Jakub Jirsk - Fotolia
iOS 9 s’apprête à encore améliorer la sécurité des terminaux Apple
Attendue pour ce mercredi 16 septembre, la nouvelle version du système d’exploitation client des terminaux mobiles frappés d’une pomme intègre quelques nouveautés appelées à renforcer la sécurité de l’écosystème.
Chaque version d’iOS est l’occasion d’améliorer la sécurité du système d’exploitation mobile d’Apple. Sa nouvelle mouture, numérotée 9, n’échappe pas à la règle, avec quelques nouveautés.
L’une d’entre elle concerne le chargement d’applications en dehors du magasin applicatif du constructeur. Avec les versions antérieures d’iOS, l’iPhone ou l’iPad se contente de demander à l’utilisateur s’il souhaite faire confiance à un tiers qui n’est pas reconnu par Apple comme un développeur de confiance.
Accepter d’accorder sa confiance suffit alors à lancer l’application, fut-elle l’œuvre de personnes malveillantes. Avec iOS 9, Apple est allé plus loin : l’utilisateur doit entreprendre d’aller dans les réglages de son appareil pour consulter les certificats suspects. C’est là qu’il peut décider ou non de faire confiance aux développeurs ayant émis ces certificats ; les applications correspondantes présentes sur l’appareil sont également là listées ; il est possible de toutes les effacer en une fois depuis cet écran. L’utilisateur ne peut pas accorder sa confiance à un développeur non validé sans passer par cet écran, et iOS ne permet pas d’exécuter ses applications sans cela.
Des applications mieux contrôlées
Une contrainte supplémentaire, en somme, pour qui veut accéder à des applications considérées par Apple comme à priori moins sûres que celles validées par ses équipes, et que Lookout salue comme avancée bien réelle, dans un billet de blog. Et de souligner au passage que « les entreprises qui distribuent des applications développées en interne seront heureuses de savoir que les applications poussées via un outil de MDM recevront automatiquement la confiance d’iOS 9 » : les employés pourront y accéder directement et sans contrainte.
Mais Apperian soulève toutefois une difficulté, côté DSI : iOS 9 « ne devrait plus supporter certaines fonctionnalités avec les applications signées à l’aide de profils génériques ». Commodes, ces profils permettent de signer par exemple plusieurs applications développées en interne. Mais avec iOS 9, Apple entend favoriser le recours à une pratique plus rigoureuse : un certificat de provisionnement par application.
Et plus sûres
Mais ce n’est pas tout. Apple a également prévu dans iOS 9 un dispositif permettant de renforcer la sécurité des communications entre applications mobiles et serveurs applicatifs. Baptisé App Transport Security, ce dispositif actif par défaut pour les applications iOS 9 et OS X 10.11, s’appuie sur TLS 1.2, des certificats signés avec SHA256 ou mieux et une clés RSA 2048 bits ou mieux, ou une clé ESS 256 bits ou plus. Apple détaille par ailleurs les 11 algorithmes de chiffrement qu’il accepte pour la liaison TLS.
Si ces contraintes ne sont pas respectées, les tentatives de connexion échoueront, à moins que le développeur n’ait pris la peine de déclarer une exception dans le fichier info.plist de l’application. Dans une note technique, IBM recommande ne pas recourir à cela, ni de désactiver App Transport Security et détaille comme configurer MobileFirst Platform Server de manière appropriée.