Attestation d’appareil géré pour les appareils Apple
L’attestation des appareils gérés est une fonctionnalité sous iOS 16, iPadOS 16.1, macOS 14, tvOS 16 et toutes versions ultérieures. L’attestation des appareils gérés offre des preuves solides sur les propriétés d’un appareil pouvant être utilisées dans le cadre d’une évaluation de confiance. Cette déclaration chiffrée des propriétés de l’appareil est basée sur la sécurité de Secure Enclave et des serveurs d’attestation Apple.
L’attestation des appareils gérés permet de les protéger contre les menaces suivantes :
Un appareil compromis qui ment au sujet de ses propriétés.
Un appareil compromis qui fournit une attestation obsolète.
Un appareil compromis qui envoie les identifiants d’un autre appareil.
L’extraction d’une clé privée à utiliser sur un appareil malveillant.
Un fraudeur détourne une demande de certificat pour inciter l’autorité de certification à lui émettre un certificat.
Pour en savoir plus, regardez la vidéo de la WWDC22 Nouveautés pour la gestion des appareils (en anglais).
Matériel pris en charge pour l’attestation des appareils gérés
Les attestations sont émises uniquement aux appareils qui répondent aux exigences matériel suivantes :
iPhone, iPad et Apple TV : avec la puce A11 Bionic ou ultérieure.
Ordinateurs Mac : avec la puce Apple.
Il n’y a pas de modification à l’attestation d’appareil géré pour l’Apple Watch et l’Apple Vision Pro.
L’attestation des appareils gérés avec les demandes d’inscription de certificat ACME
Le service ACME de l’autorité de certification d’une organisation peut demander une attestation des propriétés de l’appareil inscrit. Cette attestation offre la garantie que les propriétés de l’appareil (par exemple le numéro de série) sont légitimes et non usurpées. Le service ACME de l’autorité de certification émettrice peut valider par chiffrement l’intégrité des propriétés de l’appareil attestées et éventuellement les comparer à l’inventaire des appareils de l’organisation. Une fois la vérification réussie, confirmez que l’appareil appartient à l’organisation.
Si l’attestation est utilisée, une clé privée liée au matériel est générée dans le Secure Enclave de l’appareil dans le cadre de la demande de signature de certificat. Pour cette demande, l’autorité de certification de l’ACME peut ensuite émettre un certificat client. Cette clé est liée au Secure Enclave et n’est donc disponible que sur un appareil précis. Elle peut être utilisée sur iPhone, iPad, Apple TV et Apple Watch avec des configurations prenant en charge la spécification d’une identité de certificat. Sur Mac, les clés liées au matériel peuvent être utilisées à des fins d’authentification avec la GAM, Microsoft Exchange, Kerberos, les réseaux 802.1X, le client VPN intégré et le relais réseau intégré.
Remarque : Le Secure Enclave dispose de protections très solides contre l’extraction de clés, même dans le cas d’un processeur d’application compromis.
Ces clés liées au matériel sont automatiquement supprimées lors de l’effacement ou de la restauration d’un appareil. Les clés étant supprimées, tout profil de configuration qui repose sur ces clés ne fonctionnera plus après une restauration. Le profil doit être de nouveau appliqué pour que de nouvelles clés soient créées.
En utilisant l’attestation d’entité ACME, la GAM peut inscrire une identité de certificat de client en utilisant le protocole ACME qui peut valider par voie de chiffrement les éléments suivants :
Il s’agit d’un appareil Apple authentique.
Il s’agit d’un appareil spécifique.
L’appareil est géré par le serveur de GAM de l’organisation.
L’appareil possède certaines propriétés (par exemple, le numéro de série).
La clé privée est liée au matériel de l’appareil.
Attestation d’appareil géré avec les requêtes de GAM
En plus d’utiliser l’attestation des appareils gérés avec les demandes d’inscription de certificat ACME, une solution de GAM peut émettre une requêteDeviceInformation de propriété DevicePropertiesAttestation. Si la solution de GAM veut garantir une nouvelle attestation, elle peut envoyer une clé facultative DeviceAttestationNonce, qui force une nouvelle attestation. Si cette clé est omise, l’appareil renvoie une attestation mise en cache. La réponse d’attestation de l’appareil renvoie alors un certificat feuille avec ses propriétés dans des OID personnalisés.
Remarque : Le numéro de série et l’UDID sont tous deux omis lors de l’utilisation de l’inscription d’utilisateurs pour protéger la confidentialité de ce dernier. Les autres valeurs sont anonymes et comprennent des propriétés telles que la version de sepOS et le code de fabrication.
La solution de GAM peut alors valider la réponse en évaluant si la chaîne de certificats est enracinée auprès de l’autorité de certification Apple souhaitée (disponible dans le référentiel PKI privé d’Apple) et, si le hachage du code de fabrication est le même que le hachage du code de fabrication fournie dans la requête DeviceInformation.
Étant donné que la définition d’un code de fabrication génère une nouvelle attestation, ce qui consomme des ressources sur l’appareil et les serveurs d’Apple, l’utilisation est actuellement limitée à une attestation DeviceInformation par appareil tous les 7 jours. Une solution de GAM ne devrait pas demander immédiatement une nouvelle attestation tous les 7 jours. Il n’est pas nécessaire de demander une nouvelle attestation, sauf si les propriétés de l’appareil ont changé, par exemple en cas de mise à jour ou de mise à niveau de la version du système d’exploitation. De plus, demander une nouvelle attestation de temps en temps de façon aléatoire pourrait permettre de détecter un appareil compromis qui ment au sujet de ces propriétés.
Traitement des échecs d’attestation
La demande d’une attestation pourrait échouer. Dans ce cas, l’appareil continuera de répondre à la requête DeviceInformation ou au défi device-attest-01 du serveur ACME, mais certaines informations sont omises. L’OID inattendu ou sa valeur sont omis, ou l’attestation est omise entièrement. Voici quelques raisons qui peuvent expliquer un échec :
Le réseau a de la difficulté à atteindre les serveurs d’attestation d’Apple.
L’appareil ou son logiciel pourraient être compromis.
Il ne s’agit pas d’un appareil Apple authentique.
Dans ces deux derniers cas, les serveurs d’attestation d’Apple refusent d’émettre une attestation pour les propriétaires qu’ils ne peuvent pas vérifier. La solution de GAM ne dispose d’aucun moyen fiable de déterminer la cause exacte de l’échec d’une attestation, car la seule source d’informations au sujet de l’échec est l’appareil même, qui pourrait mentir s’il est compromis. Pour cette raison, les réponses de l’appareil n’expliquent pas l’échec.
Cependant, lorsqu’une attestation d’appareil géré est utilisée dans le cadre d’un modèle à vérification systématique, l’organisation peut calculer l’indice de confiance de l’appareil, qui sera réduit par l’échec d’une attestation ou son expiration inattendue. La réduction de l’indice de confiance déclenche différentes opérations telles que le refus d’accès aux services, l’exigence d’un examen manuel de l’appareil ou des recours de conformité comme son effacement et la révocation de ses certificats au besoin. Cela assure ainsi une intervention adéquate en cas d’échec de l’attestation.