Index

Paramètres Insecure App Transport Security (ATS)

Risk: medium

Description

App Transport Security (ATS) applique les meilleures pratiques en matière de connexions sécurisées entre une application et son back-end. ATS empêche la divulgation accidentelle, fournit un comportement par défaut sécurisé et est facile à adopter ; il est également activé par défaut dans iOS 9 et OS X v10.11. Par conséquent, vous devez adopter ATS dès que possible, que vous créiez une nouvelle application ou que vous en mettiez à jour une existante.

• NSAllowsArbitraryLoads: Si défini sur YES, désactive toutes les restrictions ATS pour toutes les connexions réseau, à l'exception des connexions aux domaines que vous configurez individuellement dans le dictionnaire optionnel NSExceptionDomains. La valeur par défaut est NO.
• NSAllowsArbitraryLoadsForMedia: Si défini sur YES, désactive toutes les restrictions ATS pour les médias que votre application charge à l'aide du framework AV Foundation. N'utilisez cette clé que pour charger des médias déjà chiffrés, tels que les fichiers protégés par FairPlay ou par HLS sécurisé, qui ne contiennent pas d'informations personnalisées. La valeur par défaut est NO.
• NSAllowsArbitraryLoadsInWebContent: Si défini sur YES, désactive toutes les restrictions ATS pour les requêtes provenant de vues web. Cela permet à votre application d'utiliser un navigateur intégré pouvant afficher du contenu arbitraire sans désactiver ATS pour le reste de votre application. La valeur par défaut est NO.
• NSExceptionAllowsInsecureHTTPLoads: Si défini sur YES, autorise les chargements HTTP non sécurisés pour le domaine nommé, mais ne modifie pas les exigences de Transport Layer Security (TLS) et n'affecte pas les chargements HTTPS pour le domaine nommé. La valeur par défaut est NO.
• NSExceptionMinimumTLSVersion: Spécifie la version minimale de TLS pour les connexions réseau du domaine nommé, autorisant une connexion avec une version plus ancienne et moins sécurisée de Transport Layer Security.

Recommandation

Voici les paramètres ATS recommandés :

• NSAllowsArbitraryLoads: Définir sur NO pour appliquer les restrictions ATS, améliorant la sécurité globale du réseau en limitant les connexions réseau arbitraires.
• NSAllowsArbitraryLoadsForMedia: Définir sur NO sauf si nécessaire pour charger des médias spécifiquement chiffrés, garantissant que seules les connexions sécurisées sont autorisées pour le contenu multimédia.
• NSAllowsArbitraryLoadsInWebContent: Définir sur NO sauf si requis pour une fonctionnalité spécifique, car son activation peut compromettre les protections ATS dans les vues web.
• NSExceptionAllowsInsecureHTTPLoads: Définir sur NO pour imposer les connexions HTTPS et maintenir des normes de communication sécurisées, minimisant le risque d'interception de données.
• NSExceptionMinimumTLSVersion: Définir sur la dernière version de TLS prise en charge par votre application et votre infrastructure serveur, garantissant des normes de sécurité optimales et une protection contre les vulnérabilités associées aux anciennes versions de TLS.

Liens

• Preventing Insecure Network Connections
• Announcement of App Transport Security in iOS 9
• Cocoa Keys (Apple Developer)

Normes

• OWASP_MASVS_L1:
  • MSTG_NETWORK_2
• OWASP_MASVS_L2:
  • MSTG_NETWORK_2
• GDPR:
  • ART_5
  • ART_32
• PCI_STANDARDS:
  • REQ_2_2
  • REQ_3_6
  • REQ_3_7
  • REQ_4_2
  • REQ_6_2
• OWASP_MASVS_v2_1:
  • MASVS_NETWORK_1
• SOC2_CONTROLS:
  • CC_2_1
  • CC_4_1
  • CC_6_7
  • CC_7_1
  • CC_7_2
  • CC_7_4
  • CC_7_5
• CNIL_FOR_EDITORS:
  • EDITORS_4_1_1
• CNIL_FOR_DEVELOPERS:
  • DEVELOPERS_4_1_1
  • DEVELOPERS_4_1_4
• HIPAA_CONTROLS:
  • SECURITY252
  • SECURITY212
  • SECURITY213