Sécurité de l’accompagnement
L’accompagnement offre la possibilité à un utilisateur de choisir un contact à notifier si son appareil pris en charge n’arrive pas à une destination prédéterminée. Lorsque l’utilisateur choisit un contact avec qui démarrer un accompagnement, un message iMessage est envoyé à ce contact contenant les informations détaillées sur la session, y compris la destination. L’appareil de l’utilisateur en cours d’exécution génère aussi un jeton d’accès et une clé de chiffrement d’accompagnement. La clé de chiffrement d’accompagnement est envoyée dans un deuxième message iMessage. Par contre, ce message est retenu par les serveurs iMessage plutôt que d’être transmis immédiatement. Ce message étant chiffré de bout en bout entre l’utilisateur et le contact qu’il a désigné, son contenu n’est pas accessible à Apple.
Pendant que l’appareil de l’utilisateur initiateur progresse vers sa destination, il envoie périodiquement un message de battement de cœur aux serveurs iMessage, ce qui prolonge le délai d’expiration avant que le message de la clé de chiffrement d’accompagnement ne soit livré. Si l’appareil est éteint ou perd la connectivité, les serveurs iMessage transmettent automatiquement le message iMessage contenant la clé de chiffrement au contact lorsque le délai d’expiration est atteint. Le message de la clé de chiffrement d’accompagnement peut également être transmis si l’appareil ne progresse pas vers sa destination. Lorsque le message est déclenché de cette façon, le jeton d’accès est inclus.
Au cours d’une session d’accompagnement, l’appareil de l’utilisateur initiateur recueille périodiquement les données d’accompagnement pertinentes (par exemple, l’emplacement et le niveau de batterie), les chiffres avec la clé d’accompagnement et les télécharge sur iCloud. Apple n’a pas accès à la clé d’accompagnement et ne peut pas accéder aux données téléversées.
L’authentification de l’utilisateur est requise pour mettre fin à une session d’accompagnement. Si l’utilisateur annule une session, les données chiffrées et le message iMessage contenant la clé de chiffrement d’accompagnement sont supprimés du serveur de façon sécurisée.
Si l’appareil de l’accompagnement n’est pas arrivé à sa destination comme prévu, ou si le délai configuré expire, le contact choisi reçoit le message iMessage contenant la clé de chiffrement d’accompagnement. Il y a deux scénarios où cela pourrait survenir :
Après une perte de connectivité : auquel cas, le contact désigné ne détient pas le jeton d’accès et l’appareil du contact effectue une deuxième vérification pour déterminer s’il s’est écoulé assez de temps depuis le dernier battement de cœur. L’appareil du contact demande les données d’accompagnement chiffrées du serveur, puis le serveur effectue une troisième vérification pour confirmer si suffisamment de temps s’est écoulé depuis le dernier battement de cœur. Si c’est le cas, le serveur fournit au contact les données d’accompagnement chiffrées, que le contact peut déchiffrer à l’aide de sa clé d’accompagnement.
Lorsque l’appareil de l’utilisateur détermine qu’il ne progresse pas vers sa destination : auquel cas, à moins que l’utilisateur n’annule ou ne prolonge l’accompagnement lorsqu’il y est invité, le contact désigné reçoit à la fois le jeton d’accès et la clé de chiffrement de l’accompagnement. L’appareil du contact fournit le jeton d’accès au serveur, qui lui permet de télécharger les données d’accompagnement chiffrées. Les données peuvent ensuite être déchiffrées à l’aide de la clé d’accompagnement.