Sécurité du verrouillage d’activation
L’application du verrouillage d’activation par Apple varie selon que l’appareil est un iPhone, un iPad, un Mac avec puce Apple ou un Mac avec processeur Intel et puce T2 Security d’Apple.
Comportement sur iPhone et iPad
Sur iPhone et iPad, le verrouillage d’activation est mis en application par l’entremise du processus d’activation, tout de suite après l’écran de sélection du réseau Wi‑Fi d’Assistant réglages d’iOS et d’iPadOS. Lorsque l’appareil indique qu’il est en cours d’activation, il envoie une demande à un serveur Apple pour obtenir un certificat d’activation. Les appareils dont le verrouillage d’activation est activé requièrent la saisie des informations d’identification iCloud de l’utilisateur ayant activé le verrouillage d’activation. Assistant réglages sous iOS ou iPadOS empêchera l’utilisateur de poursuivre la configuration de l’appareil jusqu’à l’obtention d’un certificat valide.
Comportement sur un Mac avec puce Apple
Dans un Mac avec puce Apple, le LLB vérifie qu’un fichier LocalPolicy valide existe pour l’appareil et que les valeurs antirejeu LocalPolicy correspondent aux valeurs stockées dans le composant de stockage sécurisé. Le chargeur d’amorçage de niveau inférieur (LLB) démarre sur recoveryOS si :
aucun fichier LocalPolicy n’existe pour la version actuelle de macOS;
le fichier LocalPolicy n’est pas valide pour cette version de macOS;
les valeurs de hachage de la valeur antirejeu LocalPolicy ne correspondent pas aux valeurs de hachage stockées dans le composant de stockage sécurisé.
recoveryOS conclut que l’ordinateur Mac n’est pas activé et communique avec le serveur d’activation pour obtenir un certificat d’activation. Si le verrouillage d’activation de l’appareil est activé, recoveryOS exige la saisie des informations d’identification iCloud de l’utilisateur ayant activé le verrouillage d’activation. Après l’obtention d’un certificat d’activation, la clé de ce certificat est utilisée pour obtenir un certificat RemotePolicy. L’ordinateur Mac utilise la clé LocalPolicy et le certificat RemotePolicy pour produire un fichier LocalPolicy valide. Le LLB n’autorisera pas le démarrage de macOS à moins qu’un fichier LocalPolicy valide ne soit présent.
Comportements sur les ordinateurs Mac avec processeur Intel
Dans un Mac avec processeur Intel et puce T2, le programme interne de la puce en question vérifie qu’un certificat d’activation valide est présent avant d’autoriser le démarrage de macOS. Le programme interne UEFI chargé par la puce T2 est chargé d’interroger l’état d’activation de l’appareil auprès de cette même puce et de démarrer recoveryOS au lieu de macOS si aucun certificat d’activation valide n’est présent. recoveryOS conclut alors que le Mac n’est pas activé et communique avec le serveur d’activation pour obtenir un certificat d’activation. Si le verrouillage d’activation de l’appareil est activé, recoveryOS exige la saisie des informations d’identification iCloud de l’utilisateur ayant activé le verrouillage d’activation. Le programme interne UEFI n’autorisera pas le démarrage de macOS à moins qu’un certificat d’activation valide ne soit présent.