Mises à jour logicielles sécurisées
La sécurité est un processus. Il n’est pas suffisant de démarrer de manière fiable la version du système d’exploitation installée à l’usine. Un mécanisme pour obtenir rapidement et sécuritairement les dernières mises à jour de sécurité est également nécessaire. Apple propose régulièrement des mises à jour logicielles pour résoudre les problèmes de sécurité émergents. Les utilisateurs d’appareils iPhone et iPad reçoivent des notifications de mises à jour sur l’appareil. Les mises à jour du Mac sont disponibles dans Réglages système (macOS 13 ou une version ultérieure) ou dans Préférences Système (macOS 12 ou une version antérieure). Les mises à jour se font sans fil, ce qui favorise l’adoption rapide des plus récents correctifs de sécurité.
Sécurité du processus de mise à jour
Le processus de mise à jour utilise la même base matérielle sécurisée que le démarrage sécurisé pour autoriser uniquement l’installation de code signé par Apple. Il utilise également le processus d’autorisation du logiciel système pour vérifier que seules les copies des versions du système d’exploitation activement signées par Apple peuvent être installées sur les appareils iPhone et iPad, ou les Mac dont la règle de démarrage sécurisé de l’utilitaire Sécurité au démarrage est réglée à Sécurité maximale. Grâce à la mise en place de ces processus sécuritaires, Apple peut arrêter de signer des versions plus anciennes du système d’exploitation qui comportent des failles et ainsi prévenir les attaques par retour en arrière.
Pour augmenter la sécurité des mises à jour logicielles, une copie intégrale d’iOS ou d’iPadOS est téléchargée et installée lorsqu’un appareil est connecté par câble à un Mac. Pour les mises à jour du logiciel effectuées par connexion sans fil, seuls les composants nécessaires à la mise à jour sont téléchargés, au lieu de l’intégralité du système d’exploitation, ce qui améliore l’efficacité du réseau. Par ailleurs, les mises à jour logicielles peuvent être mises en cache sur un Mac sous macOS 10.13 ou une version ultérieure (avec la mise en cache de contenu activée), afin que les appareils iPhone et iPad n’aient pas à télécharger de nouveau la mise à jour nécessaire sur Internet. Ils n’ont alors qu’à communiquer avec les serveurs d’Apple pour conclure le processus de mise à jour.
Processus de mise à jour personnalisé
Lors d’une mise à niveau ou d’une mise à jour, certaines informations sont transmises au serveur d’Apple chargé d’autoriser l’installation, qui envoie une liste de mesures cryptographiques pour chaque paquet à installer (par exemple iBoot, le noyau et l’image du système d’exploitation), une valeur antirejeu aléatoire et l’identifiant unique de puce (ECID).
Le serveur d’autorisation compare alors la liste de mesures qui lui est fournie aux versions dont l’installation est autorisée et, s’il trouve une correspondance, ajoute l’ECID à la mesure et signe le résultat. Le serveur transmet un jeu complet de données signées à l’appareil dans le cadre du processus de mise à niveau. L’ajout de l’ECID « personnalise » l’autorisation pour l’appareil émetteur de la requête. En accordant son autorisation et sa signature uniquement pour des mesures connues, le serveur veille à garantir que la mise à jour se déroule exactement comme prévu par Apple.
L’évaluation de la chaîne de confiance au démarrage vérifie que la signature provient bien d’Apple et que la mesure de l’élément chargé à partir du dispositif de stockage, combinée à l’ECID, correspond à ce que couvre la signature. Ces étapes visent à garantir que, sur les appareils qui prennent en charge la personnalisation, l’autorisation est propre à un appareil et qu’une ancienne version du système d’exploitation ou du programme interne ne peut pas être copiée sur un autre appareil. La valeur antirejeu contribue à empêcher un assaillant d’enregistrer la réponse du serveur et de l’utiliser pour altérer un appareil ou modifier d’une quelconque façon le logiciel système.
Le processus de personnalisation est la raison pour laquelle une connexion réseau à Apple est systématiquement requise pour mettre à jour tout appareil doté d’une puce Apple, y compris un Mac avec processeur Intel et puce T2 Security d’Apple.
Sur les appareils dotés du Secure Enclave, ce dernier fait également appel à l’autorisation du logiciel système pour vérifier l’intégrité de son logiciel et il est conçu pour empêcher l’installation d’une version antérieure.