Sécurité et confidentialité sur les appareils iOS / iPadOS

Pablo F. Iglesias

Expert en cybersécurité

MIS À JOUR: 13 mai 2021

Le succès du contrôle absolu de toute la chaîne

Dans l’article précédent, j’ai souligné le fonctionnement du système d’exploitation de Google, dont le modèle économique est basé sur l’exploitation des données avec ses applications et une politique de mise à disposition de logiciels libres qui leur a permis de croître énormément en si peu de temps, et devenant  aujourd’hui majoritaire au quotidien sur tous les systèmes d’exploitations mobiles ou non.

Cependant, Apple continue de conserver environ 20% de part de marché à l’échelle mondiale, ce qui n’est pas mal du tout étant donné qu’ils contrôlent presque complètement le développement et la chaîne de distribution de leurs produits. Autrement dit, ils ne sont pas seulement responsables de la conception du système d’exploitation, mais également de l’appareil lui-même, et même du fait qu’il atteigne le client final via leurs magasins physiques.

Sécurité sur les appareils iOS

Et c’est précisément ce qui fait d’iOS / iPadOS (et MacOS) un excellent pari pour ceux qui veulent quelque chose qui fonctionne simplement, et qui pour couronner le tout,  le fait extrêmement bien.

Comme ce fut le cas sur le bureau, iOS, avec sa version pour iPad, iPadOS, s’engage à un contrôle absolu de l’expérience utilisateur. Avec un iPhone ou un iPad, vous ne pouvez faire que ce qu’Apple autorise un utilisateur à faire. Sur un iPhone ou un iPad non jailbreaké, vous ne pourrez installer que des applications ayant passé les contrôles d’Apple. Et comme l’activité d’Apple est de vendre ses propres produits, et que pour couronner le tout, Google est leur concurrent direct, ils se sont même permis le luxe d’aller contre l’industrie, en intégrant de façon automatique la sécurité et la confidentialité dans leur écosystème.

Il n’existe qu’une seule version d’iOS, sans qu’ aucune possibilité de personnalisation n’y soit intégrée. Il n’y a, de plus, que quelques appareils de la marque à la pomme sur le marché. Sans oublier qu’ils proposent un catalogue beaucoup plus restreint que ce que nous trouvons  sur Android, ne provenant pour la plupart que d’une seule entreprise, avec des exigences particulières de sécurité et de confidentialité. Moins de vecteurs d’attaque rendent le système plus facile à contrôler.

La stratégie dont nous avons déjà discuté dans les modules précédents concerne les autorisations de bases requises au jour le jour dans ce système. Cela n’a pas de sens pour un utilisateur d’avoir besoin des autorisations d’administration. Vous ne les aurez donc pas sur  système d’exploitation iOS / iPadOS ( sans jailbreak, vous ne pourrez jamais les obtenir, en réalité), minimisant ainsi considérablement les vecteurs de risque et d’attaque.

Dans ce cas précis, il n’y a pas de clause de non-responsabilité valable. Étant donné il n’y a qu’un seul système d’exploitation qui est le même pour tous, même si certains appareils sont spécifiques, les captures d’écran que vous voyez ici ne seront sujettes qu’à des changements minimes dans la structure et la forme des menus qu’Apple souhaite proposer pour ses futures versions d’OS.

Quelques captures d’écran qu’un ami m’a d’ailleurs envoyé (merci Jorge), tout en gardant en tête qu’il en va de même avec les menus de l’iPhone et non avec l’iPad, qui est l’appareil mobile Apple que je possède.

Foncez!

mots de passe et comptes ios

Confidentialité sur iOS

Le premier avantage d’iOS par rapport à Android est sa facilité d’utilisation. Nous trouverons tous les paramètres possibles à disposition dans le panneau Paramètres.

Dans chaque application, il peut cependant y avoir une sorte de paramétrage supplémentaire, mais Apple oblige les développeurs à n’en proposer proposer qu’un nombre défini dans les paramètres. Et même si ce n’est pas le cas, et que les autorisations peuvent être gérées à partir de ce panneau, en pratique, nous avons pratiquement tout ce dont nous avons besoin au même endroit pour gérer la confidentialité et la sécurité de notre appareil mobile.

En commençant donc par la section Comptes et mots de passe, dans laquelle nous pouvons vérifier tous les paramètres que nous avons déjà définis avec notre compte iCloud, et accessoirement, avec le reste des comptes associés à l’appareil: Accès aux applications et autorisations, portée d’utilisation, de suppression ou de modification de comptes …

iOS, en passant, fonctionne sous le paradigme du sandboxing. Cela signifie que chaque application fonctionne dans un environnement dans lequel elle est la seule à exister. Ainsi, pour contacter une autre application ou un service du système d’exploitation, vous devez demander des autorisations au système d’exploitation. Ce qui est est une véritable plaie au niveau de la convivialité (combien de fois avez-vous constaté que vous ne pouvez pas envoyer tel ou tel fichier sur une autre application?), mais est une réussite au niveau de la sécurité et du contrôle de la confidentialité.

Sachant cela, la prochaine étape devrait être évidente: la section Confidentialité.

Dans ce menu, nous verrons tout ce qui concerne la gestion de la confidentialité de notre appareil, avec les applications qui utilisent des fonctionnalités spécifiques.

Que devons-nous regarder à partir d’ici? Je vous recommande d’entrer chaque élément du menu un par un, en considérant bien si vous souhaitez ou non conserver ces autorisations telles quelles.

Dans la plupart des cas, en fait, vous n’avez pas d’éléments à gérer. Par exemple, dans les calendriers, vous n’obtiendrez que les applications qui utilisent les comptes associés aux calendriers. Si vous n’en utilisez pas, vous n’aurez rien à faire. Et c’est la même chose avec les contacts, le microphone, avec la reconnaissance vocale

Il est recommandé de laisser active la géolocalisation … pour des raisons de sécurité. Grâce à elle, nous pourrons recourir à des fonctions supplémentaires si un jour l’appareil est perdu ou volé. Bien sûr, il est pratique de consulter sa section pour voir quelles applications y ont accès, en éliminant celles qui ne nous intéressent peut-être pas, ou en configurant d’autres pour qu’elles n’y aient accès que lorsque nous les utilisons (par exemple seulement en arrière-plan).

Touch ID et déverrouillage

La prochaine étape se nomme « Touch ID et code », ce qui nous nous permettra de gérer le comportement de cette fonctionnalité iOS.

J’ai déjà fait des recherches sur le blog sur ce que représente Touch ID en termes de confidentialité et de sécurité, donc je ne m’attarde pas plus.

En gros, et comme je l’explique dans le module de prise en main d’Android , il vaut mieux utiliser l’empreinte digitale que la reconnaissance faciale, c’est mieux que le mot de passe alphanumérique, mieux que le code PIN, et également bien mieux que le schéma de déverrouillage.

Mais une chose est sûre, vous devez avoir un système de déverrouillage, et celui-ci est activé chaque fois que vous utilisez l’appareil mais également lorsque l’appareil est inactif.

Tout cela est configuré dans cette section.

De plus, je préfère que pendant que le mobile est bloqué, la grande majorité des services ne puisse pas être utilisée, à commencer par Siri (très régulièrement, il peut y avoir des attaques basées sur le contournement du système de blocage à l’aide de commandes vocales).Ainsi, pensez bien en utilisant et configurant votre mobile (avez-vous vraiment besoin de voir les notifications, ou d’accéder au centre de contrôle de l’appareil, sans le déverrouiller?).

Urgences et navigation

Enfin, nous devons voir de plus près ces deux options.

Dans le premier cas, nous pouvons configurer les informations que le terminal affichera publiquement. Très utile si nous perdons l’appareil … ou bien encore, cas plus rare, si pour une raison quelconque nous perdons connaissance dans un lieu public.

N’importe qui peut prendre l’appareil, consulter la section d’urgence (il n’est pas nécessaire de le déverrouiller) et si nous l’avons configuré correctement, afficher un numéro de téléphone d’urgence à contacter, ainsi que des informations vitales qui pourraient nous sauver la vie (allergies, maladies … .).

De plus, et puisque sous iOS et aussi sur son homologue iPadOS, le seul moteur de navigation autorisé est Safari (il existe d’autres navigateurs dans l’AppStore, mais ils utilisent tous le moteur d’Apple), il peut aussi être intéressant de désactiver le suivi et l’exploration inter sites de Safari.

Encore une fois, je le souligne, Apple ne dépend pas de cela, et qui est en plus une plateforme et un service que les utilisateurs apprécient positivement. Nous visons davantage Google, qui vit de la publicité, et qui est aussi son concurrent direct. C’est donc un gagnant-gagnant à part entière pour les équipes de Cupertino.

À tout cela, nous devrions inclure les mesures de sécurité et de confidentialité que nous connaissons tous déjà, parmi lesquelles l’utilisation d’un VPN payant ou d’un moyen de contrôle propre activé pour se connecter à partir de réseaux WiFi publics.

Comme je vous l’ai déjà dit, dans mon cas j’utilise NordVPN, qui a été déjà considéré à plusieurs reprises comme l’un des plus complets du marché jusqu’à présent. Mais en pratique, vous pouvez utiliser n’importe quel service VPN payant (services gratuits en direct par trafic de données), ou créez vous-même un VPN avec votre réseau domestique.

Grâce aux VPN, toutes les connexions que vous établissez sont cryptées une fois entré dans votre appareil, évitant ainsi les attaques typiques de cyber pirates et autres hackers, mais aussi et les éventuelles localisation  de votre connexion.

Voilà, avec tout  cela, nous avons couvert en profondeur toutes les principales options que le système d’exploitation mobile d’Apple nous offre.

Rendez-vous dans quelques jours avec un autre tutoriel. Jusque-là … j’espère que celui-ci vous a bien servi!

À propos de l'auteur

Pablo F. Iglesias

Expert en cybersécurité

Je m’appelle Pablo F. Iglesias, et je suis avant tout passionné de technologie, avec plus de dix ans d’expérience dans le développement, le marketing et la cybersécurité.

Je gagne ma vie en tant que consultant en présence numérique et en réputation en ligne, même si j’ai également travaillé pour d’autres secteurs comme (R&D pour la téléphonie, Mozilla, BBVA…). Pour faire simple, je suis le président de CyberBrainers Online Reputation Consultancy, et pendant tout ce temps j’ai été le fondateur, co-fondateur, membre et vice-président de plusieurs autres startups et associations liées au monde de la cybersécurité, de la transformation numérique et du marketing.