Les systèmes iOS 26 et iPadOS 26 viennent d'obtenir une certification inédite : les appareils Apple sont désormais autorisés à traiter des données sensible au niveau "NATO Restricted" sans logiciel tiers ni configuration spéciale.
Article mis à jour en bas de page
Apple a annoncé que l'iPhone et l'iPad sont les seuls appareils grand public compatibles avec les exigences de sécurité de l'Alliance atlantique. Cette reconnaissance officielle repose uniquement sur les protections natives d'iOS et d'iPadOS, aucun ajout externe n'est requis.
Quand un smartphone passe l'audit de l'OTAN
Tout part du BSI, l'équivalent allemand de l'ANSSI, l'agence nationale chargée de la sécurité des systèmes d'information. C'est cet organisme qui a conduit une évaluation technique approfondie des plateformes iOS et iPadOS. Ils ont passé au crible l'architecture de sécurité des appareils Apple : chiffrement, authentification biométrique via Face ID, et une technologie moins connue du grand public, le "Memory Integrity Enforcement".
Ce mécanisme protège la mémoire vive de l'appareil contre les manipulations non autorisées. Concrètement, il empêche qu'un programme malveillant puisse altérer le fonctionnement du système à l'insu de l'utilisateur. L'iPhone et l'iPad avaient déjà reçu le feu vert pour traiter les données sensibles du gouvernement allemand via cette même procédure. La nouveauté, c'est l'extension de cette certification à l'ensemble des 32 nations membres de l'OTAN. iOS 26 et iPadOS 26 sont désormais référencés dans le NIAPC, le catalogue officiel des produits de sécurité de l'OTAN.
Des appareils grand public dans les mains des gouvernements
Historiquement, les appareils capables de traiter ce type d'information étaient des équipements militaires ou gouvernementaux fabriqués sur mesure, coûteux et réservés à des structures très spécialisées. Qu'un smartphone commercialisé après du grand public obtienne cette validation marque donc un vrai changement de modèle. Ivan Krstić, vice-président en charge de la sécurité chez Apple, affirme qu'avant l'iPhone, des appareils sécurisés au niveau gouvernemental impliquaient des investissements considérables dans des solutions dédiées.
Le niveau "NATO Restricted" correspond au premier échelon pour estampiller des informations sensibles au sein de l'Alliance, en dessous de "Confidentiel" et de "Secret". Des données dont la divulgation non autorisée pourrait nuire aux intérêts de l'Alliance. Rappelons qu'Apple a récemment introduit un mécanisme visant à accélérer la distribution de ses correctifs de sécurité sur iOS. Les patchs urgents peuvent désormais venir s'installer en arrière-plan avec la nouvelle option baptisée Background Security Improvements.
Mise à jour :
Patrice Lefort-Lavauzelle, président du cabinet Cluster Défense Sécurité, nous souligne qu'en France l'équivalent du "NATO Restricted" est appliqué pour des informations en "Diffusion Restreinte" et non "classifiées". Selon l'Arrêté du 23 juillet 2010 portant approbation de l'instruction générale interministérielle sur la protection du secret de la défense nationale, "la mention Diffusion Restreinte (DR) n'est pas un niveau de classification mais une mention de protection. Son objectif principal est de sensibiliser l'utilisateur à la nécessaire discrétion dont il doit faire preuve dans la manipulation des informations couvertes par cette mention."
Cette mention doit être appliquée dans plusieurs cas de figure :
- les documents définissant, en termes généraux, les objectifs, options, critères de choix retenus dans les différents domaines de l'activité militaire nationale ou de la sécurité opérationnelle ou technique et qui peuvent ne pas être classifiés ;
- les documents relatifs à l'ordre public (comptes rendus d'événements...) ;
- les documents non classifiés dont la diffusion doit être limitée et contrôlée conformément aux dispositions d'un accord de sécurité conclu avec un pays étranger ;
- les documents d'exercice dont la confidentialité n'a qu'un intérêt limité et temporaire ;
- les documents ou informations émanant d'un ministère qui souhaite en limiter et en contrôler la diffusion.
