Le service iCloud Private Relay d'Apple offre aux utilisateurs confidentialité, sécurité et commodité. Il est préférable de le considérer comme une forme limitée de réseau privé virtuel (VPN) qui protège l'activité de navigation Safari d'un utilisateur contre les regards indiscrets. Mais est-il compatible avec les systèmes VPN existants de votre entreprise ?
(TL ; RD : oui).
Relais privé iCloud et VPN d'entreprise
Les statistiques solides d'utilisation du VPN sont relativement difficiles à obtenir. Security.org indique que les deux tiers des Américains ont utilisé un VPN et environ 38 millions de personnes utilisent régulièrement ces outils. Le passage au travail à domicile pendant la pandémie peut avoir entraîné une augmentation de cette utilisation, 68 % des entreprises commençant ou augmentant leur utilisation de ces services.
L'implication est que plus d'entreprises que jamais auparavant utilisent des services VPN et devront savoir si elles prennent en charge iCloud Private Relay.
La réponse courte est oui, ils sont compatibles. Apple l'a conçu de cette façon.
"Private Relay est conçu pour fournir des informations claires sur l'état et le contrôle à l'utilisateur, et fournir des contrôles appropriés aux entreprises et aux opérateurs de réseau qui peuvent avoir besoin de pouvoir auditer tout le trafic sur leur réseau", explique la société dans son guide réseau récemment publié. Service.
Fonctionnement du relais privé iCloud
Dans sa forme la plus simple, iCloud Private Relay fonctionne en séparant l'identité d'un utilisateur de la nature de sa session de navigation Web Safari.
Lorsqu'ils effectuent une demande de visite d'un site, la demande est transmise via deux relais Internet distincts exploités par deux entités différentes.
- L'un (le "proxy entrant") gérera l'adresse IP d'origine de l'utilisateur, mais il ne connaît pas le nom du site Web qu'il demande.
- L'autre "proxy sortant" utilise une adresse IP attribuée qui n'est pas liée à l'utilisateur pour appeler le site.
- L'idée est que les gens ne peuvent pas se connecter directement aux sites qu'ils visitent et que personne dans la chaîne n'a accès à ces informations.
Le système est suffisant pour prendre en charge des expériences Web personnalisées par emplacement, mais ne compromet pas les restrictions de contenu régionales. Donc, si vous voulez regarder US Netflix depuis votre tablette de luxe à Lisbonne, au Portugal, vous devrez utiliser un VPN. Vous devez également vous assurer de vérifier le service VPN que vous sélectionnez.
Le système dispose d'une sécurité TLS 1.3 renforcée pour chiffrer ce qui se passe entre l'appareil de l'utilisateur et les proxys entrants et sortants. Vous pouvez explorer les pages en ligne dédiées aux relais privés d'Apple et leur récent livre blanc pour une description plus détaillée du système. Cette présentation des développeurs de la WWDC peut également être intéressante.
Comment iCloud Private Relay est compatible avec les VPN d'entreprise existants
Il est compatible avec les systèmes de sécurité d'entreprise existants (y compris les VPN) des manières suivantes :
- Private Relay protège uniquement les connexions établies via des serveurs Internet publics.
- Private Relay permet aux utilisateurs d'accéder directement à des serveurs locaux ou privés (tels que le serveur de votre entreprise).
- S'il détecte que le serveur utilisé n'est pas un nom Internet public, il demandera à l'appareil d'accéder directement au serveur via le réseau local.
- Dans la protection contre les tentatives de phishing où un attaquant peut choisir de se faire passer pour un serveur de réseau local pour accéder aux données, l'appareil n'autorise jamais les connexions directes aux noms figurant sur la liste des trackers connus de DuckDuckGo.
- Private Relay ne tentera pas de proxy le trafic qu'il reconnaît comme spécifique au réseau local.
- La plupart des configurations de réseau géré utilisées par les entreprises ont priorité sur le relais privé
- Si un appareil est équipé d'un VPN, le trafic passant par ce VPN n'utilisera pas de relais privé.
- En outre, une configuration de proxy, telle qu'un proxy global, sera utilisée à la place de Private Relay.
- Si votre réseau interdit l'utilisation de serveurs proxy, iCloud Private Relay ne fonctionnera pas.
Tout cela signifie que si vous utilisez un VPN d'entreprise, iCloud Private Relay ignorera la transaction Internet. Et si vous utilisez un réseau local ou un serveur proxy global, ou interdisez l'utilisation de serveurs proxy sur votre réseau, aucune protection ne sera mise en place.
Une autre exception concerne ceux qui utilisent des paramètres DNS cryptés personnalisés, car le serveur DNS spécifié sera utilisé à la place du relais privé.
Qu'en est-il des systèmes MDM ?
Si votre entreprise gère une flotte d'appareils, Apple a rendu possible l'activation ou la désactivation d'iCloud Private Relay avec ses outils MDM. Pour ce faire, il permet à ces systèmes d'installer et d'utiliser des profils de gestion sur des appareils pour désactiver l'utilisation d'iCloud Private Relay sur eux.
Et les audits réseau ?
Certaines industries exigent que les entreprises enregistrent le trafic réseau, en particulier dans les secteurs très sensibles ou fortement réglementés. Si votre entreprise a besoin d'auditer le trafic réseau, il est alors possible de bloquer l'accès au relais privé.
Dans le cas où l'utilisation du service est bloquée sur son réseau, un utilisateur recevra un message d'erreur l'informant de désactiver le relais privé pour ce réseau ou d'utiliser un autre réseau.
Par conséquent, convaincre vos employés d'utiliser votre réseau plutôt qu'un autre peut être le plus grand défi de sécurité auquel vous êtes confronté.
Qu'est-ce que tu devrais savoir d'autre?
Avec autant d'employés travaillant à distance, il est important de comprendre ce que iCloud Private Relay ne protège pas. Bien qu'il fasse un excellent travail de sécurisation du trafic de navigation d'un utilisateur distant lorsqu'il est traité sur un serveur public utilisant le Wi-Fi ou une connexion Internet filaire, il ne protège pas le trafic envoyé sur les réseaux cellulaires.
Il est également important de noter que seules les sessions Safari sont protégées. Le trafic des applications, des e-mails ou du navigateur ne l'est pas. Si vous et/ou votre entreprise avez besoin de protéger tout votre trafic en ligne (applications, services, e-mails, etc.), vous devez toujours utiliser un VPN.
Le service est tout à fait pertinent. "En raison de la croissance de son activité, les appareils Apple sont désormais la cible d'une menace de sécurité accrue", écrit Garrett Denney, directeur principal chez Jamf.
Comment activer et désactiver la diffusion privée
Private Relay est disponible pour les abonnés iCloud + exécutant iOS 15, iPad OS 15 ou macOS Monterey ou une version ultérieure.
Pour l'activer, ouvrez Paramètres (Préférences Système sur Mac), puis ouvrez votre identifiant Apple > section iCloud et activez Private Relay. Ou désactivez-le pour désactiver le service.
Suivez-moi sur Twitter ou rejoignez-moi aux groupes de discussion AppleHolic Bar & Grill et Apple à MeWe.
Droits d'auteur © 2021 IDG Communications, Inc.