Les questions les plus fréquentes lors de mes sessions de formation tournent autour de la confidentialité des appareils, notamment des appareils supervisés. Un appareil supervisé est un appareil qu’une entreprise ou une institution prête à ses employés et sur lequel elle exerce un certain degré de contrôle, allant de l’installation de mises à jour à distance à l’obligation d’utiliser un service de messagerie d’entreprise spécifique, ou à empêcher, par exemple, les étudiants d’utiliser leur iPad pour télécharger des jeux.
Lorsqu’une entreprise ou une école a des centaines ou des milliers d’appareils «prêtés», il est naturel qu’elle souhaite pouvoir les gérer, les localiser, les mettre à jour et, en général, s’assurer qu’ils fonctionnent correctement dans l’environnement pour lequel ils sont conçus. De même, il est naturel que les utilisateurs de ces appareils aient des questions sur la confidentialité de leurs données.
Qu’est-ce qu’un appareil MDM ?
Un appareil MDM est un appareil inscrit dans ce que nous appelons la gestion des appareils mobiles ou Mobile Device Management. Une plateforme qu’Apple met à disposition de l’équipe technique d’une entreprise ou d’une institution pour gérer les différents appareils inscrits. Avec cela, il est possible d’agir sur tous en même temps sans avoir à intervenir physiquement sur chacun d’eux.
Supervisé ou non supervisé
La première chose, avant de commencer, est de déterminer si l’appareil inscrit dans le MDM est supervisé ou non. Il est vraiment simple d’identifier un appareil supervisé car, lorsque nous entrons dans l’application Paramètres, en haut, apparaît le message suivant : Cet iPhone est supervisé et géré par [X]. Il est important de savoir que, par défaut, les appareils ne sont pas inscrits comme supervisés. De plus, s’il ne l’est pas, il faut l’effacer complètement et le reconfigurer à partir de zéro pour qu’il le soit.
Et pourquoi utilise-t-on la supervision ? Parce qu’elle donne à l’entreprise ou à l’institution un plus grand contrôle sur ses appareils. Avec la supervision, les administrateurs peuvent, par exemple, empêcher l’utilisation d’AirDrop, éviter les achats via l’App Store, mettre à jour les applications ou filtrer l’utilisation de Safari.
Si l’appareil en question est supervisé, nous ouvrons Paramètres > Général > Profils et Supervision de l’appareil pour voir exactement quels changements (par rapport à la configuration d’usine) l’entreprise a effectués. Bien qu’un appareil supervisé soit beaucoup plus accessible par l’équipe technique de l’entreprise, dans les deux cas, cet accès n’est pas aux données, mais à la capacité de mettre des restrictions à ce que nous pouvons faire avec l’appareil.
Mon entreprise peut-elle suivre ma localisation ?
La plus grande question des utilisateurs d’iPhone en entreprise. La réponse comporte trois parties.
- Si nous nous connectons au Wi-Fi de l’entreprise, le service technique peut savoir que nous l’avons fait et depuis quel point d’accès.
- Si l’entreprise dispose de capacités de suivi des appareils via les réseaux mobiles, ils peuvent (tout comme les opérateurs de téléphonie) localiser l’appareil lorsqu’il n’est pas en mode Avion.
- L’accès à la localisation exacte n’est possible que lorsque l’appareil est mis en mode perdu (et cesse d’être utilisable) et cela ne peut être fait que sur des appareils supervisés, tout comme nous le ferions avec l’application Localiser mon iPhone.
Mon entreprise peut-elle lire mes iMessages?
Non. Les SMS et les messages iMessage ne sont jamais visibles à aucun moment pour personne. Ce que l’on peut voir, c’est le nombre de messages envoyés ou reçus, mais jamais à qui ils sont envoyés ni le contenu des mêmes. Il convient de noter que les messages SMS (pas iMessage) peuvent être obtenus via l’opérateur qui nous fournit le service, mais cela dépasse déjà Apple ou l’application Messages.
L’utilisation de Messages peut cependant être complètement désactivée. De plus, il convient de garder à l’esprit que si l’entreprise nous demande l’appareil, en le déverrouillant simplement, elle verra les messages envoyés, mais jamais à distance.
Mon entreprise peut-elle voir mes photos de l’application Photos ?
Comme dans iMessage, il n’y a aucun protocole MDM pour voir, modifier ou supprimer aucune photo de l’application Photos (y compris les photos sur iCloud). Le service technique ne peut voir que combien de photos contient l’appareil ou désactiver des fonctions comme les photos sur iCloud (utile lorsque l’on utilise un identifiant Apple gratuit avec une limite de 5 Go de stockage).
Il convient de noter que les applications tierces qui demandent l’accès aux photos ont un accès libre à tous les contenus, ainsi qu’à leurs emplacements, et peuvent en faire ce qu’elles veulent.
Mon entreprise peut-elle lire l’e-mail de mon compte personnel ?
Que nous utilisions Safari ou l’application Mail pour accéder à notre courrier, le service technique peut savoir que nous l’avons fait mais à aucun moment lire ce que nous avons reçu ou envoyé. Dans le cas de l’application Mail, nous pouvons trouver restreinte l’option d’ajouter des comptes personnels.
Mon entreprise peut-elle contrôler mon appareil à distance ?
Sur iOS ou iPad OS, non. Sur le Mac, il existe quelques options de contrôle, mais toujours avec un avertissement préalable que l’appareil est contrôlé à distance. Sur les Mac, le service technique peut utiliser des outils plus agressifs pour contrôler la machine. Apple ne fournit aucune API officielle pour cela. En règle générale, si le Mac nous appartient, nous ne devrions jamais permettre d’installer autre chose qu’un profil MDM.
Mon entreprise peut-elle voir l’historique de navigation ?
Avec MDM, non. Elle ne peut que bloquer l’accès à certaines pages web. D’autre part, elle peut forcer l’utilisation d’un VPN d’entreprise qui peut surveiller le trafic depuis le réseau de l’entreprise.
Plus de confidentialité qu’il n’y paraît
Les outils MDM servent à configurer et gérer l’appareil, pas à le contrôler et encore moins à accéder aux données qu’il contient. Apple a toujours pris soin et continue de prendre soin de la confidentialité des utilisateurs et la conception de ses outils MDM en est la preuve.
Dans le cas d’iOS, les politiques MDM sont strictes car l’écosystème est plus fermé. Sur Mac, la capacité d’installer n’importe quelle application ou de faire des modifications dans le système donne de la marge pour utiliser des outils non officiels qui ne suivent pas les politiques de confidentialité d’Apple.
N’oubliez pas de supprimer de l’appareil tous les comptes personnels avec lesquels nous avons pu nous connecter avant de le laisser au service technique pour une réparation ou un retour. Ceci fait, et avec tout ce que nous avons exposé, nous pouvons être tranquilles, car nous avons bien plus de confidentialité qu’il n’y paraît.
