécifiques à chaque appareil
Vérifier les historiques
Transférez le rapport sysdiagnose sur un Mac et décompressez le fichier .tar.gz. Dans Terminal, accédez au répertoire de premier niveau du fichier sysdiagnose décompressé et affichez les évènements pertinents de l’historique en exécutant cette commande :
log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"
Chaque évènement de l’historique comprend trois informations clés :
Domain (Domaine) : le domaine du serveur associé à l’évènement de connexion.
Process (Processus) : le processus ayant établi la connexion, ce qui vous permet de déterminer l’objectif de la connexion réseau à ce domaine.
Warning (Avertissement) : la contrainte enfreinte par la connexion et la raison pour laquelle le serveur n’est pas conforme (une même connexion peut renvoyer plusieurs avertissements si le serveur ne répond pas à plusieurs exigences).
Interprétation des avertissements figurant dans les historiques
Les messages d’historique suivants indiquent les serveurs qui ne répondent pas aux nouvelles exigences relatives au protocole TLS. Les violations sont identifiées comme étant des violations générales de la politique ATS (« Warning [ATS Violation] ») ou des violations spécifiques au standard FCP v2.1 (« Warning [ATS FCPv2.1 violation] »).
Si ces historiques sont émis par un processus qui se connecte à un serveur particulier de votre entreprise, alors celui-ci doit être mis à jour pour répondre aux nouvelles exigences.
Message de l’historique | Signification | Mesures correctives |
|---|---|---|
Warning [ATS violation]: Ciphersuite([suite de chiffrement négociée]) not offered in ATS negotiated for server: www.example.com | Le serveur a négocié une suite de chiffrement non PFS qui n’est pas proposée lorsque le client applique ATS. | Les serveurs doivent prendre en charge les suites de chiffrement PFS (n’importe quelle suite de chiffrement TLS 1.3 et les suites de chiffrement TLS 1.2 avec ECDHE). |
Warning [ATS violation]: TLS version <1.2 negotiated for server: www.example.com | Le serveur a négocié une version de TLS antérieure à TLS 1.2. TLS 1.0/1.1 sont obsolètes et ne sont plus proposés par défaut. | Mettez à jour les serveurs dès que possible pour négocier TLS 1.3 (au minimum TLS 1.2). |
Warning [ATS Violation]: ATS certificate trust requirement not satisfied for server: www.example.com | Le certificat du serveur n’a pas été validé lors de l’évaluation de confiance du serveur par défaut, car il ne répond pas aux exigences minimales détaillées ici. | Mettez à jour le certificat du serveur pour répondre à ces exigences. Si le certificat figure parmi les certificats d’ancrage du profil d’inscription automatique, aucune mesure corrective n’est nécessaire. |
Warning [ATS violation]: RSA key size [n] bits is less than minimum 2048 bits for server: www.example.com | Le certificat du serveur a été signé à l’aide d’une clé RSA de taille inférieure à 2 048 bits. | Mettez à jour le certificat du serveur pour répondre à ces exigences. |
Warning [ATS violation]: ECDSA key size [n] bits is less than minimum 256 bits for server: www.example.com | Le certificat du serveur a été signé à l’aide d’une clé ECDSA de taille inférieure à 256 bits. | |
Warning [ATS violation]: Leaf certificate hash algorithm (n) is not at least SHA-256 for server: www.example.com | Le certificat du serveur n’a pas utilisé de fonction de hachage SHA-2 (Secure Hash Algorithm 2) avec une longueur de valeur de hachage d’au moins 256 bits. | |
Warning [ATS violation]: Did not use TLS when opening connection for server: www.example.com | Le protocole HTTP en clair a été utilisé au lieu du protocole HTTPS. | Mettez à jour le serveur pour ajouter la prise en charge du protocole HTTPS. |
Warning [ATS FCPv2.1 violation]: Signature algorithm rsa_pkcs15_sha1 negotiated by server: www.example.com | Le serveur a choisi rsa_pkcs15_sha1 comme algorithme de signature. | Mettez à jour la configuration pour privilégier les algorithmes de signature modernes. |
Warning [ATS FCPv2.1 violation]: Server certificate signed using signature algorithm [algorithme de signature] not advertised in ClientHello for server: www.example.com | Le certificat du serveur a été signé à l’aide d’un algorithme de signature non annoncé dans le message ClientHello. | Mettez à jour le certificat du serveur afin qu’il soit signé à l’aide d’un algorithme de signature intégrant un point de code TLS et qui n’est pas rsa_pkcs15_sha1. |
Warning [ATS FCPv2.1 violation]: TLS 1.2 negotiated without extended master secret (EMS) for server: www.example.com | Le serveur a négocié TLS 1.2 et n’a pas négocié l’extension EMS (extended master secret). | Mettez à jour les serveurs de manière à ce qu’ils utilisent TLS 1.3 ou, au minimum, mettez à jour leur configuration TLS 1.2 pour négocier l’extension EMS. |
Valider chaque serveur individuellement
Une fois les serveurs non conformes identifiés lors de l’évaluation, vous pouvez les tester individuellement afin de confirmer l’existence de violations spécifiques ou de vérifier si les mesures correctives appliquées ont été efficaces.
Exécutez la commande suivante, en remplaçant « https://example.com:8000 » par votre serveur ou votre point de terminaison.
nscurl --ats-diagnostics https://example.com:8000/
Cette commande vérifie si le serveur répond aux exigences pour différentes combinaisons de politiques ATS. Recherchez le résultat du test à l’aide d’ATS avec le mode FCP_v2.1 activé :
Configuring NIAP TLS package version requirements
---
FCP_v2.1
Result : PASS
---
Si le résultat est « PASS », cela indique que le serveur répond à toutes les exigences.
En savoir plus sur l’identification de la source de connexions bloquées
Mesures correctives
Rapprochez-vous des propriétaires des serveurs concernés pour procéder à la mise à jour de leurs configurations TLS. Les propriétaires des serveurs peuvent être des ressources internes, votre service de gestion des appareils ou des fournisseurs tiers.
Lorsque vous contactez le propriétaire d’un serveur pour demander l’application de mesures correctives, indiquez-lui cet article en référence ainsi que les messages d’avertissement spécifiques que vous avez observés.
Les mesures correctives peuvent être les suivantes :
Mise à jour des serveurs pour la prise en charge du protocole TLS 1.2 ou version ultérieure (TLS 1.3 est recommandé).
Les serveurs qui prennent en charge uniquement le protocole TLS 1.2 doivent au minimum prendre en charge les algorithmes d’échange de clés qui utilisent le système Perfect Forward Secrecy (ECDHE), les suites de chiffrement AEAD basées sur le mode AES-GCM avec SHA-256, SHA-384 ou SHA-512, ainsi que l’extension Extended Master Secret (RFC 7627).
Mise à jour des certificats pour répondre aux exigences ATS en matière de taille de clé, d’algorithme de signature et de validité.
Ressources supplémentaires
Obtenir de l’aide concernant la sécurité des plateformes Apple
Contactez votre Customer Success Manager ou l’assistance Entreprises AppleCare pour obtenir une aide supplémentaire.