Déploiement d ios Référence technique pour

Transcription

1 Déploiement d ios Référence technique pour ios 7.1 Mai 2014

2 Contenu Page 3 Page 4 Page 4 Page 6 Page 6 Page 7 Page 13 Page 14 Page 14 Page 16 Page 17 Page 17 Page 19 Page 21 Page 22 Page 23 Page 25 Page 25 Page 26 Page 26 Page 29 Page 30 Page 30 Page 32 Page 32 Page 33 Page 35 Page 36 Page 39 Page 41 Introduction Chapitre 1 : Intégration Microsoft Exchange Services basés sur des standards Wi-Fi Réseaux privés virtuels Connexion VPN via l app Authentification par signature unique (SSO) Certificats numériques Bonjour Chapitre 2 : Sécurité Sécurité des appareils Chiffrement et protection des données Sécurité du réseau Sécurité des apps Services Internet Chapitre 3 : Configuration et gestion Configuration et activation des appareils Profils de configuration Gestion des appareils mobiles (MDM) Appareils supervisés Chapitre 4 : Distribution des apps Programme d achats en volume Apps B2B personnalisées Apps internes Déploiement d apps Caching Server Annexe A : Infrastructure Wi-Fi Annexe B : Restrictions Annexe C : Installation sans fil d apps développées en interne 2

3 Introduction Ce guide s adresse aux administrateurs informatiques qui souhaitent accueillir des appareils ios sur leurs réseaux. Il fournit des informations sur le déploiement et la prise en charge des iphone, ipad et ipod touch dans une organisation d envergure telle qu une entreprise ou un établissement d enseignement. Il explique la façon dont les appareils ios offrent une sécurité complète, s intègrent à votre infrastructure existante et fournissent de puissants outils pour le déploiement. En comprenant les principales technologies intégrées à ios, vous pourrez mettre en œuvre une stratégie de déploiement qui offrira à vos utilisateurs une expérience optimale. Les chapitres suivants vous serviront de référence technique lorsque vous déploierez des appareils ios dans votre établissement : Intégration. Les appareils ios intègrent la prise en charge d une large gamme d infrastructures réseau. Dans cette section, vous découvrirez les technologies prises en charge par ios et les bonnes pratiques à mettre en œuvre pour l intégration à Microsoft Exchange, les réseaux Wi-Fi, les VPN et d autres services standard. Sécurité. ios est conçu pour permettre un accès sécurisé aux services d entreprise et pour protéger les données importantes. ios propose un chiffrement hautement sécurisé des données transmises, des méthodes d authentification éprouvées pour l accès aux services d entreprise et le chiffrement matériel de toutes les données stockées sur l appareil. Lisez ce chapitre pour en savoir plus sur les fonctionnalités d ios relatives à la sécurité. Configuration et gestion. ios prend en charge des outils et technologies avancés afin qu il soit facile de préparer les appareils ios, de les configurer pour répondre à vos exigences et de les gérer dans un environnement à grande échelle. Ce chapitre décrit les différents outils disponibles pour le déploiement et propose une présentation de la gestion des appareils mobiles (MDM). Distribution d apps. Il existe plusieurs façons de déployer des apps et du contenu au sein de votre entreprise. Des programmes Apple, tels que le Programme d achats en volume (VPP) et le programme ios Developer Enterprise, vous permettent d acheter, de développer et de déployer des apps pour vos utilisateurs. Reportez-vous à ce chapitre pour bien comprendre la portée de ces programmes et découvrir comment déployer des apps achetées ou développées en vue d un usage en interne. Les annexes suivantes fournissent des détails et des exigences techniques complémentaires : Infrastructure Wi-Fi. Détails concernant les standards Wi-Fi pris en charge par ios et éléments à prendre en considération pour la mise en place d un réseau Wi-Fi d envergure. Restrictions. Détails sur les restrictions pouvant être appliquées à la configuration des appareils ios pour répondre à vos exigences en matière de sécurité et de code d accès, entre autres. Installation sans fil d apps développées en interne. Détails et exigences pour la distribution des apps développées en interne à partir de votre propre portail web. Ressources supplémentaires Pour trouver des informations utiles à ce sujet, consultez les sites web suivants :

4 Chapitre 1 : Intégration Les appareils ios intègrent la prise en charge d une large gamme d infrastructures réseau. Ils prennent en charge les éléments suivants : Des systèmes tiers très répandus, comme Microsoft Exchange L intégration aux services de messagerie, d annuaires et de calendrier standard et à d autres systèmes Les protocoles Wi-Fi standard pour la transmission et le chiffrement des données Les réseaux privés virtuels (VPN), y compris les connexions VPN via l app L authentification par signature unique (SSO) pour simplifier l authentification auprès des apps et services en réseau Les certificats numériques pour authentifier les utilisateurs et sécuriser les communications Comme cette prise en charge est intégrée à ios, votre service informatique ne doit configurer que quelques réglages pour intégrer les appareils ios à votre infrastructure existante. Lisez la suite pour découvrir les technologies prises en charge par ios et les bonnes pratiques pour l intégration. Microsoft Exchange ios peut communiquer directement avec votre serveur Microsoft Exchange via Microsoft Exchange ActiveSync (EAS), autorisant la transmission en mode «push» du courrier électronique, des calendriers, des contacts, des notes et des tâches. Exchange ActiveSync fournit également aux utilisateurs l accès à la Liste d adresses globale (GAL) et aux administrateurs des capacités de mise en œuvre de règles de codes d appareil et d effacement à distance. ios prend en charge l authentification tant de base que par certificat pour Exchange ActiveSync. Si Exchange ActiveSync est déjà activé dans votre entreprise, celle-ci dispose déjà des services nécessaires pour prendre en charge ios. Aucune configuration supplémentaire n est requise. Conditions requises Les appareils dotés d ios 7 ou d une version ultérieure prennent en charge les versions suivantes de Microsoft Exchange : Exchange Server 2003 SP 2 (EAS 2.5) Exchange Server 2007 (avec EAS 2.5) Exchange Server 2007 SP 1 (EAS 12.1) Exchange Server 2007 SP 2 (EAS 12.1) Exchange Server 2007 SP 3 (EAS 12.1) Exchange Server 2010 (EAS 14.0) Exchange Server 2010 SP 1 (EAS 14.1) Exchange Server 2010 SP 2 (avec EAS 14.1) Exchange Server 2013 (avec EAS 14.1) Office 365 (avec EAS 14.1) Microsoft Direct Push Exchange Server livre automatiquement les s, les tâches, les contacts et les événements de calendrier aux appareils ios si une connexion de données cellulaire ou Wi-Fi est disponible. L ipod touch et certains modèles d ipad ne disposent pas d une connexion cellulaire. Ils ne reçoivent donc les notifications push que lorsqu ils sont connectés à un réseau Wi-Fi. 4

5 Découverte automatique Microsoft Exchange ios prend en charge le service de découverte automatique de Microsoft Exchange Server 2007 et Microsoft Exchange Server Lorsque vous configurez manuellement un appareil, le service de découverte automatique utilise votre adresse électronique et votre mot de passe pour déterminer automatiquement les informations Exchange Server correctes. Pour en savoir plus sur l activation du service de découverte automatique, consultez la page Service de découverte automatique. Liste d adresses globale de Microsoft Exchange Les appareils ios extraient les informations de contact de l annuaire d entreprise du serveur Exchange de votre entreprise. Vous pouvez accéder à l annuaire en faisant une recherche dans Contacts, et cet accès se fait automatiquement pour compléter des adresses électroniques lors de la saisie. ios 6 (ou version ultérieure) prend en charge les photos des listes d adresses globales (GAL) (nécessite Exchange Server 2010 SP 1 ou version ultérieure). Fonctionnalités ActiveSync Exchange non prises en charge Les fonctionnalités Exchange suivantes ne sont pas prises en charge : l ouverture de liens pointant vers des documents stockés sur des serveurs Sharepoint dans des messages électroniques ; la définition d un message de réponse automatique d absence. Identification des versions d ios via Exchange Lorsqu un appareil ios se connecte à un serveur Exchange, l appareil indique sa version d ios. Le numéro de version est envoyé dans le champ User Agent de l en-tête de la demande et se présente sous la forme Apple-iPhone2C1/ Le numéro suivant le délimiteur (/) correspond au numéro de build d ios, propre à chaque version d ios. Pour afficher le numéro de build sur un appareil, accédez à Réglages > Général > Informations. Le numéro de version et le numéro de build sont affichés, par exemple 4.1 (8B117A). Le numéro entre parenthèses correspond au numéro de build. Il identifie la version d ios qu exécute l appareil. Lorsque le numéro de build est envoyé au serveur Exchange, il est converti du format NANNNA (où N est numérique et A est un caractère alphabétique) au format Exchange NNN.NNN. Les valeurs numériques sont conservées, mais les lettres sont remplacées par leur position dans l alphabet. Par exemple, un «F» est converti en «06», car c est la sixième lettre de l alphabet. Au besoin, un préfixe formé de zéros est ajouté pour correspondre au format Exchange. Dans cet exemple, le numéro de build 7E18 est converti en Le premier nombre, 7, reste «7». Le caractère E est la cinquième lettre de l alphabet, et est donc converti en «05». Un point (.) est inséré dans la version convertie comme exigé par le format. Un préfixe zéro est ajouté au nombre suivant, 18, qui est converti en «018». Si le numéro de build se termine par une lettre, par exemple 5H11A, le numéro est converti comme décrit ci-dessus et la valeur numérique du caractère final est ajoutée à la chaîne, avec 3 zéros de séparation. 5H11A devient ainsi Effacement à distance Vous pouvez effacer à distance le contenu d un appareil ios à l aide des fonctionnalités fournies par Exchange. L effacement supprime toutes les données et informations de configuration présentes sur l appareil. Ce dernier est effacé de manière sécurisée et ses réglages d origine sont restaurés. L effacement supprime immédiatement la clé de chiffrement des données (chiffrées en AES 256 bits), ce qui rend toutes les données immédiatement irrécupérables. 5

6 Avec Microsoft Exchange Server 2007 ou une version ultérieure, vous pouvez effectuer un effacement à distance avec la console de gestion Exchange, Outlook Web Access ou l outil Exchange ActiveSync Mobile Administration Web Tool. Avec Microsoft Exchange Server 2003, vous pouvez lancer un effacement à distance à l aide de l outil Exchange ActiveSync Mobile Administration Web Tool. Les utilisateurs peuvent également le contenu de leur propre appareil en accédant à Réglages > Général > Réinitialiser, puis en choisissant «Effacer contenu et réglages». Vous pouvez également configurer les appareils pour qu ils soient effacés automatiquement après un certain nombre de tentatives infructueuses de saisie du mot de passe. Services basés sur des standards Avec la gestion des protocoles de messagerie IMAP, des services d annuaire LDAP ainsi que des protocoles de calendrier CalDAV et de contacts CardDAV, ios peut s intégrer à la quasi-totalité des environnements standard. Si l environnement réseau est configuré de manière à exiger l authentification de l utilisateur et SSL, ios offre une approche hautement sécurisée de l accès aux s, calendriers, tâches et contacts standard de l entreprise. Avec SSL, ios prend en charge le chiffrement 128 bits et les certificats racine X.509 publiés par les principales autorités de certification. Dans un déploiement type, les appareils ios établissent un accès direct aux serveurs de messagerie IMAP et SMTP afin d envoyer et de recevoir les s à distance («Over-The-Air») et ils peuvent également synchroniser sans fil les notes avec les serveurs IMAP. Les appareils ios peuvent se connecter aux annuaires LDAPv3 de votre société, ce qui permet aux utilisateurs d accéder aux contacts de l entreprise dans les applications Mail, Contacts et Messages. La synchronisation avec votre serveur CalDAV permet aux utilisateurs de créer et d accepter des invitations de calendrier, de recevoir des mises à jour de calendriers et de synchroniser des tâches avec l app Rappels. Le tout, sans fil. Et la prise en charge de CardDAV permet à vos utilisateurs de synchroniser en permanence un ensemble de contacts avec votre serveur CardDAV à l aide du format vcard. Tous les serveurs réseau peuvent se trouver au sein d un sous-réseau de zone démilitarisée, derrière un coupe-feu d entreprise, ou les deux. Wi-Fi Dès la sortie de l emballage, les appareils ios peuvent se connecter en toute sécurité aux réseaux Wi-Fi d entreprise ou pour invités, ce qui permet aux utilisateurs de détecter facilement les réseaux sans fil disponibles, qu ils soient à la fac ou en déplacement. Connexion aux réseaux Wi-Fi Les utilisateurs peuvent configurer les appareils ios pour qu ils se connectent automatiquement aux réseaux Wi-Fi disponibles. Les réseaux Wi-Fi qui nécessitent une identification ou d autres informations peuvent être rapidement accessibles sans ouvrir de session de navigation distincte, à partir des réglages Wi-Fi ou au sein d apps comme Mail. La connectivité Wi-Fi permanente à faible consommation permet aux apps d utiliser les réseaux Wi-Fi pour distribuer des notifications push. WPA2 Enterprise ios prend en charge les protocoles réseau sans fil standard comme WPA2 Enterprise, garantissant un accès sécurisé aux réseaux sans fil d entreprise à partir des appareils ios. Le protocole WPA2 Enterprise utilise un chiffrement AES sur 128 bits, une méthode de chiffrement éprouvée qui assure un très haut niveau de protection des données de l entreprise. Avec la prise en charge du protocole 802.1x, ios peut s intégrer dans une grande variété d environnements d authentification RADIUS. Les méthodes d authentification sans fil 802.1x, telles que EAP-TLS, EAP- TTLS, EAP-FAST, PEAPv0, PEAPv1 et LEAP, sont prises en charge par ios. 6

7 Itinérance (Roaming) Pour l itinérance sur les vastes réseaux Wi-Fi d entreprise, ios prend en charge les normes k et r. La norme k facilite la transition des appareils ios entre les points d accès Wi-Fi en utilisant les rapports des points d accès, tandis que la norme r simplifie l authentification 802.1X lorsqu un appareil passe d un point d accès à un autre. Pour faciliter la configuration et le déploiement, les réglages de réseau sans fil, de sécurité, de proxy et d authentification peuvent être définis à l aide de profils de configuration ou d une solution MDM. Réseaux privés virtuels L accès sécurisé aux réseaux d entreprise privés est disponible sur ios via des protocoles de réseau privé virtuel (VPN) standard bien établis. ios prend immédiatement en charge les protocoles Cisco IPSec, L2TP sur IPSec et PPTP. Si votre organisation utilise déjà l un de ces protocoles, aucune autre configuration réseau ni aucune app tierce ne sont nécessaires pour connecter les appareils ios à votre VPN. En plus, ios prend en charge les VPN SSL des principaux fournisseurs de VPN. Il suffit aux utilisateurs de se rendre sur l App Store et de télécharger une app de client VPN développée par l une de ces sociétés. Comme pour d autres protocoles VPN pris en charge par ios, les VPN SSL peuvent être configurés manuellement sur l appareil ou via des profils de configuration ou une solution MDM. ios prend en charge les technologies standard comme IPv6, les serveurs proxy et la tunnélisation partagée, offrant une riche expérience VPN pour la connexion aux réseaux d entreprise. ios est également compatible avec différentes méthodes d authentification comme les mots de passe, les jetons à deux facteurs et les certificats numériques. Pour simplifier la connexion dans des environnements où l authentification par certificat est utilisée, ios intègre le VPN à la demande, qui lance de façon dynamique une session VPN lorsque celle-ci est nécessaire pour se connecter aux domaines spécifiés. Avec ios 7, des apps peuvent être individuellement configurées de façon à utiliser une connexion VPN indépendamment des autres apps de l appareil. Cela permet de garantir que les données de l entreprise circulent toujours via une connexion VPN, à la différence des autres données, telles que celles des apps personnelles qu un employé s est procurées sur l App Store. Pour plus de détails, consultez la section «VPN via l app» de ce chapitre. Protocoles et méthodes d authentification pris en charge VPN SSL. Prend en charge l authentification des utilisateurs par mot de passe, jeton à deux facteurs et certificat. Cisco IPSec. Prend en charge l authentification des utilisateurs par mot de passe, jeton à deux facteurs et l authentification des appareils par secret partagé et certificat. L2TP sur IPSec. Prend en charge l authentification des utilisateurs par mot de passe MS-CHAP v2, jeton à deux facteurs et l authentification des appareils par secret partagé. PPTP. Prend en charge l authentification des utilisateurs par mot de passe MS-CHAP v2 et jeton à deux facteurs. 7

8 Clients VPN SSL Plusieurs fournisseurs de solutions VPN SSL ont créé des apps qui vous assistent dans la configuration des appareils ios en vue d une utilisation avec leur solution. Pour configurer un appareil en vue d une utilisation avec une solution en particulier, installez l app correspondante et, le cas échéant, fournissez un profil de configuration incluant les réglages nécessaires. Quelques exemples de solutions VPN SSL : VPN SSL Juniper Junos Pulse. ios prend en charge les passerelles VPN SSL SA Series de Juniper Networks, exécutant la version 6.4 ou ultérieure avec le paquet Juniper Networks IVE version 7.0 ou ultérieure. Pour la configuration, installez l app Junos Pulse, disponible sur l App Store. Pour plus d informations, reportez-vous au document Juniper Networks application note. VPN SSL F5. ios prend en charge les solutions VPN SSL F5 BIG-IP Edge Gateway, Access Policy Manager et FirePass. Pour la configuration, installez l app F5 BIG-IP Edge Client, disponible sur l App Store. Pour plus d informations, reportez-vous au dossier technique F5, Secure iphone Access to Corporate Web Applications. VPN SSL Aruba Networks. ios prend en charge les contrôleurs de mobilité Aruba Networks. Pour la configuration, installez l app Aruba Networks VIA, disponible sur l App Store. Pour trouver des coordonnées de contact, consultez le site web Aruba Networks. VPN SSL SonicWALL. ios prend en charge les appliances d accès sécurisé à distance (en anglais «Secure Remote Access» ou «SRA») E-Class SonicWALL Aventail exécutant la version ou ultérieure, les appliances SRA SonicWALL exécutant la version 5.5 ou ultérieure et les appliances de coupe-feu SonicWALL de nouvelle génération, notamment les gammes NSA, TZ et E-Class NSA exécutant SonicOS version ou ultérieure. Pour la configuration, installez l app SonicWALL Mobile Connect, disponible sur l App Store. Pour trouver des coordonnées de contact, consultez le site web SonicWALL. VPN SSL Check Point Mobile. ios prend en charge Check Point Security Gateway avec un tunnel VPN complet de couche 3. Pour la configuration, installez l app Check Point Mobile, disponible sur l App Store. VPN SSL OpenVPN. ios prend en charge OpenVPN Access Server, Private Tunnel et la communauté OpenVPN. Pour la configuration, installez l app OpenVPN Connect, disponible sur l App Store. VPN SSL Palo Alto Networks GlobalProtect. ios prend en charge la passerelle GlobalProtect de Palo Alto Networks. Pour la configuration, installez l app GlobalProtect for ios, disponible sur l App Store. VPN SSL Cisco AnyConnect. ios prend en charge Cisco Adaptive Security Appliance (ASA) exécutant l image logicielle 8.0(3).1 ou ultérieure. Pour la configuration, installez l app Cisco AnyConnect, disponible sur l App Store. 8

9 Instructions pour la configuration d un VPN Instructions pour la configuration d un VPN Cisco IPSec Suivez ces instructions afin de configurer votre serveur VPN Cisco pour l utiliser avec les appareils ios. ios prend en charge les appliances de sécurité Cisco ASA 5500 et les coupe-feu PIX configurés avec le logiciel 7.2.x ou ultérieur. La dernière version du logiciel (8.0.x ou ultérieure) est recommandée. ios prend aussi en charge les routeurs VPN Cisco IOS avec IOS 12.4(15)T ou ultérieur. Les concentrateurs série VPN 3000 ne prennent pas en charge les fonctionnalités VPN d ios. Configuration du proxy Pour toutes les configurations, vous pouvez aussi spécifier un proxy VPN. Pour configurer un seul proxy pour toutes les connexions, utilisez le réglage Manuel et fournissez l adresse, le port et l authentification si nécessaire. Pour attribuer à l appareil un fichier de configuration automatique du proxy à l aide de PAC ou WPAD, utilisez le réglage Auto. Pour PACS, spécifiez l URL du fichier PACS. Pour WPAD, ios interroge les serveurs DHCP et DNS afin d obtenir les bons réglages. Méthodes d authentification ios prend en charge les méthodes d authentification suivantes : L authentification IPsec par clé prépartagée avec authentification des utilisateurs par xauth. Les certificats client et serveur pour l authentification IPSec avec authentification des utilisateurs facultative par xauth. L authentification hybride où le serveur fournit un certificat et le client fournit une clé prépartagée pour l authentification IPsec. L authentification de l utilisateur est requise via xauth. L authentification des utilisateurs est fournie par xauth et couvre les méthodes d authentification suivantes : Nom d utilisateur avec mot de passe RSA SecurID CRYPTOCard Groupes d authentification Le protocole Cisco Unity utilise des groupes d authentification pour regrouper les utilisateurs en fonction d un jeu commun de paramètres d authentification et d autres paramètres. Il est conseillé de créer un groupe d authentification pour les utilisateurs ios. Pour l authentification hybride et par clé prépartagée, le nom du groupe doit être configuré sur l appareil avec le secret partagé (clé prépartagée) comme mot de passe du groupe. Lorsque vous utilisez l authentification par certificat, aucun secret partagé n est utilisé. Le groupe d un utilisateur est déterminé en fonction des champs du certificat. Les réglages du serveur Cisco peuvent être utilisés pour mettre en correspondance des champs du certificat avec des groupes d utilisateurs. RSA-Sig doit avoir la priorité la plus élevée sur la liste de priorité ISAKMP. Certificats Lors de la configuration et de l installation de certificats, vérifiez les points suivants : Le certificat d identité du serveur doit contenir le nom DNS et/ou l adresse IP du serveur dans le champ pour le nom alternatif de sujet (SubjectAltName). L appareil utilise cette information pour vérifier que le certificat appartient bien au serveur. Pour plus de flexibilité, vous pouvez indiquer le nom alternatif de sujet (SubjectAltName) en utilisant des caractères de remplacement pour la mise en correspondance segment par segment, par exemple, vpn.*.mon_entreprise.com. 9

10 Vous pouvez mettre le nom DNS dans le champ pour le nom commun si vous n indiquez pas le nom alternatif de sujet. Le certificat de l autorité de certification qui a signé le certificat du serveur doit être installé sur l appareil. S il ne s agit pas d un certificat racine, installez le reste de la chaîne de confiance afin que la confiance soit accordée au certificat. Si des certificats clients sont utilisés, vérifiez que le certificat de l autorité de certification de confiance qui a signé le certificat du client est bien installé sur le serveur VPN. Lors de l utilisation d une authentification par certificats, vérifiez que le serveur est bien configuré pour identifier le groupe d utilisateurs en fonction des champs du certificat client. Les certificats et les autorités de certification doivent être valides (pas arrivés à expiration, par exemple). L envoi de chaînes de certificats par le serveur n est pas pris en charge et doit être désactivé. Réglages IPSec Utilisez les réglages IPSec suivants : Mode. Mode tunnel Modes d échange de clés par Internet. Mode agressif pour l authentification par clé prépartagée et hybride ou mode principal pour l authentification par certificat. Algorithmes de chiffrement. 3DES, AES-128, AES-256. Algorithmes d authentification. HMAC-MD5, HMAC-SHA1. Groupes Diffie-Hellman. Le groupe 2 est obligatoire pour l authentification par clé prépartagée et l authentification hybride. Pour l authentification par certificat, utilisez le groupe 2 avec 3DES et AES-128. Utilisez le groupe 2 ou le groupe 5 avec AES-256. PFS (Perfect Forward Secrecy). Pour l échange de clés par Internet (IKE) phase 2, si PFS est utilisé, le groupe Diffie-Hellman doit être le même que celui qui était utilisé pour IKE phase 1. Configuration du mode. Doit être activée. Détection des pairs morts. Recommandée. Traversée NAT standard. Pris en charge et activable au besoin (IPSec sur TCP n est pas pris en charge). Équilibrage de la charge. Pris en charge et peut être activé. Recomposition de la phase 1. Pas prise en charge pour le moment. Il est recommandé de régler sur 1 heure les temps de recomposition sur le serveur. Masque d adresse ASA. Assurez-vous que tous les masques de pools d adresses d appareils soit ne sont pas définis, soit sont réglés sur Par exemple : asa(config-webvpn)# ip local pool vpn_users mask Si le masque d adresse recommandé est utilisé, certaines routes utilisées par la configuration VPN sont susceptibles d être ignorées. Pour éviter cela, assurez-vous que votre tableau de routage contient toutes les routes nécessaires et vérifiez que les adresses de sous-réseau sont accessibles avant le déploiement. 10

11 Autres fonctionnalités prises en charge Version d application. La version du logiciel client est envoyée au serveur, ce qui lui permet d accepter ou de rejeter des connexions en fonction de la version du logiciel de l appareil. Bannière. La bannière, si elle est configurée sur le serveur, est affichée sur l appareil et l utilisateur doit l accepter ou se déconnecter. Split Tunnel. Le «split tunneling» est pris en charge. Split DNS. Le «split DNS» est pris en charge. Domaine par défaut. Le domaine par défaut est pris en charge. VPN à la demande Le VPN à la demande permet à ios d établir automatiquement une connexion sécurisée sans aucune action de l utilisateur. La connexion VPN est lancée en fonction des besoins, selon des règles définies dans un profil de configuration. Sous ios 7, le VPN à la demande est configuré à l aide de la clé OnDemandRules dans l entité VPN d un profil de configuration. Les règles s appliquent en deux étapes : Étape de détection du réseau. Définit les exigences VPN s appliquant en cas de changement de la connexion réseau principale de l appareil. Étape d évaluation de la connexion. Définit les exigences VPN pour les demandes de connexion auprès de noms de domaines, en fonction des besoins. Par exemple, des règles peuvent être utilisées pour : Déterminer qu un appareil ios est connecté à un réseau interne et que la connexion VPN n est pas nécessaire. Déterminer qu un réseau Wi-Fi inconnu est utilisé et que la connexion VPN est nécessaire pour toute l activité réseau. Exiger une connexion VPN en cas d échec d une demande de nom de domaine spécifique auprès du serveur DNS. Étape de détection du réseau Les règles régissant le VPN à la demande sont évaluées en cas de changement de l interface réseau principale de l appareil, comme lorsqu un appareil ios change de réseau Wi-Fi ou passe d un réseau Wi-Fi au réseau cellulaire. Si l interface principale est une interface virtuelle, comme une interface de VPN, les règles régissant le VPN à la demande ne sont pas prises en compte. Les règles correspondantes de chaque ensemble (dictionnaire) doivent toutes correspondre pour que l action associée soit engagée ; si l une ou l autre des règles ne correspond pas, l évaluation passe au dictionnaire suivant dans le tableau, jusqu à épuisement du tableau OnDemandRules. Le dernier dictionnaire doit définir une configuration «par défaut», c est-à-dire qu il ne doit comprendre aucune règle correspondante, seulement une Action. Cela permettra d intercepter toutes les connexions n offrant pas de correspondance aux règles précédentes. Étape d évaluation de la connexion La connexion VPN peut être déclenchée en fonction des besoins à partir d une demande de connexion à certains domaines, au lieu que le VPN soit déconnecté ou connecté unilatéralement en fonction de l interface réseau. 11

12 Règles de correspondance À la demande Précisez une ou plusieurs des règles de correspondance suivantes : InterfaceTypeMatch. Facultatif. Valeur de chaîne d un réseau Wi-Fi ou cellulaire. Si elle est spécifiée, cette règle correspondra lorsque le matériel de l interface principale sera du type indiqué. SSIDMatch. Facultatif. Tableau de SSID, dont l un doit correspondre au réseau en cours d utilisation. Si le réseau n est pas un réseau Wi-Fi ou si son SSID n apparaît pas dans la liste, la correspondance échouera. Omettez cette clé et son tableau pour ignorer le SSID. DNSDomainMatch. Facultatif. Tableau de domaines de recherche sous forme de chaînes. Si le domaine de recherche DNS configuré pour le réseau principal en cours d utilisation figure dans le tableau, cette propriété correspondra. Le préfixe sous forme de métacaractère (*) est pris en charge : *.example.com trouverait une correspondance avec anything.example.com. DNSServerAddressMatch. Facultatif. Tableau d adresses de serveurs DNS sous forme de chaînes. Si toutes les adresses de serveur DNS actuellement configurées pour l interface principale figurent dans le tableau, cette propriété correspondra. Le métacaractère (*) est pris en charge ; exemple : * trouverait la correspondance avec n importe quel serveur DNS ayant le préfixe URLStringProbe. Facultatif. Serveur permettant de sonder l accessibilité. La redirection n est pas prise en charge. L URL doit être celle d un serveur HTTPS fiable. L appareil envoie une requête GET pour vérifier que le serveur peut être atteint. Action Cette clé définit le comportement que doit adopter le VPN lorsque toutes les règles de correspondance spécifiées sont vérifiées. Cette clé est obligatoire. Les valeurs que peut prendre la clé Action sont les suivantes : Connect. Lance sans condition la connexion VPN lors de la tentative suivante de connexion au réseau. Disconnect. Désactive la connexion VPN et ne déclenche aucune nouvelle connexion à la demande. Ignore. Maintient la connexion VPN existante, mais ne déclenche aucune nouvelle connexion à la demande. Allow. Pour les appareils ios équipés d ios 6 ou d une version antérieure. Voir le paragraphe «Notes sur la rétrocompatibilité», plus bas dans cette section. EvaluateConnection. Évalue les ActionParameters pour chaque tentative de connexion. Lorsque cette option est utilisée, la clé ActionParameters, décrite cidessous, doit préciser les règles d évaluation. ActionParameters Tableau de dictionnaires contenant les clés décrites ci-dessous, évalués dans leur ordre d apparition. Exigé lorsque le champ Action est défini sur EvaluateConnection. Domains. Obligatoire. Tableau de chaînes définissant les domaines auxquels s applique cette évaluation. Les préfixes sous forme de métacaractères, comme *.example.com, sont pris en charge. DomainAction. Obligatoire. Définit le comportement du VPN pour Domains. Les valeurs que peut prendre la clé DomainAction sont les suivantes : ConnectIfNeeded. Fait apparaître le VPN en cas d échec de la résolution DNS pour Domains, comme lorsque le serveur DNS indique qu il ne parvient pas à résoudre le nom de domaine, ou si la réponse du DNS est redirigée, ou encore si la connexion échoue ou dépasse le temps imparti. NeverConnect. Ne déclenche pas le VPN pour Domains. 12

13 Lorsque DomainAction a pour valeur ConnectIfNeeded, vous pouvez aussi spécifier les clés suivantes dans le dictionnaire d évaluation de la connexion : RequiredDNSServers. Facultatif. Tableau d adresses IP de serveurs DNS à utiliser pour résoudre les Domains. Il n est pas nécessaire que ces serveurs fassent partie de la configuration réseau en cours de l appareil. Si ces serveurs DNS sont hors d atteinte, le VPN sera déclenché. Configurez un serveur DNS interne ou un serveur DNS externe validé. RequiredURLStringProbe. Facultatif. URL HTTP ou HTTPS (de préférence) pour sondage à l aide d une requête GET. Si la résolution DNS réussit pour ce serveur, le sondage doit, lui aussi, réussir. Si le sondage échoue, le VPN sera déclenché. Notes sur la rétrocompatibilité Avant ios 7, les règles de déclenchement de domaine étaient configurées via des tableaux de domaines appelés OnDemandMatchDomainAlways, OnDemandMatchDomainOnRetry et OnDemandMatchDomainNever. Les cas OnRetry et Never sont toujours pris en charge dans ios 7, bien que l action EvaluateConnection leur soit préférée. Pour créer un profil fonctionnant à la fois sur ios 7 et sur les précédentes versions, utilisez les nouvelles clés EvaluateConnection en plus des tableaux OnDemandMatchDomain. Les versions précédentes d ios ne reconnaissant pas EvaluateConnection utiliseront les anciens tableaux, tandis qu ios 7 et les versions ultérieures utiliseront EvaluateConnection. Les anciens profils de configuration qui spécifient l action Allow fonctionneront sur ios 7, à l exception des domaines OnDemandMatchDomainsAlways. Connexion VPN via l app ios 7 ajoute la possibilité d établir des connexions VPN app par app. Cette approche permet de déterminer plus précisément quelles données transitent ou non par le VPN. Avec le VPN à l échelle de l appareil, toutes les données, quelle qu en soit l origine, transitent via le réseau privé. Comme un nombre croissant d appareils personnels sont utilisés au sein des entreprises, le VPN via l app permet d assurer des connexions réseau sécurisées pour les apps à usage interne, tout en préservant la confidentialité des activités personnelles. Le VPN via l app permet à chaque app gérée par la solution de gestion des appareils mobiles (MDM) de communiquer avec le réseau privé via un tunnel sécurisé et empêche les apps non gérées figurant sur l appareil d utiliser ce même réseau. En outre, pour préserver plus encore les données, les apps gérées peuvent être configurées avec des connexions VPN différentes. Par exemple, une app de devis commerciaux pourra exploiter un centre de données entièrement différent de celui qu utilisera une app de comptabilité fournisseurs, tandis que le trafic lié à la navigation web personnelle de l utilisateur utilisera l Internet public. Cette capacité à discriminer le trafic au niveau de l app permet d assurer la séparation entre les données personnelles et celles appartenant à l entreprise. Pour utiliser le VPN via l app, une app doit être gérée par la solution MDM et exploiter les API de mise en réseau ios standard. Le VPN via l app est configuré à l aide d une configuration MDM qui définit quelles apps et quels domaines Safari sont autorisés à utiliser ces réglages. Pour plus d informations sur la gestion des appareils mobiles (MDM), reportez-vous au chapitre 3 : Configuration et gestion. 13

14 Authentification par signature unique (SSO) Avec ios 7, les apps peuvent profiter de votre infrastructure actuelle d authentification par signature unique (SSO), via Kerberos. L authentification par signature unique est susceptible d améliorer l expérience utilisateur en ne demandant à l utilisateur d entrer son mot de passe qu une seule fois. Cette option améliore également la sécurité de l utilisation quotidienne des apps en veillant à ce que les mots de passe ne soient jamais transmis à distance. Le système d authentification Kerberos utilisé par ios 7 est un standard et la technologie d authentification par signature unique la plus couramment déployée au monde. Si vous avez Active Directory, edirectory ou OpenDirectory, il est très probable que vous disposiez déjà d un système Kerberos qu ios 7 pourra exploiter. Les appareils ios doivent pouvoir contacter le service Kerberos via une connexion réseau afin que les utilisateurs soient authentifiés. Apps prises en charge ios offre une prise en charge flexible de l authentification par signature unique (SSO) de Kerberos à toute app utilisant la classe NSURLConnection ou NSURLSession pour gérer les connexions réseau et l authentification. Apple fournit à tous les développeurs ces frameworks de haut niveau pour que les connexions réseau s intègrent naturellement avec leurs apps. Apple fournit également Safari en exemple, pour que vous puissiez vous lancer en utilisant de façon native des sites web compatibles SSO. Configuration de l authentification par signature unique (SSO) La configuration de l authentification par signature unique se fait à l aide de profils de configuration, qui peuvent être soit installés manuellement, soit gérés par une solution MDM. L entité du compte SSO permet une configuration souple. L authentification par signature unique (SSO) peut être ouverte à toutes les apps ou restreinte soit par identificateur d app, soit par URL de service, soit par les deux à la fois. Pour la correspondance des URL, c est un filtrage par motif qui est utilisé, et les URL doivent commencer soit par soit par La correspondance doit se faire sur l URL complète. Par conséquent, veillez à ce qu elles soient exactement identiques. Par exemple, une valeur URLPrefixMatches de ne correspondra pas à Vous pouvez spécifier ou pour limiter l utilisation de l authentification SSO à des services sécurisés ou réguliers. Par exemple, l utilisation d une valeur URLPrefixMatches de ne permettra l utilisation du compte SSO qu avec des services HTTPS sécurisés. Si un filtrage par motif d URL ne se termine pas par une barre oblique (/), une barre oblique (/) lui sera annexée. Le tableau AppIdentifierMatches doit contenir des chaînes correspondant aux identifiants des bundles d apps. Ces chaînes peuvent être des correspondances exactes (com.mycompany.myapp, par exemple) ou spécifier une correspondance de préfixe sur l identifiant du bundle à l aide du métacaractère (*). Le métacaractère doit figurer après un point (.) et uniquement à la fin de la chaîne (par exemple : com.mycompany.*). Lorsqu un métacaractère est utilisé, l accès au compte est accordé à toute app dont l identifiant de bundle commence par le préfixe. Certificats numériques Les certificats numériques sont une forme d identification qui permet une authentification simplifiée, l intégrité des données et le chiffrement. Un certificat numérique est composé d une clé publique, d informations sur l utilisateur et de l autorité de certification qui a émis le certificat. ios prend en charge les certificats numériques, offrant ainsi un accès sécurisé et simplifié aux services d entreprise. 14

15 Formats de certificats et d identité pris en charge : ios prend en charge les certificats X.509 avec des clés RSA. Les extensions de fichiers.cer,.crt,.der,.p12 et.pfx sont reconnues. Les certificats peuvent être utilisés de bien des façons. La signature des données à l aide d un certificat numérique aide à garantir que les informations ne seront pas modifiées. Les certificats peuvent aussi être utilisés pour garantir l identité de l auteur ou «signataire». Ils peuvent également servir à chiffrer des profils de configuration et des communications réseau pour protéger plus avant les informations confidentielles ou privées. Par exemple, le navigateur Safari peut vérifier la validité d un certificat numérique X. 509 et établir une session sécurisée avec un chiffrement AES jusqu à 256 bits. Le navigateur s assure ainsi que l identité du site est légitime et que la communication avec le site web est protégée pour éviter toute interception de données personnelles ou confidentielles. Utilisation des certificats dans ios Certificats racine Les appareils ios incluent différents certificats racine préinstallés. Pour plus d informations, reportez-vous à la liste figurant dans cet article de l Assistance Apple. ios peut actualiser sans fil les certificats au cas où l un ou l autre des certificats racine préinstallés serait compromis. Pour désactiver cette option, une restriction permet d empêcher les actualisations de certificats à distance. Si vous utilisez un certificat racine qui n est pas préinstallé, comme un certificat racine auto-signé, créé par votre entreprise, vous pouvez le distribuer à l aide d une des méthodes recensées ci-dessous. Distribution et installation de certificats La distribution de certificats à des appareils ios est un processus simple. Lorsqu ils reçoivent un certificat, les utilisateurs peuvent en examiner le contenu, puis l ajouter à leur appareil, en quelques touchers. Lorsqu un certificat d identité est installé, les utilisateurs sont invités à saisir le mot de passe qui le protège. Si l authenticité d un certificat ne peut être vérifiée, celui-ci sera présenté comme non fiable et l utilisateur pourra décider s il veut toujours l installer sur son appareil. Installation de certificats à l aide de profils de configuration Si l on utilise des profils de configuration pour distribuer les réglages de services d entreprise tels qu Exchange, VPN ou Wi-Fi, des certificats peuvent être ajoutés au profil pour simplifier le déploiement. Cela comprend la possibilité de distribuer des certificats via une solution MDM. Installation des certificats via Mail ou Safari Si un certificat est envoyé dans un , il apparaît sous la forme d une pièce jointe. Safari peut aussi être utilisé pour télécharger des certificats à partir d une page web. Vous pouvez héberger un certificat sur un site web sécurisé et fournir aux utilisateurs l adresse URL où ils peuvent télécharger le certificat sur leurs appareils. Suppression et révocation des certificats Pour supprimer manuellement un certificat préalablement installé, choisissez Réglages > Général > Profils et sélectionnez le certificat à supprimer. Si un utilisateur supprime un certificat nécessaire pour accéder à un compte ou à un réseau, l appareil ne pourra plus se connecter à ces services. Un serveur de gestion d appareils mobiles peut visualiser tous les certificats figurant sur un appareil et supprimer tout certificat qu il a installé. Par ailleurs, les protocoles OCSP (Online Certificate Status Protocol) et CRL (Certificate Revocation List) sont pris en charge et permettent de vérifier le statut des certificats. Lorsqu un certificat compatible OCSP ou CRL est utilisé, ios le valide régulièrement pour s assurer qu il n a pas été révoqué. 15

16 Bonjour Bonjour est le protocole réseau standard et sans configuration d Apple qui permet aux appareils de trouver des services sur un réseau. Les appareils ios utilisent Bonjour pour découvrir les imprimantes compatibles AirPrint et les appareils compatibles AirPlay, comme Apple TV. Certaines apps pair à pair nécessitent également Bonjour. Vous devez vous assurer que votre infrastructure réseau et Bonjour sont correctement configurés pour fonctionner de concert. Les appareils ios 7.1 rechercheront également les sources AirPlay via Bluetooth. Lorsqu une Apple TV compatible est détectée, les données AirPlay sont transmises via le réseau Wi-Fi. Une Apple TV 6.1 ou version ultérieure est requise pour permettre la découverte Bluetooth. Par ailleurs, l appareil ios et l Apple TV doivent être connectés au même sous-réseau pour permettre la lecture ou la recopie vidéo du contenu. Pour plus d informations sur Bonjour, reportez-vous à cette page web Apple. 16

17 Chapitre 2 : Sécurité ios est conçu avec plusieurs couches de sécurité,ce qui permet aux appareils ios d accéder aux services réseau de manière sécurisée et de protéger les données importantes. ios propose un puissant mécanisme de chiffrement des données transmises, des méthodes d authentification éprouvées pour l accès aux services d entreprise et le chiffrement matériel de toutes les données stockées sur l appareil. ios offre également une protection fiable grâce à l utilisation de règles de codes d appareil qui peuvent être transmises et mises en œuvre à distance. Et si un appareil tombe entre de mauvaises mains, les utilisateurs et les administrateurs informatiques peuvent lancer un effacement à distance pour supprimer toutes les informations confidentielles de l appareil. Lors de l évaluation de la sécurité d ios en vue de son utilisation en entreprise, il est utile de s intéresser aux points suivants : Contrôle des appareils. Méthodes empêchant toute utilisation non autorisée de l appareil Chiffrement et protection des données. Protection des données au repos, notamment en cas de perte ou de vol d un appareil Sécurité des réseaux. Protocoles de réseau et chiffrement des données transmises Sécurité des apps. Moyen de permettre aux apps de s exécuter en toute sécurité et sans compromettre l intégrité de la plate-forme Services Internet. Infrastructure réseau d Apple pour la messagerie, la synchronisation et la sauvegarde Ces fonctionnalités fournissent une plate-forme informatique mobile sécurisée. Les règles de codes d appareil suivantes sont prises en charge : Exiger un code sur l appareil Exiger une valeur alphanumérique Nombre minimum de caractères Nombre minimum de caractères complexes Durée de vie maximale du code Délai avant verrouillage automatique Historique des codes Délai de grâce avant verrouillage de l appareil Nombre maximal de tentatives infructueuses Sécurité des appareils La mise en œuvre de règles efficaces pour l accès aux appareils ios est déterminante pour protéger les informations d entreprise. Les codes de sécurité des appareils constituent la première ligne de défense contre les accès non autorisés et peuvent être configurés et appliqués à distance. Les appareils ios utilisent le code de sécurité unique établi par chaque utilisateur pour générer une puissante clé de chiffrement afin de renforcer la protection des s et des données d applications sensibles figurant sur l appareil. Par ailleurs, ios fournit des méthodes sécurisées pour configurer l appareil dans un environnement informatique où des réglages, des règles et des restrictions spécifiques doivent être appliqués. Ces méthodes offrent un vaste choix d options pour établir un niveau de protection standard pour les utilisateurs autorisés. Règles en matière de codes d appareil Un code d appareil empêche les utilisateurs non autorisés d accéder aux données stockées sur l appareil ou d utiliser ce dernier. ios propose un nombre important de règles de sécurité afin de répondre à tous vos besoins en la matière, y compris des délais d expiration, le niveau de sécurité (complexité) du code d accès et la fréquence de changement de celui-ci. 17

18 Application des règles Les règles peuvent être distribuées dans le cadre d un profil de configuration à installer par les utilisateurs. Un profil peut être défini de sorte qu un mot de passe d administrateur soit obligatoire pour pouvoir le supprimer, ou de façon à ce qu il soit verrouillé sur l appareil et qu il soit impossible de le supprimer sans effacer complètement le contenu de l appareil. Par ailleurs, les réglages des codes de sécurité peuvent être configurés à distance à l aide de solutions de gestion des appareils mobiles (MDM) qui peuvent transmettre directement les règles à l appareil. Cela permet d appliquer et de mettre à jour les règles sans intervention de l utilisateur. Si l appareil est configuré pour accéder à un compte Microsoft Exchange, les règles Exchange ActiveSync sont «poussées» sur l appareil via une connexion sans fil. L ensemble des règles disponibles varie en fonction de la version d Exchange ActiveSync et d Exchange Server. S il existe à la fois des règles Exchange et des règles MDM, ce sont les règles les plus strictes qui s appliqueront. Configuration sécurisée des appareils Les profils de configuration sont des fichiers XML qui contiennent les règles de sécurité et les restrictions applicables à un appareil, les informations sur la configuration des réseaux VPN, les réglages Wi-Fi, les comptes de courrier électronique et de calendrier et les références d authentification qui permettent aux appareils ios de fonctionner avec les systèmes de votre entreprise. La possibilité d établir des règles de codes et de définir des réglages dans un profil de configuration garantit que les appareils utilisés dans votre entreprise sont configurés correctement et selon les normes de sécurité définies par votre service informatique. Et comme les profils de configuration peuvent être à la fois chiffrés et verrouillés, il est impossible de supprimer, modifier ou partager les réglages. Les profils de configuration peuvent être à la fois signés et chiffrés. Signer un profil de configuration permet de garantir que les réglages appliqués ne peuvent pas être modifiés. Le chiffrement d un profil de configuration protège le contenu du profil et permet de lancer l installation uniquement sur l appareil pour lequel il a été créé. Les profils de configuration sont chiffrés à l aide de CMS (Cryptographic Message Syntax, RFC 3852), prenant en charge 3DES et AES 128. La première fois que vous distribuez un profil de configuration chiffré, vous pouvez l installer via un port USB à l aide d Apple Configurator, ou sans fil à l aide du protocole Over-the-Air Profile Delivery and Configuration, ou encore via une solution MDM. Les profils de configuration chiffrés ultérieurs peuvent être distribués sous forme de pièce jointe à un , hébergés sur un site web accessible à vos utilisateurs ou «poussés» sur l appareil à l aide de solutions MDM. Pour plus d informations, reportez-vous à l article Over-the-Air Profile Delivery and Configuration protocol du site ios Developer Library. Restrictions de l appareil Les restrictions de l appareil déterminent à quelles fonctionnalités vos utilisateurs peuvent accéder sur l appareil. Généralement, il s agit d applications réseau telles que Safari, YouTube ou l itunes Store, mais les restrictions peuvent aussi servir à contrôler les fonctionnalités de l appareil comme l installation d apps ou l utilisation de l appareil photo. Les restrictions vous permettent de configurer l appareil en fonction de vos besoins, tout en permettant aux utilisateurs de l utiliser de façon cohérente par rapport aux règles en vigueur dans votre entreprise. Les restrictions sont configurées manuellement sur chaque appareil, mises en œuvre grâce à un profil de configuration ou établies à distance à l aide de solutions MDM. En outre, comme les règles de codes d appareil, des restrictions concernant l appareil photo ou la navigation sur le Web peuvent être appliquées à distance via Microsoft Exchange Server 2007 et Les restrictions peuvent également servir à empêcher le déplacement d s d un compte à l autre ou le transfert de messages reçus dans un compte depuis un autre. Reportez-vous à l Annexe B pour voir les restrictions prises en charge. 18

19 Chiffrement et protection des données La protection des données stockées sur des appareils ios est cruciale pour tout environnement où circulent des données sensibles. En plus du chiffrement des données transmises, les appareils ios assurent un chiffrement matériel de toutes les données stockées sur l appareil ainsi qu un chiffrement supplémentaire du courrier électronique et des données d applications grâce à une protection améliorée des données. Chiffrement Les appareils ios exploitent un chiffrement matériel. Ce chiffrement matériel utilise l encodage AES sur 256 bits pour protéger toutes les données stockées sur l appareil. Le chiffrement est toujours activé et ne peut pas être désactivé. De plus, les données sauvegardées dans itunes sur l ordinateur d un utilisateur peuvent également être chiffrées. Ce chiffrement peut être activé par l utilisateur ou mis en place à l aide des réglages de restriction de l appareil dans les profils de configuration. ios prend également en charge S/MIME dans Mail, ce qui permet aux utilisateurs de consulter et d envoyer des messages électroniques chiffrés. Les modules cryptographiques d ios 7 et ios 6 ont été validés pour satisfaire aux exigences du standard américain FIPS (Federal Information Processing Standard) Level 1. Cette validation garantit l intégrité des opérations cryptographiques des apps Apple et des apps tierces qui exploitent les services cryptographiques d ios. Pour plus d informations, reportez-vous aux articles Sécurité des produits ios : validations et procédures applicables et ios 7 : version 4.0 des modules cryptographiques ios Apple pour la norme FIPS. Protection des données La sécurité des s et pièces jointes stockés sur l appareil peut être renforcée par l utilisation des fonctionnalités de protection des données intégrées à ios. La protection des données associe le code d appareil unique de chaque utilisateur au chiffrement matériel des appareils ios pour générer une puissante clé de chiffrement. Cela empêche l accès aux données lorsque l appareil est verrouillé, afin d assurer la sécurité des données confidentielles, même si l appareil tombait entre de mauvaises mains. Pour activer la protection des données, il vous suffit de définir un code de verrouillage sur l appareil. L efficacité de la protection des données dépend du code ; il est donc important d exiger et d appliquer un code composé de plus de quatre chiffres lorsque vous établissez vos règles de codes. Les utilisateurs peuvent vérifier que la protection des données est activée sur leur appareil en consultant l écran des réglages de codes. Les solutions de gestion des appareils mobiles permettent également d interroger les appareils pour récupérer cette information. Des API de protection des données sont également à la disposition des développeurs et peuvent être utilisées pour sécuriser les données au sein des apps de l App Store ou des apps d entreprise sur mesure développées en interne. Sous ios 7, les données stockées par les applications se trouvent, par défaut, dans la classe de sécurité «Protected Until First User Authentication», qui est semblable à un chiffrement complet du disque sur les ordinateurs de bureau, et protège les données des attaques impliquant un redémarrage. Remarque : si un appareil a été mis à jour à partir d ios 6, les magasins de données existants ne sont pas convertis pour être intégrés dans cette nouvelle classe. La suppression, puis la réinstallation de l app permettront à l app de bénéficier de cette nouvelle classe de protection. 19

20 Sécurité réseau Protocoles VPN Cisco IPSec, L2TP et PPTP intégrés VPN SSL via les apps de l App Store SSL/TLS avec des certificats X.509 Protocoles WPA/WPA2 Enterprise avec 802.1x Authentification par certificat RSA SecurID, CRYPTOCard Protocoles VPN Cisco IPSec L2TP/IPSec PPTP VPN SSL Méthodes d authentification Mot de passe (MSCHAPv2) RSA SecurID CRYPTOCard Certificats numériques X.509 Secret partagé Protocoles d authentification 802.1x EAP-TLS EAP-TTLS EAP-FAST EAP-SIM PEAP v0, v1 LEAP Formats de certificat pris en charge ios prend en charge les certificats X. 509 avec des clés RSA. Les extensions de fichiers.cer,.crt,. et.der sont reconnues. Touch ID Touch ID est le système de détection d empreinte digitale intégré à l iphone 5s, qui accélère et facilite l accès hautement sécurisé à l appareil. Cette technologie avantgardiste identifie les empreintes digitales sous n importe quel angle et apprend à mieux connaître l empreinte digitale de l utilisateur au fil du temps, le capteur continuant à enrichir la carte de l empreinte avec l identification de nouveaux chevauchements à chaque utilisation. Grâce à Touch ID, l utilisation d un code plus long et plus complexe devient beaucoup plus pratique, car les utilisateurs n ont pas à le saisir aussi fréquemment. Touch ID permet également d éviter l inconfort d un verrouillage par code, non pas en remplaçant celui-ci, mais plutôt en fournissant un accès sécurisé à l appareil au sein de limites et de contraintes temporelles réfléchies. Lorsque Touch ID est activé, l iphone 5s se verrouille dès que l on appuie sur le bouton Marche/arrêt - Veille/éveil. Lorsque la sécurité ne dépend que du code d accès, de nombreux utilisateurs définissent une «période de grâce» du déverrouillage pour éviter d avoir à saisir leur code à chaque utilisation de l appareil. Avec Touch ID, l iphone 5s se verrouille dès qu il se met en veille et exige une empreinte digitale ou éventuellement le code de sécurité pour chaque sortie de veille. Touch ID fonctionne conjointement avec le coprocesseur Secure Enclave contenu au sein de la puce A7 Apple. Le coprocesseur Secure Enclave dispose de son propre espace mémoire chiffré et protégé, et communique de façon sécurisée avec le capteur Touch ID. Lorsque l iphone 5s se verrouille, les clés de la classe de protection des données Complete sont protégées par une clé détenue par la mémoire chiffrée du coprocesseur Secure Enclave. Cette clé est détenue pendant 48 heures maximum et rejetée si l iphone 5s est redémarré ou si une empreinte digitale non reconnue est utilisée cinq fois. Si l empreinte est reconnue, Secure Enclave fournit la clé permettant de «désenvelopper» les clés de protection des données, et l appareil est déverrouillé. Effacement à distance ios prend en charge l effacement à distance. En cas de perte ou de vol d un appareil, l administrateur ou le propriétaire de l appareil peut émettre une commande d effacement à distance qui supprimera toutes les données et désactivera l appareil. Si l appareil est configuré avec un compte Exchange, l administrateur peut initier une commande d effacement à distance à l aide de la console de gestion Exchange Management Console (Exchange Server 2007) ou de l outil Exchange ActiveSync Mobile Administration Web Tool (Exchange Server 2003 ou 2007). Les utilisateurs d Exchange Server 2007 peuvent aussi initier directement des commandes d effacement à distance à l aide d Outlook Web Access. Les commandes d effacement à distance peuvent également être lancées par les solutions MDM ou à l aide de la fonctionnalité Localiser mon iphone d icloud, même si les services d entreprise Exchange ne sont pas utilisés. Effacement local Les appareils peuvent également être configurés pour initier automatiquement un effacement local après plusieurs tentatives infructueuses de saisie du code d appareil. C est un moyen de se protéger des tentatives d accès à l appareil par force brute. Lorsqu un code est établi, les utilisateurs ont la possibilité d activer l effacement local directement à partir des réglages. Par défaut, ios efface automatiquement le contenu de l appareil après dix tentatives de saisie infructueuses. Comme avec les autres règles de codes d appareil, le nombre maximum de tentatives infructueuses peut être établi via un profil de configuration, défini par un serveur MDM ou appliqué à distance par l intermédiaire de règles Microsoft Exchange ActiveSync. 20