Aperçu du chiffrement et de la protection des données
La chaîne de démarrage sécurisée, la sécurité du système et les fonctionnalités de sécurité des apps contribuent à faire en sorte que seuls des apps et du code vérifiés s’exécutent sur l’appareil. En outre, des fonctions de chiffrement additionnelles assurent la protection des données même lorsque certaines parties de l’infrastructure de sécurité ont été compromises (par exemple si l’appareil a été perdu ou s’il exécute du code non vérifié). Et parce que les renseignements personnels et ceux de l’entreprise sont protégés et que les données d’un appareil perdu ou volé peuvent être entièrement effacées à distance en un instant, tout cela profite aux utilisateurs comme aux administrateurs des TI.
Les appareils iPhone et iPad utilisent une méthode de chiffrement des fichiers appelée protection des données, tandis que les données sur les Mac à processeur Intel sont protégées par la technologie de chiffrement de disque FileVault. Les Mac dotés d’une puce Apple utilisent quant à eux un modèle hybride compatible avec la protection des données, à deux nuances près : le niveau de protection le plus bas (classe D) n’est pas pris en charge, d’une part, et le niveau par défaut (classe C) utilise une clé de volume et se comporte exactement comme FileVault sur un Mac à processeur Intel, d’autre part. Dans tous les cas, les hiérarchies de gestion des clés sont ancrées dans la puce du Secure Enclave prévue à cette fin, et un moteur AES dédié permet le chiffrement pleine vitesse tout en veillant à ce que les clés de chiffrement longue durée ne soient jamais transmises au noyau du système d’exploitation ou au processeur central, où elles pourraient être compromises. (Un Mac à processeur Intel équipé d’une puce T1 ou dépourvu de Secure Enclave n’a pas de puce dédiée pour protéger ses clés de chiffrement FileVault.)
Outre le recours à la protection des données et à FileVault pour contribuer à empêcher tout accès non autorisé à l’information, Apple utilise les noyaux de système d’exploitation pour renforcer la protection et la sécurité. Les noyaux utilisent des contrôles d’accès pour mettre les apps en bac à sable (ce qui restreint les données auxquelles ces apps ont accès) ainsi qu’un mécanisme appelé Data Vault (qui, au lieu de limiter les appels pouvant être passés par une app, restreint l’accès aux données d’une app par toutes les autres apps qui en font la demande).