Sécurité biométrique
Les codes et les mots de passe sont essentiels pour la sécurité des appareils Apple. En même temps, les utilisateurs doivent être en mesure d’accéder rapidement à leurs appareils, parfois plus de 100 fois par jour. L’authentification biométrique permet de préserver la sécurité d’un code fort (ou même de renforcer le code ou le mot de passe, car il n’a pas à être entré manuellement), tout en offrant la commodité du déverrouillage rapide en un toucher ou regard. Optic ID, Face ID et TouchID ne remplacent pas un code ou un mot de passe, mais ils accélèrent et facilitent l’accès dans la plupart des situations.
L’architecture d’identification biométrique d’Apple dépend d’une séparation stricte des responsabilités entre le capteur biométrique et le Secure Enclave, ainsi que d’une connexion sécurisée entre les deux. Le capteur capture l’image biométrique et la transmet en toute sécurité au Secure Enclave. Pendant l’inscription, le Secure Enclave traite, chiffre et stocke les données de modèle correspondantes d’Optic ID, de Face ID et de Touch ID. Pendant la mise en correspondance, le Secure Enclave compare les données entrantes du capteur biométrique aux modèles stockés afin de décider de déverrouiller l’appareil ou de répondre qu’une correspondance est valide (pour Apple Pay, dans les apps et pour d’autres utilisations d’Optic ID, de Face ID et de Touch ID). L’architecture prend en charge les appareils dotés du capteur et du Secure Enclave (comme l’iPhone, l’iPad, plusieurs systèmes Mac et l’Apple Vision Pro), et capables de séparer physiquement le capteur dans un périphérique qui est ensuite jumelé en toute sécurité au Secure Enclave sur un Mac avec puce Apple.
Sécurité d’Optic ID
Optic ID offre une authentification intuitive et sécurisée qui utilise l’unicité de l’iris, rendue possible par le système de suivi oculaire haute performance de l’Apple Vision Pro, composé de DEL et de caméras infrarouges. Il utilise la lumière proche infrarouge à modulation spatiotemporelle sans danger pour les yeux pour éclairer l’œil, permettant aux caméras oculaires de l’Apple Vision Pro d’obtenir des images de l’iris. Ces données d’images de l’iris sont envoyées et traitées sur le Secure Enclave et le Neural Engine sécurisé, où elles sont transformées en une représentation mathématique pour l’inscription.
La technologie Optic ID est conçue pour :
être compatible avec les lentilles souples et les ZEISS Inserts Optiques d’ordonnance pour les utilisateurs qui ont besoin d’une correction de la vue;
valider l’attention de l’utilisateur, en utilisant le suivi du regard, pour offrir une solution fiable d’authentification dont le taux de correspondance erronée est faible;
réduire les risques de mystification numérique ou physique.
Lorsqu’un utilisateur déverrouille son Apple Vision Pro au moyen de ses yeux, Optic ID utilise des réseaux neuronaux pour établir la correspondance et prévenir la mystification. Optic ID s’adapte automatiquement aux changements de conditions en mettant à jour le modèle d’inscription après une authentification réussie. Cela permet d’améliorer la performance d’Optic ID dans diverses conditions d’éclairage, dans lesquelles la partie visible de l’iris et la taille de la pupille peuvent varier.
Lorsqu’un utilisateur déverrouille son Apple Vision Pro, l’icône Optic ID est affichée au premier plan au centre de son champ de vision. Une fois que celui-ci a réussi à déverrouiller son Vision Pro ou à s’authentifier dans une app, Optic ID surveille en continu que le contour de ses yeux est visible par les caméras oculaires d’Apple Vision Pro.
Si l’utilisateur doit s’authentifier à nouveau alors qu’il porte l’appareil, Optic ID utilise ce suivi en continu pour l’authentification.
Sécurité de Face ID
Un regard suffit pour que Face ID déverrouille de façon sécurisée les appareils Apple compatibles. L’authentification intuitive et sécurisée est rendue possible par le système caméra TrueDepth, qui utilise des technologies avancées pour cartographier avec précision la géométrie du visage de l’utilisateur. Face ID exploite des réseaux neuronaux pour déterminer l’attention de l’utilisateur, établir la correspondance, prévenir la mystification et ainsi faire en sorte que l’utilisateur puisse déverrouiller son téléphone d’un seul regard, même avec un masque lorsqu’il utilise des appareils pris en charge. Face ID s’adapte automatiquement aux changements d’apparence de l’utilisateur et protège avec soin ses données biométriques.
La technologie Face ID a été conçue pour valider l’attention de l’utilisateur, offrir une solution fiable d’authentification dont le taux de correspondance erronée est faible et réduire les risques de mystification numérique ou physique.
Avec Face ID, la caméra TrueDepth cherche automatiquement le visage de l’utilisateur lorsque celui-ci réactive son appareil en l’élevant ou en touchant l’écran, et lorsque l’appareil tente d’authentifier l’utilisateur pour afficher une notification ou qu’une app prise en charge requiert l’authentification par Face ID. Lorsqu’un visage est détecté, Face ID valide l’attention et l’intention de déverrouiller l’appareil en vérifiant que les yeux de l’utilisateur sont ouverts et que son regard est dirigé vers l’appareil. Pour favoriser l’accessibilité, la vérification de l’attention par Face ID est désactivée lorsque VoiceOver est activé. Si nécessaire, cette fonctionnalité peut être désactivée séparément. La détection de l’attention est toujours nécessaire lorsque vous utilisez Face ID avec un masque.
Une fois qu’elle a validé la présence d’un visage attentif, la caméra TrueDepth projette et analyse des milliers de points infrarouges afin de créer une carte de profondeur du visage de l’utilisateur, accompagnée d’une image infrarouge 2D. Ces données sont utilisées pour créer une séquence d’images 2D et des cartes de profondeur, qui sont signées numériquement et envoyées au Secure Enclave. Pour contrer les tentatives de mystification numérique et physique, la caméra TrueDepth ordonne aléatoirement la séquence d’images 2D et les cartes de profondeur pour projeter un modèle aléatoire propre à l’appareil. Une partie du Neural Engine sécurisé, à l’abri dans le Secure Enclave, transforme ces données en une représentation mathématique et compare cette dernière aux données faciales enregistrées. Ces données faciales enregistrées forment elles‑mêmes une représentation mathématique du visage de l’utilisateur obtenue à partir d’une série de poses.
Sécurité de Touch ID
Touch ID est le système de lecture d’empreintes digitales qui permet de sécuriser rapidement et facilement l’accès aux appareils Apple compatibles. Cette technologie lit les empreintes digitales sous tous les angles et apprend à mieux les reconnaître au fil du temps, le capteur continuant à enrichir la carte de l’empreinte chaque fois qu’un nœud commun supplémentaire est détecté.
Les appareils Apple dotés d’un capteur Touch ID peuvent être déverrouillés à l’aide d’une empreinte digitale. Touch ID ne remplace pas le code de sécurité de l’appareil ni le mot de passe de l’utilisateur, toujours requis pour déverrouiller l’appareil après la mise en marche, le redémarrage ou encore la fermeture d’une session sur un Mac. Dans certaines apps, Touch ID peut être utilisé à la place du code ou du mode de passe de l’appareil, par exemple pour déverrouiller les notes protégées par mot de passe dans l’app Notes, pour déverrouiller les sites Web protégés par le trousseau et pour déverrouiller les apps prises en charge. Cependant, un code d’appareil ou un mot de passe utilisateur est systématiquement requis dans certains cas (comme pour modifier un code ou un mot de passe utilisateur, ou pour supprimer les inscriptions d’empreintes ou en créer de nouvelles).
Lorsque le lecteur d’empreintes digitales détecte le contact d’un doigt, le dispositif d’imagerie avancé numérise l’empreinte et transmet l’image au Secure Enclave. Le canal utilisé pour sécuriser cette connexion varie, selon que le capteur Touch ID est intégré à l’appareil avec le Secure Enclave ou situé dans un périphérique séparé.
Alors que la numérisation de l’empreinte est vectorisée à des fins d’analyse, l’image tramée est stockée temporairement dans la mémoire chiffrée du Secure Enclave, puis elle est effacée. L’analyse fait appel à une cartographie angulaire de la direction des crêtes sous-cutanées, un processus avec perte qui élimine les données de minuties digitales nécessaires à la reconstruction de l’empreinte digitale réelle de l’utilisateur. Pendant l’inscription, la carte de nœuds qui en résulte est stockée dans un format chiffré lisible uniquement par le Secure Enclave comme modèle pour comparer les correspondances ultérieures, mais sans information d’identification. Ces données sont confinées dans l’appareil. Elles ne sont pas envoyées à Apple ni incluses dans les sauvegardes de l’appareil.
Sécurité du canal du capteur Touch ID intégré
La communication entre le Secure Enclave et le capteur Touch ID intégré se fait par l’entremise d’un bus d’interface périphérique série. Le processeur transmet les données au Secure Enclave, mais ne peut pas les lire. Elles sont chiffrées et authentifiées avec une clé de session négociée à l’aide de la clé partagée attribuée à chaque capteur Touch ID et grâce au coprocesseur Secure Enclave correspondant en usine. Pour chaque capteur Touch ID, la clé partagée est robuste, aléatoire et différente. L’échange de la clé de session fait appel à l’algorithme d’enveloppement de clé AES, les deux parties fournissant une clé aléatoire qui établit la clé de session, et à un chiffrement des transmissions (avec AES‑CCM) qui assure à la fois l’authentification et la confidentialité.