Le DEP en pratique

Classé dans : À la une, Apple | 0

Le programme d’inscription de périphériques (DEP) est un service proposé par Apple qui simplifie l’inscription MDM en offrant une configuration appelée « zero-touch » des périphériques iOS, macOS et tvOS. Une fois qu’un périphérique est inscrit, il est traité comme un périphérique «de confiance» appartenant à l’organisation et peut recevoir des certificats, des applications, des mots de passe WiFi, des configurations VPN, etc.

Contrairement aux méthodes de déploiement plus traditionnelles, qui demandent à l’utilisateur final ou à l’administrateur de le configurer « on-premise » ou de l’inscrire manuellement auprès d’un serveur MDM, le DEP vise à amorcer ce processus, permettant à l’utilisateur de déballer le nouvel appareil et de le configurer pour une utilisation dans l’organisation presque immédiatement.

Le Mobile Device Management (MDM) est une technologie couramment utilisée pour administrer les périphériques informatiques des utilisateurs tels que les téléphones mobiles, les ordinateurs portables, les ordinateurs de bureau et les tablettes. Dans le cas de plates-formes Apple telles qu’iOS, macOS et tvOS, il fait référence à un ensemble spécifique de fonctionnalités, d’API et de techniques utilisées par les administrateurs pour gérer ces périphériques. La gestion des périphériques via MDM nécessite un serveur MDM commercial ou open-source compatible qui prend en charge le support du protocole MDM.

Le DEP est-il sécurisé ?

Il n’utilise en réalité que le numéro de série du système pour authentifier les périphériques avant leur inscription (Pepijn Bruienne, Jesse Peterson et Victor Vrantchan ont mise en évidence ce comportement en 2015). Ce qui est bien problématique, car un hacker disposant uniquement d’un numéro de série valide et enregistré auprès de DEP peut potentiellement inscrire un périphérique indésirable sur le serveur MDM d’une entreprise ou utiliser l’API DEP pour collecter des informations sur les périphériques inscrits.

Le démon système bien connu et bien documenté appelé cloudconfigurationd  peut être configuré pour injecter des numéros de série des périphériques Apple de notre choix dans l’API DEP. Cette technique est appelée « Tesla », et le schéma utilisé pour identifier de manière unique les périphériques porte le nom de « Absinthe ». Cela permet à un hacker de récupérer des données spécifiques au périphérique associé au numéro de série fourni.

L’obtention du profil DEP pour un appareil Apple donné révèle des informations sur l’organisation à qui appartient le périphérique si le serveur MDM ne nécessite pas d’authentification d’utilisateur supplémentaire lors de l’inscription. Ces informations pourront être utilisées par un hacker pour inscrire un périphérique dans le serveur MDM de l’organisation.

Une fois inscrit, l’appareil peut recevoir un nombre illimité de certificats, d’applications, de mots de passe WiFi, de configurations VPN, etc.

Les avantages du DEP semblent évidents, du moins pour des raisons d’expérience utilisateur. Au lieu d’effectuer manuellement une inscription MDM fastidieuse ou d’utiliser des méthodes de déploiement traditionnelles telles que la création d’images, les utilisateurs peuvent utiliser immédiatement leur nouvel appareil prêt à l’emploi dès le premier jour, avec toutes les applications métiers et règles de sécurité déjà déployées.

Malheureusement, si une organisation n’a pas pris de mesures supplémentaires pour protéger son inscription MDM, un processus simplifié d’inscription des utilisateurs finaux via DEP peut également signifier un processus simplifié pour les hackers qui souhaitent inscrire un périphérique de leur choix dans le serveur MDM de l’organisation, en supposant l’identité d’un périphérique d’entreprise.

Comment fonctionne l’inscription DEP?

Avant qu’un périphérique puisse s’inscrire automatiquement sur le serveur MDM de son entreprise via DEP, un processus d’amorçage doit être finalisé. Ce processus d’amorçage implique plusieurs étapes asynchrones. Ce diagramme illustre un aperçu simpliste du processus DEP :

 

  1. Apple (ou un revendeur agréé Apple) crée un enregistrement de type périphérique via l’API DEP.
  2. L’organisation utilise le DEP pour amorcer l’inscription MDM en affectant l’appareil à son serveur MDM dans Apple Business Manager.
  3. Le serveur MDM récupère l’enregistrement de l’appareil via l’API DEP, puis crée un profil DEP.
  4. Le périphérique s’authentifie auprès de l’API DEP, puis récupère son enregistrement d’activation.
  5. Le périphérique s’authentifie auprès du serveur MDM pour extraire un profil de configuration contenant le profil d’inscription MDM et les payloads certificats et  SCEP. Le périphérique demande et reçoit son client via SCEP.
  6. Le périphérique s’authentifie auprès du serveur MDM avec le certificat client récupéré et peut recevoir des commandes MDM via les APNs.

Un dernier point à prendre en compte : les trois APIs DEP qui rentrent en jeu pendant l’inscription. Ces trois APIs DEP sont les suivantes :

  • L’API nommée « service cloud » DEP. Elle est utilisée par les serveurs MDM pour associer des profils DEP à des périphériques spécifiques.
  • L’API DEP utilisée par les revendeurs Apple agréés pour inscrire des périphériques, vérifier l’état de l’inscription et de la transaction.
  • Une autre API DEP privée et non documentée qui est hébergée à l’adresse https://iprofiles.apple.com. Elle est utilisée par les appareils Apple pour demander leur profil DEP. Sur macOS, le fichier binaire cloudconfigurationd est chargé de communiquer via cette API pour demander les enregistrements d’activation DEP et vérifier si un périphérique donné est enregistré dans DEP.
F. Andrei