Préparez votre réseau ou votre serveur web pour le Relais privé iCloud

Le Relais privé iCloud est un nouveau service de confidentialité sur Internet intégré à l’abonnement iCloud+, qui permet aux utilisateurs et utilisatrices munis d’iOS 15, d’iPadOS 15 et de macOS Monterey de se connecter et de naviguer sur le Web de manière plus sécurisée et confidentielle. Le Relais privé protège la navigation web de tous les utilisateurs dans Safari, les requêtes de résolution DNS et le trafic non sécurisé au sein des apps utilisant le protocole HTTP. Les connexions Internet configurées via le Relais privé utilisent des adresses IP anonymes, qui affichent la région dans laquelle vous vous trouvez, sans révéler votre identité ni votre emplacement exact. Découvrez comment offrir la meilleure expérience possible à l’ensemble des utilisateurs du Relais privé sur votre réseau.

Aperçu

Le service de Relais privé iCloud tire parti d’une architecture multi-sauts innovante, dans laquelle vos requêtes sont envoyées via deux relais Internet distincts, gérés par des entités différentes. De cette manière, aucune partie, pas même Apple, ne peut consulter ou collecter les détails relatifs à la navigation des utilisateurs et utilisatrices. Le Relais privé vérifie que le client qui se connecte est un iPhone, un iPad ou un Mac, afin de garantir que les connexions viennent bien d’un appareil Apple. Le Relais privé remplace votre adresse IP d’origine par une autre comprise dans la plage d’adresses IP utilisée par le service. L’adresse IP de relais attribuée peut être partagée par plusieurs utilisateurs du Relais privé se trouvant dans la même zone. L’adresse IP de relais présentée aux réseaux et aux serveurs web indique par défaut l’emplacement approximatif du client au niveau de la ville, ce qui permet à votre réseau de recevoir des informations de localisation pertinentes lorsqu’il essaie d’appliquer des restrictions géographiques en fonction de l’adresse IP.

Découvrez comment le Relais privé protège la confidentialité de l’ensemble des utilisateurs sur Internet (anglais)

Opérateurs de réseau

Optimisez votre réseau pour les connexions Relais privé

Le Relais privé iCloud s’appuie sur QUIC, un nouveau protocole de transport standard basé sur UDP. Les connexions QUIC dans le Relais privé sont configurées à l’aide du port 443 et de TLS 1.3. Assurez-vous ainsi que votre réseau et votre serveur sont prêts à prendre en charge ces connexions.

Découvrez comment gérer des connexions QUIC sur votre réseau (anglais)

Autorisez les audits de trafic réseau

Parfois, certains réseaux d’entreprises ou d’établissements scolaires doivent auditer l’ensemble du trafic réseau en fonction d’une politique, et il peut alors arriver que votre réseau bloque l’accès au Relais privé. L’utilisateur ou l’utilisatrice recevra une alerte lui indiquant la nécessité, soit de désactiver le Relais privé pour votre réseau, soit de choisir un autre réseau.

Le moyen le plus rapide et le plus fiable d’alerter les utilisateurs est de renvoyer une réponse « aucune erreur aucune réponse » ou une réponse NXDOMAIN depuis votre service de résolution DNS, ce qui empêchera la résolution DNS pour les noms d’hôtes suivants, utilisés par le trafic du Relais privé. Évitez de dépasser les délais de résolution DNS ou de supprimer de manière silencieuse les paquets IP envoyés au serveur du Relais privé, car cela pourrait entraîner des retards sur les appareils des clients.

mask.icloud.com
mask-h2.icloud.com

Serveurs web

Accédez aux flux de géolocalisation d’adresses IP

Si vous utilisez un serveur web, vous pouvez localiser votre contenu ou limiter l’accès en fonction de la région des clients. Pour mettre à jour vos flux avec les derniers mappages, veuillez contacter votre fournisseur de base de données GeoIP. De nombreux fournisseurs de base de données GeoIP annotent également ces adresses avec la mention « Relais privé iCloud », ce qui vous permet de les reconnaître facilement sur vos serveurs.

Le Relais privé préserve la région dans laquelle se trouve l’utilisateur ou l’utilisatrice, afin que votre serveur puisse faire confiance à la région attribuée à l’adresse IP qui lui est présentée. Par défaut, les connexions sont également associées à la ville la plus proche du client, ce qui permet à votre contenu de rester pertinent. Vous pouvez également accéder à notre dernier ensemble d’emplacements et d’adresses IP.

Accédez aux flux de géolocalisation d’adresses IP (anglais)

Faites confiance aux connexions configurées via le Relais privé

Toutes les connexions qui utilisent le Relais privé vérifient que le client est un iPhone, un iPad ou un Mac, et qu’il dispose d’un abonnement iCloud+ valide. Le Relais privé applique plusieurs techniques de lutte contre les abus et la fraude, telles que les jetons d’authentification à usage unique et la limitation du débit. Il est ainsi garanti que seuls les comptes et appareils Apple valides et en règle sont autorisés à utiliser le Relais privé. En outre, l’adresse IP de relais restera inchangée pendant une session de navigation sur un appareil, afin qu’une même adresse s’affiche lorsqu’un utilisateur ou une utilisatrice interagit avec votre site web.

Il est possible que les méthodes traditionnelles de détection des fraudes, qui s’appuient uniquement sur les adresses IP, aient besoin d’être mises à jour pour garantir que l’ensemble des utilisateurs légitimes ne soit pas impacté. Envisagez de traiter ces adresses comme des NAT de classe transporteur à plus grande échelle ou des adresses IP d’entreprise pour mieux prendre en compte ce type de trafic, étant donné qu’une même adresse IP de relais peut être attribuée à de nombreux utilisateurs du Relais privé.

Ressources complémentaires