Apple rappelle que le relais privé iCloud ne fonctionne pas pour tout

Nicolas Furno |

Le relais privé iCloud est l’une des nouveautés en matière de sécurité d’Apple pour 2021, même si cette nouveauté sortira plutôt en 2022. Elle est actuellement toujours en bêta et ne fonctionne pas pour tous les sites, ce qui n’empêche pas le constructeur de la détailler avec un nouveau document publié ce mois-ci. Si vous avez lu nos précédents articles sur le sujet ou nos livres sur les mises à jour d’iOS ou macOS, vous n’apprendrez pas grand-chose, mais Apple y liste tous les cas d’exclusion.

Schéma du fonctionnement du relais privé, image Apple.

Puisque cette fonction est pensée pour protéger l’utilisateur sur internet, en masquant sa véritable adresse IP sur les sites web qu’il visite pour faire simple, elle est automatiquement désactivée sur les réseaux locaux. Si vous accédez à un site web sur l’intranet de votre entreprise, le relais privé ne sera pas actif, pour donner un exemple. Dans le même ordre d’idée, les appareils qui sont gérés par une entreprise, avec des paramètres réseau spécifiques, ne bénéficieront pas des protections d’Apple, ces paramètres prenant alors le dessus.

Si vous définissez des paramètres réseau personnalisés, le relais privé peut aussi être désactivé, mais uniquement si vous définissez un serveur DNS chiffré, ce qui implique de passer par une app tierce ou un profil. Si vous définissez un DNS « à l’ancienne », sans chiffrement, le relais privé d’iCloud restera actif.

Enfin, plusieurs exclusions touchent les réseaux cellulaires sur les appareils iOS. Le relais privé est actif pour tout ce qui concerne l’accès à internet, la navigation dans Safari comme dans les apps restera ainsi correctement protégée. En revanche, plusieurs fonctions spécifiques aux réseaux cellulaires nécessitent un accès direct qui implique de désactiver le relais privé. Voici ces fonctions qui se passeront de la sécurité supplémentaire fournie par la nouveauté d’Apple :

  • appels téléphoniques ;
  • SMS et MMS ;
  • boite vocale visuelle ;
  • partage de connexion.
Partager la connexion cellulaire désactive automatiquement le relais privé iCloud.

Les trois premiers sont des évidences : vous n’accédez pas à internet, mais aux services fournis directement par votre opérateur, qui doit en outre vous identifier correctement. La dernière restriction est plus surprenante, mais elle s’explique probablement par une particularité des connexions partagées. Quoi qu’il en soit, il faut le garder en tête : vous ne serez pas protégé par le réseau privé si vous vous connectez en partageant la connexion cellulaire d’un iPhone ou iPad.

Le document se fait plus discret sur tous les pays qui ne disposent pas de la fonction, car il y a plusieurs restrictions géographiques. La Russie est venue s’ajouter à la liste cet automne, mais il y a des pays qui n’y ont jamais eu droit :

  • Afrique du Sud ;
  • Arabie saoudite ;
  • Biélorussie ;
  • Chine ;
  • Colombie ;
  • Égypte ;
  • Kazakhstan ;
  • Ouganda ;
  • les Philippines ;
  • Russie
  • Turkménistan.

avatar raoolito | 

@balou

justement le premier article l'explique bien. la colombie est une démocratie avec tout ce sue cela représente d'institutions séparées du pouvoir. mais elle a de mauvaises habitudes suite aux décennies de guerre avec les farc, contre la drogue et la gangrène de la corruption et maintenant avec les récessions dues au covid ( souvenons-nous nous que l'europe ne sert a rien d'apres certains autistes!)
bref, dans quelques années le président actuel remettra son mandat en jeu et les urnes ne seront pas bourrées.

avatar Bigdidou | 

@raoolito

« pour certains d'entre eux, comme la Colombie ou l'Afrique du sud ce sont surement des raisons propres à la sécurité (traffic de drogue, d'arme autre...) »

.. ou pas.
Les cartels semblent avoir pas mal infiltré ke pouvoir Colombien depuis quelques années, et c’est difficile de vraiment savoir.

avatar raoolito | 

@Bigdidou

Pas faux

avatar MarcMame | 

@raoolito

"Ou est donc la corée du nord, on l'a oublié :D ?"

Apple n’opère pas en Corée du nord à ma connaissance.

avatar raoolito | 

@MarcMame

Il pourrait y fonctionner quand meme

avatar xaalisart | 

J’ai voulu tester le relais privé dès la mise à jour avec iOS 15 et cela ne m’a amené que des ennuis ! Compte instagram supprimé, car il pensais que j’étais un robot et google me bloquait les recherches en pensant que j’étais aussi un robot ! Même si ce n’était plus une Beta je ne sais pas si j’oserais la réactiver !

avatar cecile_aelita | 

@xaalisart

Ah ouais 😳! Ça craint ça en effet 😊

avatar r e m y | 

Je n'ai jamais compris comment s'appliquent ces restrictions sur certains Pays...
Pour relais privé, non disponible en Russie par exemple , est-ce qu'un utilisateur d'iPhone se rendant en Russie perd l'usage de Relais privé dès qu'il entre sur le territoire russe et le retrouve dès qu'il en sort?
Ou est-ce que c'est lié à la nationalité de l'utilisateur (un Russe, où qu'il soit dans le monde, n'a pas droit à Relais privé)?

avatar GPM | 

Petite surprise, le relais privé permet d’accéder à des sites bloqués, habituellement, comme The Pirate Bay.

avatar cecile_aelita | 

@GPM

Ah bah bravo ! C’est du propre 😋😋

avatar h-de-pierre | 

En ce qui me concerne, certains sites ne fonctionnent pas avec le relais privé. Je dois le désactiver avant puis le réactiver après avoir consulté ces sites.

avatar 0MiguelAnge0 | 

Nord VPN: à la recherche des clefs perdues…

Pour résumer:
- ils passent sous silence un leak sur un server en mars 2018 exposant leurs clients: la raison indiquée et qu’ils voulaient s’assurer que les autres 5000 serveurs étaient ok

-en Nobembre 2019, même incident sur un autre serveur

Disons que c’est juste la partie émergé de l’iceberg.

Source: https://en.wikipedia.org/wiki/NordVPN

avatar jul69 | 

Comment ça se passe si on utilise un DNS privé (pi-hole) ?

avatar 0MiguelAnge0 | 

@jul69

Ton Pi hole va chercher un autority server pour de fil en aiguille trouver l’adresse IP de ton site.

Le hic est comment les requêtes sont envoyées. En théorie il se base sur le DNSSEC mais certains servers ne le supportent pas. De plus, facilement blocable car les ports utilisaient sont comme un nez au milieu de la figure.

Cela dit meilleur que d’utiliser le DNS de ton ISP.

Le meilleur compromis est d’utiliser le DoH avec une ofuscation supplémentaire: un genre de relais privé appliqué aux requêtes DNS :)

Pages

CONNEXION UTILISATEUR