Identité des collaborateurs
Gestion des terminaux
Détection et réponse aux menaces
Gestion des vulnérabilités
Automatisation de la conformité
Centre de confiance
Qu'est-ce que iCloud Private Relay ?
En matière de protection de la vie privée, l'une des plus grandes faiblesses d'Internet a toujours été que, grâce au fonctionnement du système DNS, les fournisseurs de services Internet peuvent savoir quels sites web vous visitez. iCloud Private Relay est un service Apple, inclus dans iCloud+, conçu pour remédier à ce problème, en rendant plus difficile le suivi des utilisateurs lorsqu'ils utilisent le navigateur Safari d'Apple. Il masque les enregistrements DNS et les adresses IP de l'utilisateur. Cela permet également d'empêcher le suivi de l'activité des fournisseurs de réseau et des sites web, ce qui empêche le ciblage publicitaire ou les attaques par hameçonnage basées sur le profilage des utilisateurs. Le système est conçu de manière à ce que personne d'autre que l'utilisateur ne puisse surveiller son activité en ligne.
Que fait iCloud Private Relay ?
iCloud Private Relay préserve la confidentialité de votre activité sur Internet en masquant votre adresse IP aux sites web que vous visitez. Le service crypte également vos données lorsqu'elles quittent votre appareil, ce qui permet d'éviter la surveillance man-in-the-middle et garantit que toutes les requêtes que vous effectuez restent privées. iCloud Private Relay préserve la confidentialité de vos requêtes de sites web en obscurcissant vos requêtes DNS.
Comment fonctionne Private Relay ?
iCloud Private Relay sépare les demandes de ressources Internet de l'identité du demandeur. Pour ce faire, il envoie les requêtes par le biais de deux "sauts" sécurisés, ou relais Internet.
Votre adresse IP reste visible pour votre fournisseur de réseau et pour le premier relais, appelé "serveur d'entrée" et géré par Apple. Mais le contenu est ensuite envoyé via un second relais (le "serveur de sortie"), géré par un réseau de diffusion de contenu (CDN) tiers. Il s'agit notamment d'Akamai, de Cloudflare et de Fastly.
Ce second relais voit une requête DNS chiffrée mais ne sait pas qui fait cette requête. Les enregistrements DNS sont cryptés et l'adresse IP réelle est séparée de la requête, de sorte que personne dans la chaîne ne peut suivre votre activité. Lorsqu'une requête est effectuée, le serveur de destination peut uniquement voir que la requête provient du serveur de sortie, qui fournit une adresse IP temporaire sans rapport avec l'utilisateur.
À l'usage, ces adresses IP temporaires changent au fil du temps pour une protection supplémentaire et peuvent également être transmises à un autre CDN pour être traitées, ce qui rend encore plus difficile le suivi de l'utilisateur. La réponse est envoyée au serveur de sortie, qui l'envoie ensuite au serveur d'entrée contrôlé par Apple sous forme cryptée. Les données - par exemple, le site web que l'utilisateur souhaite visiter - sont alors livrées à l'utilisateur.
Apple ne sait jamais quel contenu a été demandé ; tout ce qu'elle sait, c'est à qui envoyer les données, tandis que le serveur de sortie tiers n'a jamais connaissance de l'adresse IP de l'utilisateur. Une exception est faite lorsqu'un utilisateur demande un contenu spécifique à une région. Dans ce cas, les serveurs demandent parfois une adresse IP. Pour gérer cette situation, iCloud Private Relay ne partage pas l'emplacement spécifique mais fournit une adresse IP qui représente la région dans laquelle se trouve l'utilisateur.
Comment iCloud Private Relay protège-t-il vos données ?
iCloud Private Relay utilise une multitude de protocoles de transport et de sécurité Internet pour mener à bien sa mission. Deux technologies clés sont le protocole QUIC (Quick UDP Internet Connections) utilisé pour gérer plusieurs flux de données et Oblivious DNS over HTTPS (ODoH). Ce dernier a été développé conjointement par Apple, Cloudflare et Fastly. Techniquement, le serveur d'entrée d'Apple achemine les données via une URL iCloud Mask (par exemple, mask.icloud.com), généralement via le port 443.
Comment les utilisateurs mettent-ils en œuvre le relais privé iCloud ?
iCloud Private Relay nécessite que l'utilisateur utilise iOS 15, iPadOS 15 ou macOS 12 ou une version ultérieure. Il nécessite également un abonnement iCloud+. Un utilisateur qui remplit ces conditions peut activer le relais privé dans la section iCloud de Réglages (iPad/iPhone) ou de Réglages système (Mac). Lorsqu'il active le relais privé iCloud, l'utilisateur peut choisir de conserver sa position générale, ce qui est le meilleur paramètre pour l'accès aux sites web, ou de ne partager que le pays et le fuseau horaire, ce qui rend la position de l'utilisateur plus obscure mais signifie que certains sites ne fonctionneront pas pour lui.
Le relais privé iCloud n'est pas toujours la meilleure solution de sécurité. Par exemple, il ne fonctionnera pas si l'utilisateur se rend dans un pays où le service n'est pas proposé, notamment la Chine, la Biélorussie, la Colombie, l'Égypte, le Kazakhstan, l'Arabie saoudite, l'Afrique du Sud, le Turkménistan, l'Ouganda et les Philippines. Private Relay vous informera de son indisponibilité et de sa réactivation, mais pendant qu'il est désactivé, les fournisseurs de réseau et les sites web pourront à nouveau surveiller votre activité dans Safari.
En quoi iCloud Private Relay est-il différent d'un VPN ?
Bien qu'iCloud Private Relay offre une certaine sécurité contre le suivi et le profilage des utilisateurs, il ne s'agit pas d'un réseau privé virtuel (VPN). Non seulement le système est conçu pour ne fonctionner que dans Safari, mais il ne fonctionnera pas dans certains endroits.
Un autre problème est qu'en raison de l'architecture d'iCloud Private Relay, certains sites web, tels que ceux qui dépendent du filtrage IP, de la surveillance ou de la limitation de débit, peuvent ne pas fonctionner sans votre adresse IP. L'utilisateur peut alors choisir de désactiver complètement la protection pour visiter le site, mais il est également possible de désactiver Private Relay pour chaque site :
- Mac : Naviguez jusqu'au site et, dans le menu Affichage de Safari, choisissez Recharger et Afficher l'adresse IP.
- iPhone/iPad : Accédez au site, touchez le bouton Paramètres de la page, puis touchez Afficher l'adresse IP.
Certaines applications, notamment les VPN et les logiciels de filtrage d'internet, peuvent nécessiter des paramètres ou des extensions incompatibles avec cette fonctionnalité.
Le relais privé iCloud est-il sûr ?
Rien n'est jamais totalement sûr dans le domaine de la technologie. En ce qui concerne iCloud Private Relay, le service achemine les requêtes de données internet effectuées à l'aide de Safari via Private Relay, mais cette protection n'est pas infaillible. Par exemple, Apple et ses partenaires peuvent être en mesure d'accéder au contenu des pages visitées si elles sont chargées via HTTP et non HTTPS. Le fait que le service ne fonctionne pas en dehors de Safari ou dans certains pays en fait également une alternative moins sûre que les services VPN classiques.
Le fait qu'iCloud Private Relay révèle qu'une demande provient d'un iPhone, d'un iPad ou d'un Mac et suggère que la demande émane d'un utilisateur disposant d'un abonnement iCloud+ constitue un autre problème.
Gestion d'iCloud Private Relay
Dans certains cas, le service informatique peut avoir besoin de restreindre l'utilisation d'iCloud Private Relay sur les appareils gérés en faveur du VPN officiel de l'entreprise. Certaines entreprises peuvent également avoir une politique qui exige que tout le trafic réseau soit audité. Bien que tout appareil utilisant Private Relay valide intrinsèquement qu'il s'agit d'un iPhone, d'un iPad ou d'un Mac et que l'utilisateur dispose d'un abonnement iCloud+, Apple permet aux administrateurs réseau d'interdire cette fonctionnalité au niveau de chaque appareil à l'aide de MDM. Bien que les implémentations varient, le contrôle Disallow iCloud Private Relay (disponible dans le panneau Restrictions de Kandji) empêche l'utilisation du service. Apple a publié des informations supplémentaires à l'intention des administrateurs de serveurs et de réseaux.