Sécurité du système sous watchOS

Mise à jour de watchOS

watchOS peut être configuré pour une mise à jour de nuit. Pour en savoir plus sur le stockage et l’utilisation du code de l’Apple Watch pendant la mise à jour, consultez la section Conteneurs de clés pour la protection des données.

Détection du poignet

Si la détection du poignet est activée, l’appareil est automatiquement verrouillé peu de temps après son retrait du poignet de l’utilisateur. Si la détection du poignet est désactivée, le centre de contrôle offre l’option de verrouiller l’Apple Watch. Quand l’Apple Watch est verrouillée, Apple Pay peut être utilisé uniquement après la saisie de son code. La détection du poignet peut être désactivée à l’aide de l’app Watch sur l’iPhone. Ce réglage peut également être appliqué à l’aide d’une solution de gestion des appareils mobiles (GAM).

Verrouillage d’activation

Lorsque la fonction Localiser est activée sur un iPhone, l’Apple Watch jumelée peut utiliser le verrouillage d’activation. Le verrouillage d’activation complique l’usage ou la revente d’une Apple Watch en cas de perte ou de vol. Il oblige l’utilisateur à saisir son identifiant Apple et son mot de passe pour déjumeler, effacer ou réactiver l’Apple Watch.

Jumelage sécurisé avec l’iPhone

L’Apple Watch peut être jumelée seulement avec un iPhone à la fois. Lorsque l’Apple Watch n’est pas jumelée, l’iPhone transmet des instructions pour effacer l’ensemble du contenu et des données de la montre.

Le jumelage de l’Apple Watch à l’iPhone est sécurisé grâce à un processus hors bande pour l’échange des clés publiques, puis à l’aide d’un secret partagé reposant sur une liaison Bluetooth® faible énergie (BLE, Bluetooth Low Energy). L’Apple Watch affiche un motif animé, capté par la caméra de l’iPhone. Ce motif comporte un secret codé utilisé pour le jumelage hors bande BLE 4.1. La saisie de code d’accès BLE standard est employée comme méthode de jumelage de secours, si nécessaire.

Une fois la session BLE établie et chiffrée au moyen du protocole le plus sécurisé des spécifications principales de Bluetooth, l’iPhone et l’Apple Watch s’échangent des clés au moyen :

• soit d’un processus adapté à partir du service d’identité d’Apple (IDS), comme décrit dans l’aperçu de la sécurité d’iMessage;

• soit d’un échange de clés par l’entremise du protocole IKEv2/IPsec. L’échange de clés initial est authentifié soit au moyen de la clé de session Bluetooth (en cas de jumelage), soit au moyen de clés IDS (en cas de mise à jour du système d’exploitation). Chaque appareil génère une paire de clés publique et privée Ed25519 256 bits aléatoire. Les clés publiques sont échangées au cours de l’échange de clés initial. Lorsqu’une Apple Watch est jumelée pour la première fois sous watchOS 10 ou une version ultérieure, les clés privées sont ancrées dans son Secure Enclave.

  Sur un iPhone fonctionnant sous iOS 17 ou une version ultérieure, les clés privées ne sont pas ancrées dans le Secure Enclave, car un utilisateur qui restaure sa sauvegarde iCloud sur le même iPhone préserve le jumelage existant de l’Apple Watch sans nécessiter de migration.

Après l’échange des clés :

• La clé de session Bluetooth est abandonnée et toutes les communications entre l’iPhone et l’Apple Watch sont chiffrées par une des méthodes susmentionnées, les liaisons chiffrées Bluetooth, Wi-Fi et cellulaire fournissant une couche de chiffrement secondaire.

• (IKEv2/IPsec uniquement) Les clés sont stockées dans le trousseau du système et utilisées pour authentifier les futures sessions IKEv2/IPsec entre les appareils. Les autres communications entre ces appareils sont chiffrées et protégées en matière d’intégrité à l’aide d’AES-256-GCM sur les appareils iPhone fonctionnant sous iOS 15 ou une version ultérieure couplés à une Apple Watch Series 4 ou un modèle ultérieur fonctionnant sous watchOS 8 ou une version ultérieure. (ChaCha20-Poly1305 avec des clés 256 bits est utilisé sur des appareils plus anciens ou des appareils utilisant des versions plus anciennes du système d’exploitation.)

L’adresse BLE de l’appareil est remplacée toutes les 15 minutes pour réduire le risque qu’un appareil soit suivi localement si quelqu’un diffuse un identifiant permanent.

Pour les apps requérant des données de diffusion en continu, le chiffrement est assuré à l’aide des méthodes décrites dans la section Sécurité de FaceTime, en faisant appel à l’IDS fourni par l’iPhone jumelé ou à une connexion Internet directe.

L’Apple Watch implémente du stockage chiffré matériellement et une protection basée sur des classes pour les fichiers et les éléments du trousseau. Des conteneurs de clés dont l’accès est contrôlé sont également utilisés pour les éléments de trousseau. Les clés employées pour la communication entre l’Apple Watch et l’iPhone sont aussi sécurisées à l’aide d’une protection basée sur des classes. Pour en savoir plus, consultez la section Conteneurs de clés pour la protection des données.

Déverrouillage automatique et Apple Watch

Pour une meilleure commodité lors de l’utilisation de plusieurs appareils Apple, certains d’entre eux peuvent automatiquement déverrouiller les autres dans certaines situations. Le déverrouillage automatique est possible dans trois situations :

• Un iPhone peut déverrouiller une Apple Watch.

• Une Apple Watch peut déverrouiller un Mac.

• Une Apple Watch peut déverrouiller un iPhone après la détection d’un utilisateur dont la bouche et le nez sont couverts.

Ces trois usages s’appuient sur la même base : un protocole Station-to-Station (STS) à authentification mutuelle, avec des clés à long terme échangées au moment de l’activation de la fonctionnalité et des clés de session éphémères uniques pour chaque demande. Peu importe le canal de communication sous-jacent, le tunnel STS est négocié directement entre les Secure Enclave des deux appareils, et le matériel de chiffrement est conservé à l’intérieur de ce domaine sécurisé (à l’exception des ordinateurs Mac sans Secure Enclave, pour lesquels le tunnel STS prend fin dans le noyau).

Déverrouillage

Une séquence de déverrouillage complète comporte deux phases. D’abord, l’appareil à déverrouiller (la « cible ») génère un secret de déverrouillage cryptographique qu’il envoie à l’appareil procédant au déverrouillage (l’« initiateur »). Ensuite, l’initiateur effectue le déverrouillage au moyen du secret généré.

Pour armer le déverrouillage, les appareils se connectent l’un à l’autre par une connexion BLE. Un secret de déverrouillage de 32 octets aléatoirement généré par l’appareil cible est envoyé à l’initiateur via le tunnel STS. Lors du prochain déverrouillage par biométrie ou par code, l’appareil cible enveloppe sa clé dérivée du code (PDK) avec le secret de déverrouillage et élimine celui-ci de sa mémoire.

Pour effectuer le déverrouillage, les appareils établissent une nouvelle connexion BLE avant d’utiliser le Wi-Fi pair à pair pour estimer en toute sécurité la distance qui les sépare. S’ils se trouvent à l’intérieur de la portée établie et que les règlements de sécurité requis sont respectés, l’initiateur envoie son secret de déverrouillage à la cible via le tunnel STS. La cible génère ensuite un nouveau secret de déverrouillage de 32 octets qu’elle renvoie à l’initiateur. Si le secret de déverrouillage en vigueur envoyé par l’initiateur arrive à déchiffrer l’enregistrement de déverrouillage, l’appareil cible est déverrouillé et la PDK est enveloppée de nouveau avec un autre secret de déverrouillage. Finalement, le nouveau secret de déverrouillage et la PDK sont éliminés de la mémoire de la cible.

Règlements de sécurité du déverrouillage automatique de l’Apple Watch

Pour plus de commodité, un iPhone peut déverrouiller l’Apple Watch directement après son démarrage initial sans que l’utilisateur ait à saisir d’abord le code sur l’Apple Watch. Pour y arriver, le secret de déverrouillage aléatoire (généré lors de la toute première séquence de déverrouillage après l’activation de la fonctionnalité) est utilisé pour créer une autorité de séquestre à long terme stockée dans le conteneur de clés de l’Apple Watch. Le secret de l’enregistrement sous séquestre est stocké dans le trousseau de l’iPhone et utilisé pour amorcer une nouvelle session après chaque redémarrage de l’Apple Watch.

Règlements de sécurité du déverrouillage automatique de l’iPhone

Des règlements de sécurité supplémentaires s’appliquent au déverrouillage automatique de l’iPhone avec l’Apple Watch. L’Apple Watch ne peut pas remplacer Face ID sur l’iPhone pour d’autres opérations comme Apple Pay ou les autorisations d’app. Lorsque l’Apple Watch déverrouille un iPhone jumelé, la montre affiche une notification et émet une vibration associée. Si l’utilisateur touche le bouton « Verrouiller l’iPhone » de la notification, la montre envoie à l’iPhone une commande de verrouillage via BLE. Lorsque l’iPhone reçoit la commande de verrouillage, il se verrouille et désactive Face ID ainsi que le déverrouillage avec l’Apple Watch. Le prochain déverrouillage de l’iPhone doit être effectué au moyen de son code.

Pour déverrouiller un iPhone jumelé à partir de l’Apple Watch (lorsque la fonctionnalité est activée), il faut respecter les critères suivants :

• L’iPhone doit avoir été déverrouillé au moyen d’une autre méthode au moins une fois après que l’Apple Watch associée a été placée sur le poignet et déverrouillée.

• Les capteurs doivent pouvoir détecter que la bouche et le nez de l’utilisateur sont couverts.

• La distance mesurée doit être de 2 à 3 mètres ou moins.

• Le mode Sommeil ne doit pas être activé sur l’Apple Watch.

• L’Apple Watch ou l’iPhone doit avoir été déverrouillé récemment, ou l’Apple Watch doit avoir détecté un mouvement indiquant que la personne qui la porte est active (c’est-à-dire qu’elle ne dort pas).

• L’iPhone doit avoir été déverrouillé moins de six heures et demie auparavant.

• L’iPhone doit être dans un état qui permet à Face ID de déverrouiller l’appareil. (Pour en savoir plus, consultez la section Face ID, Touch ID, les codes et les mots de passe.)

Approbation sous macOS avec l’Apple Watch

Lorsque le déverrouillage automatique est activé, l’Apple Watch peut être utilisée à la place de Touch ID ou avec Touch ID pour approuver les invites d’autorisation et d’authentification :

• des apps macOS et Apple qui demandent une autorisation;

• des apps tierces qui demandent une authentification;

• des mots de passe Safari enregistrés;

• des notes sécurisées.

Utilisation sécurisée du Wi-Fi, des données cellulaires, d’iCloud et de Gmail

Si l’Apple Watch est hors de portée du signal Bluetooth, une connexion Wi‑Fi ou cellulaire peut être utilisée à la place. L’Apple Watch se connecte automatiquement aux réseaux Wi‑Fi auxquels l’iPhone jumelé s’est déjà connecté et dont les informations d’identification ont été synchronisées avec l’Apple Watch alors que les deux appareils étaient à portée l’un de l’autre. Dans la section Wi-Fi de l’app Réglages sur l’Apple Watch, il est possible de configurer la connexion automatique au cas par cas selon les réseaux et de se connecter manuellement aux réseaux Wi‑Fi auxquels aucun des deux appareils ne s’est déjà connecté.

Si l’Apple Watch est hors de portée de l’iPhone, elle se connecte directement aux serveurs iCloud et Gmail pour récupérer les courriels plutôt que de synchroniser par Internet les données Mail avec l’iPhone jumelé. Pour les comptes Gmail, l’utilisateur doit s’authentifier auprès de Google dans la section Mail de l’app Watch sur l’iPhone. Le jeton OAuth reçu de Google est transmis à l’Apple Watch dans un format chiffré à l’aide du service d’identité d’Apple (IDS) afin qu’il puisse être utilisé pour récupérer les courriels. Ce jeton OAuth n’est jamais utilisé pour se connecter au serveur Gmail depuis l’iPhone jumelé.