Sécurité du verrouillage d’activation
Le verrouillage d’activation aide à empêcher des utilisateurs non autorisés de réactiver un appareil iPhone, iPad, Mac, Apple Watch ou Apple Vision Pro perdu ou volé. Il est toujours activé même si l’appareil est effacé. Le verrouillage d’activation est conçu pour empêcher toute autre personne d’utiliser ou de vendre un appareil. L’application du verrouillage d’activation par Apple varie selon l’appareil.
Verrouillage d’activation sur les pièces d’iPhone
Apple prolonge le verrouillage d’activation pour iPhone afin d’englober les pièces individuelles en vue de décourager la revente de pièces volées. Lors d’une réparation, si un iPhone détecte qu’une pièce prise en charge provient d’un autre iPhone dont le mode Verrouillage d’activation ou Perdu est activé, l’étalonnage est restreint pour cette pièce. Cette amélioration de la fonctionnalité de verrouillage d’activation renforce l’engagement d’Apple à protéger les utilisateurs tout en augmentant le choix des consommateurs en matière de réparations.
Comportement sur les appareils iPhone, iPad et Apple Vision Pro
Sur les iPhone, iPad et Apple Vision Pro non supervisés, le verrouillage d’activation est activé automatiquement lorsque l’utilisateur connecte son appareil à son compte Apple et qu’il active Localiser.
Sur les appareils supervisés, le verrouillage d’activation est désactivé par défaut, mais une solution de gestion des appareils mobiles (GAM) peut permettre à l’utilisateur de l’activer. Cela permet à la solution de GAM de mettre sous séquestre un code de contournement de l’appareil. Ce code de contournement pourra plus tard être utilisé afin de désactiver le verrouillage d’activation. Voici les situations lors desquelles un appareil génère un code de contournement :
Première configuration de l’appareil
Configuration de l’appareil après un effacement sans restauration à partir d’une sauvegarde de ce même appareil
Configuration de l’appareil après un effacement et restauration à partir d’une sauvegarde d’un autre appareil
Sur les appareils gérés et supervisés, une solution de gestion des appareils mobiles (GAM) peut également communiquer directement avec les serveurs d’Apple afin d’activer le verrouillage d’activation. Comme l’opération est effectuée entièrement sur le serveur, elle ne dépend pas d’actions de l’utilisateur ou de l’état de l’appareil. La solution de GAM doit créer un code de contournement de 31 octets, puis l’envoyer aux serveurs d’Apple lorsqu’elle veut activer le verrouillage d’activation pour l’appareil. Le code de contournement de la solution de GAM doit être créé de façon aléatoire et unique pour chaque appareil.
Le verrouillage d’activation est mis en application par l’entremise du processus d’activation, tout de suite après l’écran de sélection du réseau Wi‑Fi d’Assistant réglages. Lorsqu’un appareil indique qu’il est en cours d’activation, il envoie une demande au serveur d’activation pour obtenir un certificat d’activation.
Les iPhone, iPad et Apple Vision Pro non supervisés qui sont verrouillés grâce au verrouillage d’activation peuvent être déverrouillés avec :
les informations d’identification du compte Apple personnel utilisées pour activer le verrouillage d’activation;
les codes de contournement précédemment utilisés.
Les iPhone, iPad et Apple Vision Pro supervisés qui sont verrouillés grâce au verrouillage d’activation peuvent être déverrouillés avec :
les informations d’identification du compte Apple personnel utilisées pour activer le verrouillage d’activation;
les informations d’identification du compte Apple School Manager utilisées pour associer la solution de GAM à Apple School Manager ou Apple Business Manager;
le code de contournement stocké sous séquestre par la solution de GAM;
la solution de GAM faisant un appel côté serveur aux serveurs d’Apple avec le même code de contournement que celui utilisé pour activer le verrouillage d’activation.
Remarque : L’Assistant réglages sous iOS, iPadOS et visionOS empêchera l’utilisateur de poursuivre la configuration de l’appareil jusqu’à l’obtention d’un certificat valide.
Comportement sur Apple Watch
Le verrouillage d’activation sur une Apple Watch non supervisée est relatif à l’état du verrouillage d’activation de l’iPhone jumelé. Si le verrouillage d’activation est activé sur l’iPhone, l’Apple Watch a l’instruction de contacter les serveurs d’Apple à la fin du processus de jumelage pour activer le verrouillage d’activation. Si le verrouillage d’activation est désactivé sur l’iPhone au moment du jumelage, mais activé plus tard, l’iPhone :
invite tous les appareils Apple Watch jumelés à contacter les serveurs Apple;
peut activer le verrouillage d’activation sur l’Apple Watch.
Dans le cadre du processus de jumelage initial, l’iPhone envoie une demande au serveur d’activation pour obtenir un certificat d’activation pour l’Apple Watch.
Si l’Apple Watch est verrouillée à l’aide du verrouillage d’activation, l’utilisateur est invité à saisir les informations d’identification du compte Apple qui a été utilisé à ce moment-là pour activer le verrouillage d’activation en vue de déjumeler, d’effacer ou de réactiver l’Apple Watch.
Remarque : Le jumelage ne peut pas être finalisé tant qu’un certificat valide n’a pas été obtenu.
Comportement sur Mac
Sur les Mac non supervisés, le verrouillage d’activation est activé automatiquement lorsque l’utilisateur connecte son appareil à son compte Apple et qu’il active Localiser. Sur les Mac supervisés, le verrouillage d’activation est désactivé par défaut, mais une solution de GAM peut permettre à l’utilisateur de l’activer. Cela permet à la solution de GAM de mettre sous séquestre un code de contournement de l’appareil. Ce code de contournement pourra plus tard être utilisé afin de désactiver le verrouillage d’activation. Voici les situations lors desquelles un appareil génère un code de contournement :
Première configuration de l’appareil
Première configuration de l’appareil après un effacement
Autre comportement sur les Mac avec puce Apple
Sur les Mac avec puce Apple, le chargeur d’amorçage de niveau inférieur (LLB) vérifie qu’un fichier LocalPolicy valide existe pour l’appareil et que les valeurs antirejeu LocalPolicy correspondent aux valeurs stockées dans le composant de stockage sécurisé. Le LLB démarre sur recoveryOS si :
aucun fichier LocalPolicy n’existe pour la version actuelle de macOS;
le fichier LocalPolicy n’est pas valide pour cette version de macOS;
les valeurs de hachage de la valeur antirejeu LocalPolicy ne correspondent pas aux valeurs de hachage stockées dans le composant de stockage sécurisé.
recoveryOS conclut que l’ordinateur Mac n’est pas activé et communique avec le serveur d’activation pour obtenir un certificat d’activation.
Si l’appareil est verrouillé au moyen du verrouillage d’activation en recoveryOS, le verrouillage d’activation peut être déverrouillé à l’aide des informations suivantes :
Les informations d’identification du compte Apple personnel utilisées pour activer le verrouillage d’activation.
Le mot de passe de l’appareil qu’a précédemment utilisé l’utilisateur local qui a autorisé le verrouillage d’activation.
le code de contournement stocké sous séquestre par la solution de GAM;
Après l’obtention d’un certificat d’activation, la clé de ce certificat est utilisée pour obtenir un certificat RemotePolicy. Le Mac utilise la clé LocalPolicy et le certificat RemotePolicy pour produire un fichier LocalPolicy valide.
Remarque : Le LLB n’autorisera pas le démarrage de macOS à moins qu’un fichier LocalPolicy valide ne soit présent.
Autre comportement sur les Mac avec puce T2
Sur un Mac avec puce T2, le programme interne de la puce en question vérifie qu’un certificat d’activation valide est présent avant d’autoriser le démarrage de macOS. Le programme interne UEFI chargé par la puce T2 est chargé d’interroger l’état d’activation de l’appareil auprès de cette même puce. Le Mac démarre à partir de recoveryOS si :
aucun certificat d’activation valide n’est présent
recoveryOS conclut que l’ordinateur Mac n’est pas activé et communique avec le serveur d’activation pour obtenir un certificat d’activation.
Si le Mac est verrouillé au moyen du verrouillage d’activation en recoveryOS, le verrouillage d’activation peut être déverrouillé à l’aide des informations suivantes :
Les informations d’identification du compte Apple personnel utilisées pour activer le verrouillage d’activation.
Le mot de passe de l’appareil qu’a précédemment utilisé l’utilisateur local qui a autorisé le verrouillage d’activation.
le code de contournement stocké sous séquestre par la solution de GAM;
Remarque : Le programme interne UEFI n’autorisera pas le démarrage de macOS à moins qu’un certificat d’activation valide ne soit présent.
Gestion du verrouillage d’activation dans Apple School Manager ou Apple Business Manager
Si un appareil Apple est enregistré auprès d’une organisation Apple School Manager ou Apple Business Manager, les utilisateurs détenant un rôle avec privilèges de gestion des appareils peuvent désactiver le verrouillage d’activation pour les appareils appartenant à l’organisation. Cette option n’est offerte que pour les appareils enregistrés auprès de l’organisation avant l’activation du verrouillage d’activation et qui n’ont pas été libérés. Le verrouillage d’activation étant désactivé durant les appels côté serveur, l’appareil n’a pas besoin d’être géré par une solution de gestion des appareils mobiles (GAM).
Remarque : Les appareils qui sont actuellement verrouillés au moyen du verrouillage d’activation ne peuvent pas être ajoutés à une organisation Apple School Manager ou Apple Business Manager.