Sécurité de FaceTime
FaceTime est le service d’appels audio et vidéo d’Apple. Comme iMessage, les appels FaceTime utilisent le service de notifications Push d’Apple (APN) pour établir une première connexion aux appareils enregistrés de l’utilisateur. Le contenu audiovisuel des appels FaceTime est protégé par un système de chiffrement de bout en bout, afin que personne d’autre que l’expéditeur et le destinataire ne puisse y accéder. Apple n’est pas en mesure de déchiffrer ces données.
La connexion FaceTime initiale se fait au moyen d’une infrastructure de serveurs Apple qui relaient les paquets de données entre les appareils enregistrés des utilisateurs. Des notifications APN et des messages STUN pour NAT servent à vérifier les certificats d’identité des appareils et un secret partagé est défini pour chaque session. Le secret partagé est utilisé pour dériver les clés de session des canaux multimédias diffusées à l’aide du protocole SRTP (Secure Real-time Transport Protocol). Les paquets SRTP sont chiffrés à l’aide de l’algorithme AES256 en mode compteur et authentifié avec la fonction HMAC-SHA1. Après la connexion initiale et la configuration de sécurité, FaceTime utilise STUN et ICE (Interactive Connectivity Establishment) pour établir une connexion pair à pair entre les appareils, si possible.
FaceTime en groupe permet de passer des appels qui comptent jusqu’à 33 correspondants simultanément. Tout comme les appels FaceTime typiques en tête-à-tête, les appels en groupe sont chiffrés de bout en bout sur l’appareil de chaque correspondant. Bien que les appels FaceTime en groupe réutilisent la majorité de l’infrastructure et de la conception de FaceTime en tête-à-tête, ces groupes reposent sur un mécanisme d’établissement de clés qui s’ajoute à l’authenticité fournie par le service d’identité d’Apple (IDS). Ce protocole est source de confidentialité persistante, c’est-à-dire que le détournement de l’appareil d’un utilisateur n’induit pas la divulgation du contenu des appels passés. Les clés de session sont enveloppées par l’algorithme AES-SIV et sont distribuées auprès des correspondants au moyen d’une construction ECIES (Elliptic Curve Integrated Encryption Scheme, système de chiffrement intégré basé sur les courbes elliptiques) avec des clés éphémères P-256 ECDH.
Lorsque de nouveaux numéros de téléphone ou de nouvelles adresses courriel sont ajoutés à un appel FaceTime en groupe en cours, les appareils actifs génèrent de nouvelles clés de support et ne partagent en aucun cas les clés utilisées précédemment avec les appareils récemment ajoutés.