Glossaire
- Accès direct à la mémoire (DMA)
Une fonctionnalité qui permet aux sous-systèmes de l’appareil d’accéder directement à la mémoire principale, sans passer par le processeur central.
- AES (norme de chiffrement avancé)
Norme de chiffrement mondialement répandue qui sert à chiffrer les données pour les protéger.
- AES-XTS
Mode AES défini dans la norme IEEE 1619-2007 et destiné au chiffrement des supports de stockage.
- Algorithme de signature numérique basé sur les courbes elliptiques (ECDSA)
Un algorithme de signature numérique s’appuyant sur la cryptographie à courbe elliptique.
- APFS (système de fichiers d’Apple)
Le système de fichiers par défaut d’iOS, d’iPadOS, de tvOS, de watchOS et des ordinateurs Mac sous macOS 10.13 ou version ultérieure. L’APFS se caractérise par un chiffrement robuste, le partage d’espace, les instantanés, le calcul rapide des tailles de répertoire et les fondations améliorées du système de fichiers.
- Apple Business Manager
Un portail Web convivial destiné aux administrateurs des TI. Il offre une façon rapide et simplifiée de déployer les appareils Apple que les établissements d’enseignement ont achetés directement auprès d’Apple, d’un revendeur agréé Apple ou d’un fournisseur de services participant. Les administrateurs peuvent automatiser l’inscription des appareils à leur solution de gestion des appareils mobiles (GAM) et remettre les appareils aux utilisateurs sans avoir à les manipuler ou à les préparer.
- Apple School Manager
Un portail Web convivial destiné aux administrateurs des TI. Il offre une façon rapide et simplifiée de déployer les appareils Apple que les établissements d’enseignement ont achetés directement auprès d’Apple, d’un revendeur agréé Apple ou d’un fournisseur de services participant. Les administrateurs peuvent automatiser l’inscription des appareils à leur solution de gestion des appareils mobiles (GAM) et remettre les appareils aux utilisateurs sans avoir à les manipuler ou à les préparer.
- Autorisation du logiciel système
Processus qui combine des clés de chiffrement intégrées au matériel avec un service en ligne pour vérifier que seuls les logiciels légitimes d’Apple, qui conviennent aux appareils pris en charge, sont fournis et installés au moment de la mise à niveau.
- Bits de départ de logiciel
Bits dédiés dans le moteur AES du Secure Enclave qui sont ajoutés à l’UID lors de la génération de clés à partir de l’UID. Chaque bit de départ de logiciel détient un bit de verrouillage correspondant. La mémoire morte d’amorçage et le système d’exploitation du Secure Enclave peuvent modifier, de façon indépendante, la valeur de chacun des bits de départ de logiciel pourvu que le bit de verrouillage correspondant n’ait pas été réglé. Une fois qu’il est réglé, le bit de verrouillage, ainsi que le bit de départ de logiciel, ne peut plus être modifié. Les bits de départ de logiciel et leur bit de verrouillage sont réinitialisés au redémarrage du Secure Enclave.
- Boot Camp
Un utilitaire Mac qui prend en charge l’installation de Microsoft Windows sur les ordinateurs Mac compatibles.
- Cartographie angulaire de la direction des crêtes
Représentation mathématique de la direction et de la largeur des crêtes extraites d’une partie d’empreinte digitale.
- Chargeur d’amorçage de niveau inférieur (LLB)
Sur les ordinateurs Mac dotés d’une architecture de démarrage à deux étapes, le LLB contient le code appelé par la mémoire morte d’amorçage, qui charge à son tour iBoot dans le cadre d’une chaîne de démarrage sécurisé.
- Circuit intégré (CI)
Également appelé micropuce.
- CKRecord
Dictionnaire des paires clé-valeur qui contiennent des données enregistrées ou récupérées dans CloudKit.
- Clé de support
Partie de la hiérarchie des clés de chiffrement qui permet d’offrir un effacement sécurisé et instantané. Sous iOS, iPadOS, tvOS et watchOS, la clé de support enveloppe les métadonnées sur le volume de données (sans elle, l’accès à toutes les clés par fichier est impossible, ce qui rend inaccessibles les fichiers protégés par la protection des données). Sous macOS, la clé de support enveloppe le matériel de chiffrement, les métadonnées et les données sur le volume protégé par FileVault. Dans les deux cas, l’effacement de la clé de support rend les données chiffrées inaccessibles.
- Clé dérivée du code (PDK)
La clé de chiffrement dérivée de l’emmêlement du mot de passe de l’utilisateur avec la clé SKP à long terme et l’UID du Secure Enclave.
- Clé du système de fichiers
Clé permettant de chiffrer les métadonnées de chaque fichier, y compris la clé de classe. Elle est conservée dans le stockage effaçable pour permettre l’effacement rapide plutôt que pour des raisons de confidentialité.
- Clé par fichier
Clé utilisée par la protection des données pour chiffrer un fichier sur le système de fichiers. La clé par fichier est enveloppée par une clé de classe et stockée dans les métadonnées du fichier.
- Composant de stockage sécurisé
Une puce dotée d’un code immuable en lecture seule, d’un générateur de nombres aléatoires matériel, de moteurs de chiffrement et d’un détecteur de sabotage physique. Sur les appareils compatibles, le Secure Enclave est jumelé à un composant de stockage sécurisé pour le stockage de la valeur antirejeu. Pour lire et mettre à jour les valeurs antirejeu, le Secure Enclave et la puce de stockage ont recours à un protocole sécurisé qui contribue à garantir un accès exclusif aux valeurs antirejeu. Il existe plusieurs générations de cette technologie dont les garanties en matière de sécurité diffèrent.
- Conteneur de clés
Structure de données utilisée pour stocker une collection de clés de classe. Chaque type (utilisateur, appareil, système, sauvegarde, autorité de séquestre ou sauvegarde iCloud) possède le même format.
Un en‑tête contenant : la version (réglée à quatre sous iOS 12 ou les versions ultérieures), le type (système, sauvegarde, autorité de séquestre ou sauvegarde iCloud), l’UUID du conteneur de clés, un code HMAC si le conteneur de clés est signé, la méthode utilisée pour envelopper les clés de classe (emmêler les clés avec l’UID ou PBKDF2), ainsi que le sel et le nombre d’itérations.
Une liste de clés de classe : UUID de clé, classe (classe de protection des données du trousseau ou de fichiers), type d’enveloppement (clé dérivée de l’UID uniquement; clé dérivée de l’UID et clé dérivée du code), clé de classe enveloppée et clé publique pour classes asymétriques.
- Contrôleur de mémoire
Sous-système du système sur une puce qui contrôle l’interface entre celui-ci et sa mémoire principale.
- Contrôleur SSD
Sous-système matériel qui gère le support de stockage (disque SSD).
- Data Vault
Mécanisme imposé par le noyau qui vise à protéger les données contre tout accès non autorisé, que l’app demandeuse soit mise en bac à sable ou non.
- Distribution aléatoire de l’espace d’adressage (ASLR)
Technique utilisée par les systèmes d’exploitation pour rendre plus difficile l’exploitation d’un bogue de logiciel. Comme les décalages et les adresses mémoire sont imprévisibles, le code d’exploit ne peut pas coder ces valeurs en dur.
- Échange Diffie‑Hellman à courbe elliptique éphémère (ECDHE)
Un mécanisme d’échange de clés s’appuyant sur les courbes elliptiques. L’ECDHE permet à deux parties de s’entendre sur une clé secrète d’une manière qui empêche la clé d’être découverte par l’interception illicite des messages entre les deux parties.
- Emmêlement
Processus par lequel le code d’un utilisateur est transformé en clé de chiffrement et renforcé à l’aide de l’UID de l’appareil. Ce processus contribue à garantir que les attaques en force ne peuvent être exécutées que sur un appareil donné à la fois, ce qui empêche les attaques massives menées en parallèle. L’algorithme d’emmêlement est le PBKDF2, qui utilise une clé AES avec l’UID de l’appareil comme fonction pseudo-aléatoire pour chaque itération.
- Enveloppement de clé
Chiffrement d’une clé à l’aide d’une autre clé. iOS et iPadOS utilisent l’algorithme NIST AES conformément à la norme RFC 3394.
- Gatekeeper
Sous macOS, une technologie conçue pour garantir que seuls des logiciels de confiance s’exécutent sur le Mac de l’utilisateur.
- Gestion des appareils mobiles (GAM)
Service qui permet à un administrateur de gérer à distance les appareils inscrits. Une fois qu’un appareil est inscrit, l’administrateur peut utiliser le service de GAM sur le réseau pour configurer les réglages et effectuer d’autres tâches sur l’appareil sans devoir interagir avec son utilisateur.
- HMAC
Il s’agit d’un code d’authentification de message basé sur une fonction de hachage cryptographique.
- iBoot
Le chargeur d’amorçage de niveau 2 pour tous les appareils Apple. Code qui charge XNU, dans le cadre d’une chaîne de démarrage sécurisé. Selon la génération du système sur une puce, iBoot peut être chargé soit par le chargeur d’amorçage de niveau inférieur (LLB), soit directement par la mémoire morte d’amorçage.
- Identifiant de groupe (GID)
Semblable à l’UID, mais commun à tous les processeurs d’une classe.
- Identifiant de ressource uniforme (URI)
Chaîne de caractères permettant d’identifier une ressource Web.
- Identifiant unique (UID)
Clé AES 256 bits gravée sur chaque processeur au moment de sa fabrication. Elle ne peut être lue ni par le programme interne ni par le logiciel, et elle n’est utilisée que par le moteur AES matériel du processeur. Pour trouver cette clé, un assaillant devrait lancer une attaque physique onéreuse et extrêmement sophistiquée contre la puce du processeur. L’UID n’est lié à aucun autre identifiant présent sur l’appareil, comme l’UDID.
- Identifiant unique de puce (ECID)
Identifiant 64 bits propre au processeur de chaque appareil iPhone ou iPad.
- Interface périphérique série améliorée (eSPI)
Un bus tout-en-un conçu pour la communication série synchrone.
- JTAG (Joint Test Action Group)
Outil de débogage matériel standard utilisé par les programmeurs et les développeurs de circuits.
- Mémoire morte d’amorçage
Tout premier code exécuté par le processeur d’un appareil lors du démarrage de ce dernier. Comme ce code fait partie intégrante du processeur, il ne peut être modifié ni par Apple ni par un assaillant.
- Mode de mise à niveau du programme interne de l’appareil (DFU)
Mode d’attente adopté par le code de la mémoire morte d’amorçage d’un appareil avant une récupération au moyen d’une connexion USB. L’écran est noir en mode DFU, mais l’invite ci‑dessous est affichée dès la connexion à un ordinateur exécutant iTunes ou le Finder : « Le Finder [ou iTunes] a détecté un [iPhone ou iPad] en mode de récupération. L’utilisateur doit restaurer cet [iPhone ou iPad] avant de pouvoir l’utiliser avec le Finder [ou iTunes]. »
- Mode de récupération
Mode utilisé pour restaurer de nombreux appareils Apple si l’appareil n’est pas reconnu, et ce, afin de permettre à l’utilisateur de réinstaller le système d’exploitation.
- Module de sécurité matériel (HSM)
Ordinateur spécialisé, protégé contre toute manipulation, utilisé pour sauvegarder et gérer des clés numériques.
- Moteur de chiffrement AES
Composant matériel dédié qui met en œuvre la norme AES.
- NAND
Mémoire flash non volatile.
- Prime de sécurité d’Apple
Récompense remise par Apple aux chercheurs qui signalent une faille portant atteinte à la dernière version des systèmes d’exploitation et, selon le cas, aux appareils les plus récents.
- Profil d’approvisionnement
Une liste de propriétés (fichier .plist) signée par Apple, qui contient un ensemble d’entités et de déclarations d’autorisation qui autorisent des apps à être installées et testées sur un appareil iOS ou iPadOS. Le profil d’approvisionnement de développement répertorie les appareils sélectionnés par un développeur en vue d’une distribution ad hoc. Le profil d’approvisionnement de distribution contient l’identifiant d’une app développée par une entreprise.
- Programme interne UEFi (Unified Extensible Firmware Interface, interface micrologicielle extensible unifiée)
Une technologie qui succède au BIOS pour connecter le programme interne au système d’exploitation d’un ordinateur.
- Protection de l’intégrité du coprocesseur système (SCIP)
Mécanisme utilisé par Apple qui contribue à prévenir les modifications du programme interne du coprocesseur.
- Protection des données
Mécanisme de protection des fichiers et des trousseaux pour les appareils Apple compatibles. Cette expression peut également faire référence aux API utilisées par des apps pour protéger des fichiers et des éléments du trousseau.
- Protection scellée des clés (SKP)
Technologie de la protection des données qui protège, ou scelle, les clés de chiffrement à l’aide de mesures de logiciels et de clés système disponibles uniquement au niveau matériel (comme l’UID du Secure Enclave).
- Registre de progression du démarrage (BPR)
Ensemble d’indicateurs matériels des systèmes sur une puce qu’un logiciel peut utiliser pour surveiller les différents modes de démarrage que l’appareil a déclenchés, comme le mode DFU (mise à niveau du programme interne de l’appareil) ou le mode de récupération. Une fois activé, un indicateur BPR ne peut plus être désactivé. Cela permet à un logiciel de disposer par la suite d’un indicateur fiable de l’état du système.
- sepOS
Programme interne du Secure Enclave, qui repose sur une version personnalisée par Apple du micronoyau L4.
- Service d’identité d’Apple (IDS)
Répertoire Apple contenant les clés publiques d’iMessage, les adresses de service APN, les numéros de téléphone et les adresses électroniques utilisés pour la recherche d’adresses d’appareil et de clés.
- Service de notifications Push d’Apple (APN)
Service mondial offert par Apple pour fournir des notifications de type Push aux appareils Apple.
- Stockage effaçable
Zone dédiée de l’espace de stockage NAND, utilisée pour stocker des clés de chiffrement. Il est possible de l’adresser directement et de l’effacer de manière sécurisée. Bien qu’elle n’offre aucune protection si un assaillant a l’appareil en sa possession, les clés conservées dans le stockage effaçable peuvent être utilisées dans le cadre d’une hiérarchie de clés pour faciliter l’effacement rapide et renforcer la sécurité.
- Système sur une puce
Circuit intégré (CI) réunissant plusieurs composants sur une seule puce. Le processeur d’application, le Secure Enclave et les autres coprocesseurs sont des composants du système sur une puce.
- Trousseau
L’infrastructure et un ensemble d’API utilisés par les systèmes d’exploitation Apple et les apps tierces pour stocker et récupérer des mots de passe, des clés et d’autres informations d’identification délicates.
- Unité de gestion de la mémoire d’entrée/sortie (UGMES)
Une unité de gestion de la mémoire d’entrée/sortie. Sous-système d’une puce intégrée qui contrôle l’accès à l’espace d’adressage à partir des autres appareils et périphériques d’entrée/sortie.
- xART
Abréviation de « eXtended Anti-Replay Technology » (technologie antirejeu étendue) Un ensemble de services qui fournit du stockage persistant chiffré et authentifié pour le Secure Enclave et qui comporte des fonctionnalités antirejeu reposant sur l’architecture de stockage matérielle. Voir la rubrique « composant de stockage sécurisé ».
- XNU
Noyau au centre des systèmes d’exploitation Apple. Il est supposé fiable et permet d’appliquer des mesures de sécurité telles que la signature de code, la mise en bac à sable, la vérification des déclarations d’autorisation et la distribution aléatoire de l’espace d’adressage (ASLR).
- XProtect
Sous macOS, une technologie antivirus pour détecter et supprimer les logiciels malveillants sur la base de leur signature.