Sécurité des produits iOS : certifications, validations et procédures applicables

Cet article fait référence à diverses ressources liées aux certifications de produit, aux validations cryptographiques et aux recommandations en matière de sécurité pour les plateformes iOS. Contactez-nous à l’adresse security-certifications@apple.com si vous avez des questions.

Validations de modules cryptographiques

Toutes les certifications de validation de conformité FIPS 140-2 Apple sont disponibles sur la page répertoriant les fournisseurs adhérant au programme CMVP. Apple participe activement à la validation des modules CoreCrypto et noyau CoreCrypto pour chaque version majeure d’iOS. La validation ne peut être effectuée que par rapport à une version de module finale et soumise de manière officielle lors de la diffusion publique du système d’exploitation. Désormais, CMVP conserve l’état de la validation des modules cryptographiques sous deux listes distinctes en fonction de leur état actuel. Les modules commencent dans la liste des implémentations en cours de test avant de passer à la liste des modules en cours de traitement.

iOS 12

Apple se consacre activement à la validation des modules CoreCrypto v9.0 utilisés dans iOS 12, qui sera disponible prochainement.

iOS 9

Versions précédentes

Les anciennes versions d’iOS suivantes disposaient de validations de modules cryptographiques et sont à présent archivées :

  • iOS 8
  • iOS 7

Guides de configuration relatifs à la sécurité

Les organisations chargées de garantir la sécurité développent et diffusent des instructions approuvées, relatives à la configuration de diverses plateformes et applicables aux normes d’utilisation. Les guides de configuration relatifs à la sécurité fournissent un aperçu des fonctionnalités macOS et iOS permettant d’améliorer le niveau de protection de votre appareil. Des administrations du monde entier ont collaboré avec Apple au développement de guides regroupant des instructions et des recommandations pour garantir ou accroître le niveau de sécurité d’environnements donnés. 

Pour utiliser ces guides, vous devez être un utilisateur expérimenté ou un administrateur système, connaître l’interface utilisateur et maîtriser les outils de gestion applicables à la plateforme cible. Il est également recommandé de maîtriser les concepts de base de gestion de réseau. Certaines des instructions fournies dans les guides sont complexes. Si vous ne les suivez pas correctement, vous risquez d’obtenir des résultats non concluants ou de réduire le niveau de protection. En cas de modification apportée aux réglages de votre appareil, effectuez les tests nécessaires avant le déploiement.

Pour plus d’informations, consultez le Guide de sécurité d’iOS (fichier PDF).

Certifications de sécurité

Liste des certifications reçues par Apple, actives et reconnues.

Certification ISO 27001 et 27018

Apple a reçu la certification ISO 27001 et ISO 27018 pour le Système de gestion de la sécurité de l’information pour l’infrastructure, le développement et les opérations prenant en charge ces produits et services : Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, les identifiants Apple gérés, Siri et Pour l’école, conformément à la version 2.1 de la déclaration d’applicabilité, datée du 11 juillet 2017. Le BSI (British Standards Institution) a certifié la conformité d’Apple à la norme ISO. Le site Web de BSI dispose de certificats de conformité pour ISO 27001 et ISO 27018.

Certification selon les critères communs

Les critères communs, un ensemble de normes de sécurité internationales et approuvées, permettent de fournir une évaluation fiable des fonctionnalités de sécurité des produits de technologie de l’information. En attestant, en toute impartialité, de la capacité d’un produit à satisfaire aux critères de sécurité, la certification selon les critères communs apporte aux clients une confiance accrue dans les produits de technologie de l’information, tout en permettant la prise de décisions plus éclairées.

Par le biais d’un accord de reconnaissance, les pays membres se sont entendus pour qualifier de manière identique le niveau de confiance de tels produits. Le nombre de membres continue de croître chaque année. De même, l’éventail des profils de protection s’élargit, de manière à englober les technologies naissantes. Grâce à cet accord, les développeurs de produits n’ont besoin d’obtenir qu’une seule certification, auprès de l’une des autorités compétentes.

Les anciens profils de protection ont été archivés et vont être remplacés par des profils ciblés sur des solutions et environnements spécifiques. Afin de garantir une reconnaissance mutuelle continue entre tous les pays signataires de l’accord, la communauté technique internationale (iTC) est chargée du développement des profils de protection futurs et des mises à jour vers les profils de protection collaboratifs (cPP), développés par de nombreuses autorités de certification.

Depuis début 2015 et dans le cadre de cette restructuration des critères communs, Apple a pris part à un processus de certification pour des profils de protection ciblés. Les certifications reçues par Apple, actives et reconnues, sont répertoriées ci-dessous. 

iOS 11

 

Profil de protection

VID

Finalisation

Mobile Device

PP_MD_v3.1

10851

30/03/2018

Agent MDM

EP_MDM_Agent_v3.0

10851

30/03/2018

Agent WLAN

PP_WLAN_CLI_EP_v1.0

10851

30/03/2018

Client VPN

PP_VPN_IPSEC_CLIENT_V1.4

10876

10/05/2018

Logiciel d’application (Contacts)

PP_APP_v1.2

10915

ETA : 08/2018

Navigateur (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

ETA : 08/2018

Versions précédentes

Versions précédentes d’iOS dotées de certifications qui sont désormais archivées :

  • iOS 10
  • iOS 9

En règle générale, d’importantes mises à jour sont apportées aux profils de protection tous les 12 à 18 mois, dans le but d’ajouter ou de modifier des exigences fonctionnelles de sécurité.

Vous trouverez une liste complète des profils de protection et des profils de protection collaboratifs, accompagnés de leur date de validité, sur le portail dédié aux critères communs. Vous pouvez également vous rendre sur le site de l’autorité de votre choix. Par exemple, accédez au site du NIAP (National Information Assurance Partnership) aux États-Unis.

Approbation pour une utilisation dans les organismes publics

Informations de pays spécifiques ayant approuvé des appareils en vue d’une utilisation dans les organismes publics.

Gouvernement australien


Comme résumé sur la page de la liste des produits évalués (EPL) :

L’ASD (Australian Signals Directorate) conserve la liste EPL (Evaluated Products List) des produits de sécurité ICT évalués par ASD pour une utilisation dans les organismes publics d’Australie et de Nouvelle-Zélande.

  • Les produits figurant sur la liste EPL sont certifiés pour des usages spécifiques.
  • Les produits figurant sur la liste EPL permettent de créer des systèmes et réseaux sécurisés tels que décrits dans le manuel de sécurité des informations (ISM) de l’administration australienne.
  • Les produits sont certifiés conformes aux critères communs (CC) ISO 15408 reconnus au niveau international. Le portail CC répertorie d’autres produits disposant d’une certification mutuellement reconnue et pouvant également être utilisés.
  • Australasian Certification Authority, le bureau de certification d’ASD, supervise le programme australien AISEP d’évaluation de la sécurité des informations, qui gère les tests de produits réalisés par des organismes commerciaux d’évaluation agréés.
  • La liste EPL répertorie également les évaluations cryptographiques d’ASD.

Produit : iOS 9
Type de produit : produits mobiles
Statut du produit : reçu
Niveau d’assurance : évalué par ASD
Version : 9.3.5 ou ultérieure
Guide : fichier PDF

Gouvernement britannique


Comme résumé sur la page du centre national de cybersécurité du Royaume-Uni (NCSC) Commercial Product Assurance - products at foundation grade :

CPA évalue les produits commercialisés et leurs développeurs par rapport aux normes de sécurité et de développement publiées. Un produit de sécurité qui passe cette évaluation avec succès se voit attribuer la certification Foundation Grade. Cela signifie qu’il a été démontré que le produit a de bonnes pratiques en matière de sécurité commerciale et est adapté aux environnements présentant un risque de menace plus faible.

  • La certification CPA est valide pendant deux ans. Elle autorise la mise à jour des produits pendant la durée de validité de la certification lorsque des vulnérabilités détectées requièrent des mises à jour. 
  • La certification CPA est acceptée par le catalogue de l’OTAN et reconnue comme l’une des évaluations requises pour le catalogue de l’UE.
  • Pour plus d’informations sur Foundation Grade, consultez cette page du site du NCSC.

Gouvernement des États-Unis


Comme indiqué sur la page des Solutions commerciales pour données confidentielles (CSfC) :

De plus en plus, les clients du gouvernement américain exigent l’intégration immédiate des technologies matérielles et logicielles les plus modernes au sein des systèmes de sécurité nationale (NSS) afin d’atteindre les objectifs de mission. C’est pourquoi l’IAD (service chargé de la sécurité des systèmes d’information) de la NSA (National Security Agency) et du CSS (Central Security Service) développe de nouvelles méthodes pour tirer profit des technologies émergentes, et ainsi fournir des solutions de sécurité plus rapidement.

Le programme CSfC (Commercial Solutions for Classified) de la NSA et du CSS a été créé afin de permettre l’utilisation de produits commerciaux dans des solutions multicouches de protection des données confidentielles. Ainsi, seuls quelques mois (et non plusieurs années) sont désormais nécessaires au développement de solutions commerciales permettant la communication d’informations de manière sécurisée.

Un nombre croissant d’environnements sécurisés ont émis le souhait de déployer des solutions Apple, mais n’ont pas osé franchir le pas pour des raisons de certification. Dans le cadre de la certification selon les critères communs, pour les profils de protection mentionnés ci-dessus, les produits Apple ont pu être répertoriés dans la liste des composants CSfC.

Chaque fois qu’un nouveau processus de certification d’un produit Apple est entamé pour un profil donné, les composants correspondants sont soumis pour intégration à la liste CSfC, puis ajoutés ci-dessous.

Liste des composants CSfC

Les produits Apple suivants peuvent être utilisés dans une solution CSfC :

Ajout de produits Apple à votre liste de produits

Un nombre croissant d’environnements gouvernementaux souhaitent que les produits Apple soient approuvés par les programmes de leur pays, équivalents aux programmes CPA, EPL et CSfC. Si vous êtes un représentant habilité de l’un de ces programmes et désirez intégrer les produits Apple à votre propre liste de produits, contactez-nous à l’adresse security-certifications@apple.com.

Autres systèmes d’exploitation

Apprenez-en davantage sur la sécurité des produits, les validations et sur les recommandations relatives aux systèmes suivants :

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu pour responsable de tout problème lié à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web, ou l’exactitude des informations que ce dernier propose. L’utilisation d’Internet induit en effet des risques. Contactez le fournisseur pour obtenir des informations supplémentaires. Les autres noms de société et de produit peuvent constituer des marques déposées de leurs détenteurs respectifs.

Date de publication: