Utilisations de Face ID et de Touch ID
Déverrouillage d’un appareil ou d’un compte utilisateur
Quand un appareil ou un compte se verrouille alors que Face ID ou Touch ID est désactivé, les clés de la classe la plus élevée de protection des données, qui sont stockées dans le Secure Enclave, sont effacées. Les fichiers et les éléments du trousseau appartenant à cette classe restent inaccessibles jusqu’à ce que l’utilisateur déverrouille l’appareil ou le compte en entrant son code ou son mot de passe.
Si Face ID ou Touch ID est activé, les clés ne sont pas effacées lorsque l’appareil ou le compte se verrouille; elles sont plutôt enveloppées avec une clé attribuée au sous‑système de Face ID ou de Touch ID à l’intérieur du Secure Enclave. Lorsqu’un utilisateur tente de déverrouiller l’appareil ou le compte, si l’appareil détecte une correspondance, il fournit la clé permettant de développer les clés de protection des données. Ce processus apporte une protection supplémentaire, puisqu’il oblige les sous‑systèmes de protection des données et Face ID ou Touch ID à coopérer pour déverrouiller l’appareil.
Lorsque l’appareil redémarre, les clés requises par Face ID ou Touch ID pour son déverrouillage ou celui du compte sont perdues; elles sont supprimées par le Secure Enclave dès qu’une condition nécessitant la saisie du code ou du mot de passe est remplie.
Sécurisation des achats effectués avec Apple Pay
L’utilisateur peut également utiliser Face ID et Touch ID avec Apple Pay pour effectuer des achats en toute simplicité et de façon sécuritaire dans des magasins, des apps et sur le Web :
Utilisation de Face ID en magasin : Pour autoriser un paiement en magasin avec Face ID, l’utilisateur doit d’abord confirmer son intention de payer en appuyant deux fois sur le bouton latéral. Ce double-clic atteste l’intention de l’utilisateur au moyen d’un geste directement lié au Secure Enclave qui ne peut être imité par un processus malveillant. L’utilisateur s’authentifie ensuite avec Face ID avant de placer l’appareil à proximité du lecteur de paiement sans contact. Un mode de paiement Apple Pay différent peut être sélectionné après l’authentification par Face ID, ce qui nécessite une nouvelle authentification, mais l’utilisateur n’a pas à réappuyer deux fois sur le bouton latéral.
Utilisation de Face ID dans les apps et sur le Web : Pour effectuer un paiement dans des apps ou sur le Web, l’utilisateur confirme son intention de payer en appuyant deux fois sur le bouton latéral, puis en s’authentifiant avec Face ID pour autoriser le paiement. Si la transaction Apple Pay n’est pas terminée 60 secondes après que l’utilisateur a appuyé deux fois sur le bouton latéral, l’utilisateur devra confirmer de nouveau son intention de payer en réappuyant deux fois sur le bouton.
Utilisation de Touch ID : Avec Touch ID, l’intention de payer est confirmée par le geste qui active le capteur de Touch ID combiné à la mise en correspondance de l’empreinte de l’utilisateur.
Utilisation des API fournies par le système
Les apps tierces peuvent utiliser les API fournies par le système pour demander à l’utilisateur de s’authentifier à l’aide de Face ID, de Touch ID, d’un code ou d’un mot de passe. Les apps qui prennent en charge Touch ID prennent automatiquement en charge Face ID sans modification. Si la technologie Face ID ou Touch ID est utilisée, l’app n’est informée que de la réussite ou de l’échec de l’authentification, et elle ne peut pas accéder à Face ID, à Touch ID ou aux données associées à l’utilisateur.
Protection des éléments du trousseau
Les éléments du trousseau peuvent également être protégés par Face ID ou Touch ID; dans ce cas, le Secure Enclave ne permet d’y accéder que si une correspondance est validée, ou que le code de l’appareil ou le mot de passe du compte est saisi. Les développeurs d’apps ont aussi à leur disposition des API qui permettent de vérifier que l’utilisateur a choisi un code ou un mot de passe et qu’il peut donc s’authentifier ou déverrouiller les éléments du trousseau à l’aide de Face ID ou de Touch ID. Les développeurs d’apps peuvent :
exiger que les opérations des API d’authentification ne passent pas par la saisie du mot de passe d’une application ou du code de l’appareil (ils peuvent interroger le système pour savoir si un utilisateur est enregistré, ce qui permet d’utiliser Face ID ou Touch ID comme deuxième facteur dans les apps qui requièrent une sécurité accrue);
générer et utiliser des clés basées sur la cryptographie sur les courbes elliptiques (ECC, Elliptic Curve Cryptography) dans le Secure Enclave qui peuvent être protégées par Face ID ou Touch ID (les opérations avec ces clés se font toujours dans le Secure Enclave après que ce dernier a autorisé leur utilisation).
Achats et approbations connexes
Les utilisateurs peuvent également configurer Face ID ou Touch ID pour autoriser des achats dans l’iTunes Store, l’App Store, Apple Books et ailleurs, et ainsi éviter de saisir le mot de passe de leur identifiant Apple. Lorsque des achats sont effectués, le Secure Enclave vérifie qu’une autorisation biométrique a eu lieu, puis il présente les clés ECC utilisées pour signer la demande du magasin.