Sécurité d’Apple Card
Sur les modèles d’iPhone et de Mac pris en charge, un utilisateur peut demander une Apple Card en toute sécurité.
Demande d’Apple Card
Sous iOS 12.4, macOS 10.14.6, watchOS 5.3 et les versions ultérieures de ces systèmes d’exploitation, l’Apple Card peut être utilisée avec Apple Pay pour effectuer des paiements en magasin, dans les apps et sur le Web.
Pour présenter une demande d’Apple Card, l’utilisateur doit être connecté à son compte iCloud sur un appareil iPhone ou iPad compatible avec Apple Pay et y avoir configuré l’identification à deux facteurs, ou il peut présenter une demande à apply.applecard.apple après s’être connecté avec son identifant Apple. Lorsque la demande est approuvée, l’Apple Card est disponible dans l’app Portefeuille ou dans Réglages > Portefeuille et Apple Pay sur n’importe quel appareil admissible sur lequel l’utilisateur s’est connecté avec son identifiant Apple.
Lorsqu’un utilisateur demande une Apple Card, les informations d’identification de l’utilisateur sont vérifiées de façon sécurisée par les partenaires fournisseurs d’identité d’Apple, puis partagées avec Goldman Sachs Bank USA pour valider l’identité et évaluer la solvabilité.
Des informations, telles que le numéro d’assurance sociale ou la photo de la pièce d’identité fournis dans le cadre de la demande, sont transmises de façon sécurisée aux partenaires fournisseurs d’identité d’Apple ou à Goldman Sachs Bank USA, chiffrées à l’aide de leurs clés respectives. Apple n’est pas en mesure de déchiffrer ces données.
Les renseignements sur le revenu fournis dans le cadre de la demande et ceux sur le compte bancaire utilisé pour payer les factures sont transmis de façon sécurisée à Goldman Sachs Bank USA, chiffrés à l’aide de sa clé. Les renseignements sur le compte bancaire sont enregistrés dans le trousseau. Apple n’est pas en mesure de déchiffrer ces données.
Lors de l’ajout de l’Apple Card à l’app Portefeuille, les mêmes informations que celles demandées pour l’ajout d’une carte de paiement peuvent être partagées avec la banque partenaire d’Apple, Goldman Sachs Bank USA, et Apple Payments Inc. Ces renseignements sont utilisés uniquement à des fins réglementaires, de dépannage et de prévention de la fraude.
Sous iOS 14.6, iPadOS 14.6, watchOS 7.5, et les versions ultérieures de ces systèmes d’exploitation, l’organisateur d’une famille iCloud disposant d’une Apple Card peut partager sa carte avec les membres de sa famille iCloud âgés de plus de 13 ans. L’authentification de l’utilisateur est requise pour confirmer l’invitation. Portefeuille d’Apple utilise une clé dans le Secure Enclave pour calculer une signature qui lie le propriétaire et l’invité. Cette signature est validée sur les serveurs Apple.
L’organisateur peut aussi fixer une limite de transaction pour les participants. Les cartes des participants peuvent également être verrouillées pour mettre leurs dépenses en pause à tout moment dans l’app Portefeuille. Lorsqu’un copropriétaire ou un participant de plus de 18 ans accepte l’invitation et fait une demande, il passe par le même processus de demande que celui défini dans la section de demande de l’Apple Card dans l’app Portefeuille.
Utilisation de l’Apple Card
Il est possible de commander une carte physique à partir de l’Apple Card dans l’app Portefeuille. Une fois que l’utilisateur a reçu la carte physique, il l’active à l’aide de l’étiquette CCP qui se trouve dans l’enveloppe à deux volets de la carte physique. L’étiquette est unique pour chaque carte et ne peut pas être utilisée pour activer la carte d’un autre utilisateur. La carte peut aussi être activée manuellement dans les réglages de l’app Portefeuille. De plus, l’utilisateur peut également choisir de verrouiller ou de déverrouiller la carte physique à tout moment dans l’app Portefeuille.
Paiements avec l’Apple Card et renseignements sur la carte dans l’app Portefeuille
Les paiements dus sur le compte de l’Apple Card peuvent être effectués à partir d’un navigateur Web ou de l’app Portefeuille sous iOS avec Apple Cash et un compte bancaire. Il est possible de programmer des paiements de facture récurrents ou ponctuels à une date précise avec Apple Cash et un compte bancaire. Lorsqu’un utilisateur effectue un paiement, les serveurs Apple Pay sont appelés pour obtenir une valeur antirejeu cryptographique, un peu comme pour Apple Cash. La valeur antirejeu, accompagnée des données de paiement, est envoyée au Secure Element pour calculer une signature. La signature est ensuite renvoyée aux serveurs Apple Pay. L’authenticité, l’intégrité et l’exactitude du paiement sont vérifiées à l’aide de la signature et de la valeur antirejeu par les serveurs Apple Pay. La commande est ensuite transmise à Goldman Sachs Bank USA aux fins de traitement.
Le numéro de l’Apple Card est récupéré par l’app Portefeuille en présentant un certificat. Le serveur Apple Pay valide le certificat pour confirmer que la clé a été générée dans le Secure Enclave. Il utilise ensuite cette clé pour chiffrer le numéro de l’Apple Card avant de le renvoyer à l’app Portefeuille, de sorte que seul l’iPhone qui a demandé le numéro de l’Apple Card puisse le déchiffrer. Après le déchiffrement, le numéro de l’Apple Card est enregistré dans le trousseau iCloud.
L’affichage du numéro de l’Apple Card dans l’app Portefeuille requiert l’authentification de l’utilisateur avec Face ID, Touch ID ou un code. L’utilisateur peut le remplacer dans la section des informations sur la carte, ce qui désactive l’ancien numéro.
Protection avancée contre la fraude
Sous iOS 15 et iPadOS 15 ou une version ultérieure, l’utilisateur d’une Apple Card peut activer la protection avancée contre la fraude dans l’app Portefeuille. Lorsqu’elle est activée, le code de sécurité de la carte est actualisé régulièrement.