Apple rappelle que le relais privé iCloud ne fonctionne pas pour tout

Nicolas Furno |

Le relais privé iCloud est l’une des nouveautés en matière de sécurité d’Apple pour 2021, même si cette nouveauté sortira plutôt en 2022. Elle est actuellement toujours en bêta et ne fonctionne pas pour tous les sites, ce qui n’empêche pas le constructeur de la détailler avec un nouveau document publié ce mois-ci. Si vous avez lu nos précédents articles sur le sujet ou nos livres sur les mises à jour d’iOS ou macOS, vous n’apprendrez pas grand-chose, mais Apple y liste tous les cas d’exclusion.

Schéma du fonctionnement du relais privé, image Apple.

Puisque cette fonction est pensée pour protéger l’utilisateur sur internet, en masquant sa véritable adresse IP sur les sites web qu’il visite pour faire simple, elle est automatiquement désactivée sur les réseaux locaux. Si vous accédez à un site web sur l’intranet de votre entreprise, le relais privé ne sera pas actif, pour donner un exemple. Dans le même ordre d’idée, les appareils qui sont gérés par une entreprise, avec des paramètres réseau spécifiques, ne bénéficieront pas des protections d’Apple, ces paramètres prenant alors le dessus.

Si vous définissez des paramètres réseau personnalisés, le relais privé peut aussi être désactivé, mais uniquement si vous définissez un serveur DNS chiffré, ce qui implique de passer par une app tierce ou un profil. Si vous définissez un DNS « à l’ancienne », sans chiffrement, le relais privé d’iCloud restera actif.

Enfin, plusieurs exclusions touchent les réseaux cellulaires sur les appareils iOS. Le relais privé est actif pour tout ce qui concerne l’accès à internet, la navigation dans Safari comme dans les apps restera ainsi correctement protégée. En revanche, plusieurs fonctions spécifiques aux réseaux cellulaires nécessitent un accès direct qui implique de désactiver le relais privé. Voici ces fonctions qui se passeront de la sécurité supplémentaire fournie par la nouveauté d’Apple :

  • appels téléphoniques ;
  • SMS et MMS ;
  • boite vocale visuelle ;
  • partage de connexion.
Partager la connexion cellulaire désactive automatiquement le relais privé iCloud.

Les trois premiers sont des évidences : vous n’accédez pas à internet, mais aux services fournis directement par votre opérateur, qui doit en outre vous identifier correctement. La dernière restriction est plus surprenante, mais elle s’explique probablement par une particularité des connexions partagées. Quoi qu’il en soit, il faut le garder en tête : vous ne serez pas protégé par le réseau privé si vous vous connectez en partageant la connexion cellulaire d’un iPhone ou iPad.

Le document se fait plus discret sur tous les pays qui ne disposent pas de la fonction, car il y a plusieurs restrictions géographiques. La Russie est venue s’ajouter à la liste cet automne, mais il y a des pays qui n’y ont jamais eu droit :

  • Afrique du Sud ;
  • Arabie saoudite ;
  • Biélorussie ;
  • Chine ;
  • Colombie ;
  • Égypte ;
  • Kazakhstan ;
  • Ouganda ;
  • les Philippines ;
  • Russie
  • Turkménistan.

avatar R-APPLE-R | 

@0MiguelAnge0

Nord peut le faire aussi mais vous semblez ne pas être au courant et en plus vous dites n’importe quoi désolé :
«Nord VPN n’est pas comparable au RP et ils utilisent des technologies assez désuettes: voilà pourquoi ils ne couvrent pas certaines régions car ils sont facilement identifiables et blocables….»

Est-ce que NordVPN fonctionne en Chine ?
Grâce à l’obfuscation supplémentaire et au cryptage infaillible (plus de détails à ce sujet bientôt), NordVPN est l’un des meilleurs services pour la Chine.
Il en faut beaucoup pour qu’un VPN réussisse à contourner le Grand Firewall, et même les fournisseurs les plus réputés peuvent avoir des difficultés à y parvenir. Toutefois, NordVPN s’est avéré être un choix fiable pour la Chine à de nombreuses reprises – il suffit d’installer le VPN avant d’arriver dans le pays, autrement vous pourriez avoir du mal à accéder au site pour télécharger le logiciel. Si vous êtes déjà en Chine et que vous avez besoin d’un VPN fiable qui fonctionne dans ce pays, ExpressVPN peut vous aider. Il possède son propre site .onion dans le réseau Tor (ce qui veut dire que vous pourrez télécharger l’appli même si le site d’ExpressVPN est bloqué en Chine). Si vous avez pu télécharger NordVPN avant d’arriver en Chine, il propose des applis et des paramétrages optimisés pour les pays ayant un accès restreint à internet, que vous trouverez facilement dans sa section « Aide ».
Les serveurs obfusqués de NordVPN fonctionnent également dans d’autres endroits difficiles d’accès comme l’Iran, le Qatar et les Émirats Arabes Unis. Il est possible de rencontrer des difficultés – aucun VPN n’est efficace à 100% dans de tels cas. Mais il est difficile de trouver un service plus fiable pour ce genre d’action.

Source : https://fr.vpnmentor.com/reviews/nordvpn/

avatar 0MiguelAnge0 | 

@R-APPLE-R

NON: cela ne fonctionne pas en Chine car ses abrutis utilisent le port 1194!

A moins que tu viennes me dire que tu as voyagé récement en Chine pour le vérifier, ce qui est mon cas.

Tu devrais essayer de te faire une propre opinion basée sur des faits et non pas sur des salades marketings.

avatar R-APPLE-R | 

@0MiguelAnge0

Désolé mais je préfère croire VPN Mentor qu’un simple badauds ne le prenait pas mal mais vous n’avez pas dû bien l’utiliser puisque eux y arrivent…🤗😮‍💨🤐😵😷

avatar 0MiguelAnge0 | 

@R-APPLE-R

Je ne le prends pas mal: je les ai évalués et je suis passé à autre chose.

Pour moi le meilleur fournisseur VPN doit faire profile bas et son prix doit avoir un sens d’un point de vue business.

Ceux qui font sans cesse des campagnes marketing aggressives visant à avoir le maximum de clients possibles, je m’en méfis, car si j’étais une agence à 3 lettres, je ferai mon possible pour avoir des backdoors chez eux…

avatar R-APPLE-R | 

@0MiguelAnge0

Avec des si ont refait le monde tant que vous êtes dans la supputation rien de se que vous dites n’est pertinent

avatar scanmb | 

@0MiguelAnge0

Bonjour,
Y a-t-il un vpn qui peut sembler fiable ?
J’avais vu un tableau comparatif qui avait l’air de documenter une « foultitude » de vpns, et nordvpn avait l’air « pas trop mal »; mais bon.(je n’arrive pas à retrouver le site)
Peut-être celui que l’on fait chez soi de son NAS ?

avatar Shaskan | 

@scanmb

C’est une question compliquée.

Un fournisseur de VPN c’est quelqu’un en qui tu dois avoir confiance car il a accès à tout ce que tu fais. Le trafic est encrypté entre toi et lui puis décrypté dans le serveur avant d’être ré encrypté vers la destination.

Le NAS à la maison ne sera pas efficace car tu sortiras toujours avec l’IP publique de chez toi.

Le mieux est de monter son propre VPN sur un serveur dans le cloud. Mais ce n’est pas infaillible car ton fournisseur cloud sait où tu iras mais au moins il n’aura pas accès aux données décryptée qui passent sur ton serveur.

avatar scanmb | 

@Shaskan

Merci pour l’explication

avatar 0MiguelAnge0 | 

@scanmb

Pour t’aider, je te laisse visiter les 2 sites plus bas:
- https://freedom.press/training/choosing-a-vpn/
- https://techlore.tech/vpnchart.html

Ensuite si tu ne souhaites pas fouiller, en recoupant les 2, tu devrais trouver ton bonheur.

Une chose importante est qu’un fournisseur qui n’est pas dans la liste n’est pas risqué par défaut: il faut faire plus de recherches à ce moment là….

Ensuite pour blinder ton choix:
- tu choisis une offre minimum que tu puisses résilier
- tu te crees une adresse mail juste pour l’occasion
- tu t’inscrits avec et tu refuses toutes les démarches commerciale

Si tu recevais de la pub pendant ce temps d’observation, fuis le fournisseur….

avatar fte | 

@scanmb

"Peut-être celui que l’on fait chez soi de son NAS ?"

Gérer un tel système n’est pas anodin. En particulier, la sécurité passe obligatoirement par un audit régulier des logs : vérification humaine.

Oui, avec réserves donc.

Certains fournisseurs, derrière le marketing pas toujours très brillant, sont sans doute plus de confiance que d’autres. La législation locale est essentielle à considérer.

Après, quelle est la finalité exacte ? Se protéger, si se protéger, de qui ?

avatar Bigdidou | 

@fte

« Se protéger, si se protéger, de qui ? »

J’adore la fausse naïveté :D
Après, c’est vrai qu’en Suisse, vous devez pas avoir HADOPI ;)

Sinon, certains achats via tor, c’est toujours plus prudent…😇

Bon, rien d’indispensable (ni peut être même de très légal, mais les lois, c’est si compliqué… ).

avatar Tomtomrider | 

@0MiguelAnge0

Moi Nord VPN il arrive déjà pas à sortir de mon entreprise. Si je veux utiliser le wifi de mon employeur et un vpn c’est soit relais privé soit ProtonVPN. Alors que Nord VPN arrive à sortir de chine je n’y crois pas vraiment.

avatar Shaskan | 

@Tomtomrider

Dans les firewall si tu filtres sur le L7 et que tu fais de l’app control tu peux très facilement bloquer nordvpn etc.

avatar Tomtomrider | 

@Shaskan

Du coup qu’est-ce qui explique que proton puisse sortir par exemple ? Juste que mon administrateur réseau n’a pas jugé utile de bloquer ce vpn là?

avatar Shaskan | 

@Tomtomrider

C’est que ton admin ne l’a probablement pas bloqué.

Après certains vpn encapsule le flux dans de l’HTTPS et ça peut des fois être plus compliqué à filtrer mais en tout cas c’est toujours possible de bloquer. Ton admin a probablement prit le temps de le faire pour les plus connus mais pas pour ceux qui ne passent pas sur toutes les vidéos YouTube lol

avatar Tomtomrider | 

@Shaskan

Lol, d’accord merci de l’info

avatar Sindanarie | 

@cecile_aelita

Tu veux bien arrêter d’embêter tous ces gens honnêtes et au dessus de tous soupçons ? 🤣

avatar cecile_aelita | 

@Sindanárië

J’embête personne moi 😊😋

avatar QuentinRth | 

@R-APPLE-R

De mon côté je n'avais quasiment aucune perte de débit quand j'étais en fibre Free, là je suis passé chez Bouygues et la perte de débit est stratosphérique c'est divisé par 10 quasiment (sur speedtest, et même en usage réel je remarque des lenteurs)

avatar R-APPLE-R | 

@QuentinRth

Donc je suis pas le seul.

avatar cecile_aelita | 

@QuentinRth

Moi je suis chez bouygues et je n’ai pas ce niveau de perte !
Et crois moi je suis tout sauf une bidouilleuse lol

avatar Fanoo | 

Quelque chose me dit que cette liste de pays… on la retrouvera souvent.

avatar 0MiguelAnge0 | 

Le partage de connection en chiffrée demande une spécifité hardware…

Cela dit ceux utilisant cela pour ensuite se logger avec leurs identifiants, cela ne servira à rien.

En fait Apple réinvente Tor avec 2 relais tout en possédant les serveurs et sans ouvrir le code et solliciter une expertise d’un acteur neutre…

Je ne vois pas trop l’intérêt sachant qu’en plus Apple desactivera cela dans certains pays. Bref ce qui ont vraiment besoin d’annonyma, continueront à utiliser les solutions qui existent depuis des lustres

avatar Derw | 

@0MiguelAnge0

« continueront à utiliser les solutions qui existent depuis des lustres »

Qui sont ?

avatar 0MiguelAnge0 | 

@Derw

Tor par exemple, Tails si tu veux un truc qui englobe le système.
Et l’avantage de Tor, cela couvert sur le papier toutes les régions….

Par contre quelle que soit le type de connection si le gars s’identifie sur n’importe quel site ensuite, c’est complètement mort. Où clique sur des liens qui ouvrent des Apps sur lequel il est identifié.

Bref, j’ai l’impression que cela va donner une fausse inpression d’invisibilité…

avatar Derw | 

@0MiguelAnge0

Ok, merci. J’avoue que c’est un domaine que je ne connais absolument pas.

« Par contre quelle que soit le type de connection si le gars s’identifie sur n’importe quel site ensuite, c’est complètement mort. »

Oui, enfin là, c’est évide ! 😉 Quand tu montres ta carte d’identité, t’es connu !

« Où clique sur des liens qui ouvrent des Apps sur lequel il est identifié. »

Là, par contre, c’est plus insidieux, parce qu’on n’y pense pas forcément.

avatar 0MiguelAnge0 | 

@Derw

Tout dépend de ton ‘threat model’. Les plus extrêmes utilisent tails car par défaut tu n’as même pas de stockage local.

Pour les liens, il y a 2 solutions:
- tu surfes d’une machine virtuelle qui n’a rien. Machine virtuelle ou même un Raspberry Pi: un truc impersonnel
- tu utilises firefox et tu le paramètres pour demander tjrs avant de faire une action: moins parfais que la VM mais au moins il y a un filet

Il faut 33bits d’information pour identifier n’importe qui. Avec Safari, en le configurant le plus strictement, le meilleur score que j’ai eu, c’est une emprieinte de 17bits. Le soucis c’est que Safari est utilisé par 2% des gars, alors que le systeme le plus utilisé c’est Win10 sur base x86 (14%).
Là encore on peut améliorer son empreinte en modifiant som user agent (le string envoyé à chaque page internet avec les infos systèmes).

Le hic, c’est que Safari ne le propose pas par défaut. En activant le mode dev, on peut le changer, MAIS au prochain redémarrage, on repard avec la valeur OSX. Pour moi cela montre à quel point Apple fait du business avec la vie privée mais n’applique pas les bases.

Je n’utilise pas Safari: Firefox qui en ajoutant un paramètre permet de masquer son user agent, sans perdre à l’expérience utilisateur.

Dans le même genre, il y a les password manager: va utiliser autre chose que la solution d’Apple et il y a une grosse alerte dans Safari indiquant que l’autre extension verra les résultats de navigation. Correct.
Mais pourquoi ne pas indiquer la même chose avec le PM d’Apple…?!!

avatar Shaskan | 

@0MiguelAnge0

Attention avec Tor c’est une vraie saloperie, les serveurs sont remplis de mouchard il suffit de placer ses serveurs en entrée et sortie des noeuds avec un sniffer pour obtenir beaucoup d’infos.

Tor c’est loin d’être fiable

avatar 0MiguelAnge0 | 

@Shaskan

Là tu pars du principe qu’à l’entrée de Tor tu pars de chez toi….
J’ai parlé de Tor, mais pas que cela suffisait. Il faut aussi faire attention à ses requêtes DNS, et il y a aussi d’autres techniques permettant de courrir plus vite que ceux qui essayent de te suivre… :)

avatar Derw | 

@0MiguelAnge0

Merci pour toutes ces infos qui confirmes que mes usages d’internet ne justifient pas le temps qui me serait nécessaire pour monter en compétences sur le sujet.

Du coup, la solution d’Apple semble fournir une solution simplifiée, avec les limitations que cela implique…

avatar 0MiguelAnge0 | 

@Derw

Oui: mais fais attention aux liens… ;)

avatar Shaskan | 

@0MiguelAnge0

Alors oui couplé à un VPN ça va encrypté ta data que tu fais passer ensuite via TOR (après faut faire confiance au tiers que tu utilises pour le VPN). On peut prendre l’exemple d’un VPN qui était ultra recommandé pour l’usage de TOR qui en fait était un outil de la NSA pour choper les criminels lol

avatar 0MiguelAnge0 | 

@Shaskan

Recommander = fuir en courant.

Brave était aussi prisé pour leur solution TOR jusqu’à ce qu’ils leakent les DNS de leurs utilisateurs, pendant des mois…

Il y a différentes techniques avec plus ou moins de complexité.
Mais la sagesse recommande d’éviter celles qui sont mises en avant, car ce sont les premières qui sont soi douteuses et/ou celles attaquaient en premier…

avatar Shaskan | 

@0MiguelAnge0

Entièrement d’accord. Après le mieux reste un VPN Homemade sur un server avec disque crypté et accès restreints.

Mais il y aura toujours un tiers qui devra router le flux vers sa destination finale et qui de ce fait connaîtra 50% des infos 😅.

On est jamais 100% anonymes sur internet on peut juste brouiller plus ou moins bien les pistes en espérant que ce soit suffisant

avatar alastorne | 

Il faudrait que je teste un temps de désactiver cette fonction pour voir la différence, mais j’ai l’impression qu’elle cause l’apparition de barrières d’authentification Google (vous savez, les « cases puzzle » à cocher pour confirmer qu’on est bien humain 😓). C’est super chian, je fois faire ça 5 ou 6 fois par jour. 😤

avatar bes | 

@alastorne

Idem pour moi….. j’en ai marre des passages piétons et cheminées !

avatar Half | 

@alastorne

Je te le confirme oui

avatar Rajindael | 

@alastorne

C’est causé par le fait que ton ip public change au grés de tes connexion. Y’a +/- le même pb quand tu fais du multi-wan.

avatar Shaskan | 

@Rajindael

Le soucis c’est pas vraiment ça c’est plutôt que le IPs avec lesquelles tu te connectes sont utilisés par beaucoup de monde ce qui déclenche les thresholds chez Google pour le DDOS. En gros ils se demandent si c’est pas des requêtes de scanners ou de robots du à leur nombre anormales venant d’une seule IP.

avatar Rajindael | 

@Shaskan

Bah qd t’as des ip public différente pour plusieurs WAN et que tu équilibre la charge de l’une à l’autre, j’ai déjà constaté ce besoin de se reconnecter. Pas qd tu sorts sur une seule ip. Y’a qd même l’air d’avoir qqch par rapport au cookie/session en cours. (Ce qui serait aussi logique pour ne pas se faire piquer le cookie et usurper une identité, il me semble qu’il y a eu des cas, sans que j’ai une quelconque source à fournir).

Quant au DDOS oui effectivement la plupart des fournisseurs sont blindés sur le sujet pour arrêter les attaques potentiels en amont. Ce qui contribue largement à affoler leur radars qd tu as des milliers (millions ?) de connexions qui sortent par le même endroit.
C’est vrai que ce n’est pas la 1ere explication qui me soit venu en tête.

Au final, pas plus mal, ca signifie que leur bazar fait ce qu’il doit. En tout cas je préfère des faux positif que pas d’alerte du tout.

avatar Sindanarie | 

@alastorne

Ça prouve que ça fonctionne

avatar Lemon19 | 

Bonjour à tous,
Ma question est sans rapport direct mais je ne sais où la poser : en regardant l’activité réseau des apps, et plus précisément Rappels (donc d’Apple), j’ai eu la surprise de voir qu’il y avait une activité en relation avec Google, à savoir : gcs.eu-00002.content-storage-upload.googleapis.com

avatar John McClane | 

@Lemon19

Tu auras plus de chances d’avoir une réponse en allant sur le forum : https://forums.macg.co/

avatar Jeff06am | 

@Lemon19

Apple sous-traite chez AWS et Google pour proposer iCloud à ses clients.

avatar alexic008 | 

J utilise nextdns donc avec un profil Apple et le relais privée mais je ne crois pas qu il soit désactivé car quant je regarde sur mon ip.com j ai bien une ip du relais privée . Bizarre.

avatar raoolito | 

interessante cette liste, que de spays respectueux de leur population.
pour certains d'entre eux, comme la Colombie ou l'Afrique du sud ce sont surement des raisons propres à la sécurité (traffic de drogue, d'arme autre...) car ce sont d'authentiques pays démocratiques (comparés aux autres ya pas photo)
Pour les autres, c'est un catalogue de perles. Ou est donc la corée du nord, on l'a oublié :D ?

avatar lmouillart | 

"Ou est donc la corée du nord, on l'a oublié :D ?"
Non, mais il y a des embargos complets sur la Corée du nord et la Syrie.
"L'exportation, la réexportation, la vente ou la fourniture, directement ou indirectement, depuis les États-Unis, ou par une personne des États-Unis où qu'elle se trouve, de tout produit, logiciel, technologie (y compris les données techniques) ou services Apple vers l'un de ces pays est strictement interdite. sans l'autorisation préalable du gouvernement américain. "

avatar balou | 

@raoolito

La Colombie pays démocratique? Plus de 40 morts et 100 disparus en mai dernier

https://www.rtbf.be/info/monde/amerique-du-sud/detail_cqfd-en-colombie-on-assiste-en-direct-a-des-assassinats-des-massacres?id=10759200

Tiens, une lanceuse d'alerte qui a la malchance de n'être ni chinoise, ni russe, ni tout ce qui ce que l'oncle Sam désigne comme leur ennemi donc celui des pays soumis comme le notre.

https://www.instagram.com/tv/COgpBEGDJe3/?utm_source=ig_embed

avatar R-APPLE-R | 

@balou

Je crois que c’était du second degré 🤔🙂

avatar raoolito | 

@R-APPLE-R

non non
:)

Pages

CONNEXION UTILISATEUR