Apple donne des détails sur la sécurité de Touch ID

Apple a mis à jour un document concernant la sécurité de Touch ID, sur le site consacré à l’iPhone et au monde de l’entreprise. Ce fichier comporte quelques détails très intéressants concernant le fonctionnement du capteur biométrique et de la fameuse « enclave sécurisée » qui siège aux côtés du processeur A7, celle-là même qui conserve au chaud les empreintes de l’utilisateur. Une manière sans doute de faire taire les dernières critiques concernant la sécurité du capteur et le fait que ces informations ne sont pas stockées sur un serveur mais en local – on ne peut d’ailleurs s’empêcher de penser qu’Apple livre ces informations alors que Samsung n’a encore rien précisé du fonctionnement du capteur d’empreintes du Galaxy S5 plus traditionnel. Bref.

Le document explique comment l’enclave sécurisée génère et communique des informations d’identification temporaire et chiffrée au reste du système, de telle sorte que les données des empreintes digitales ne soient jamais exposées. Chaque Enclave se voit attribuer, durant sa fabrication, d’un identifiant unique qui n’est pas accessible aux autres parties du système et est inconnu d’Apple. Quand l’iPhone démarre, une clé temporaire est créée, liée à ce numéro unique, et est utilisée pour chiffrer la portion de l’enclave située dans la mémoire de l’appareil. Le processeur A7 peut accéder aux données de l’enclave, mais ne sait pas les lire. Elles sont chiffrées et l’authentification passe par une clé de session générée entre le capteur Touch ID et l’enclave elle-même.

La technique (qu’apprécieront les spécialistes en sécurité cryptographique) mise à part, Apple réitère le fait que les données Touch ID ne sont partagées avec personne, ce qui explique aussi pourquoi le fonctionnement du capteur se limite au déverrouillage de l’iPhone et à l’achat sur l’AppStore.

Source (PDF)