Signature numérique et chiffrement
Listes de contrôle d’accès
Comme les données du trousseau sont partitionnées et protégées par des listes de contrôle d’accès, les informations d’identification stockées par des apps tierces ne peuvent pas être obtenues par des apps présentant une autre identité, à moins que l’utilisateur n’autorise expressément leur transmission. Ce mécanisme permet de sécuriser, sur les appareils Apple, les informations d’identification dans plusieurs apps et services au sein d’une entreprise.
Dans l’app Mail, les utilisateurs peuvent envoyer des messages signés numériquement et chiffrés. Mail détecte automatiquement les adresses courriel sensibles à la casse et les noms alternatifs répondant à la norme RFC 5322 sur les certificats de chiffrement et de signature numériques sur les jetons de vérification de l’identité personnelle (PIV, Personal Identity Verification) contenus dans les cartes intelligentes compatibles. Si un compte de courriel configuré correspond à une adresse courriel contenue dans une signature numérique ou un certificat de chiffrement sur un jeton PIV joint, Mail affiche automatiquement le bouton de signature dans la barre d’outils de la fenêtre d’un nouveau message. Si Mail dispose du certificat de chiffrement du destinataire, ou si elle peut le repérer dans la liste d’adresses globale (LAG) de Microsoft Exchange, une icône de cadenas déverrouillé apparaît dans la barre d’outils d’un nouveau message. L’icône de cadenas verrouillé indique que le contenu du message est envoyé chiffré à l’aide de la clé publique du destinataire.
Chiffrement par message S/MIME
iOS, iPadOS, macOS et visionOS prennent en charge le chiffrement par message S/MIME. Les utilisateurs de S/MIME peuvent donc choisir de signer et de chiffrer tous leurs messages par défaut, ou certains messages seulement.
Les identités utilisées avec le chiffrement S/MIME peuvent être envoyées aux appareils Apple à l’aide d’un profil de configuration, d’une solution de gestion des appareils mobiles (GAM), du protocole Simple Certificate Enrollment Protocol (SCEP) ou de l’autorité de certification Microsoft Active Directory.
Cartes intelligentes
Sur les Mac sous macOS 10.12 ou une version ultérieure, la prise en charge native des cartes de vérification de l’identité personnelle (PIV) est incluse. L’utilisation de ces cartes est très répandue au sein des organisations commerciales et gouvernementales pour l’identification à deux facteurs, la signature numérique et le chiffrement.
Les cartes intelligentes contiennent au moins une identité numérique dotée d’une paire de clés publique et privée, et d’un certificat associé. Le déverrouillage d’une carte intelligente à l’aide du numéro d’identification personnel (NIP) donne accès aux clés privées utilisées pour les opérations d’authentification, de chiffrement et de signature. Le certificat détermine à quelles fins la clé peut être utilisée, quels attributs y sont associés, et si elle est validée (signée) par une autorité de certification (AC).
Les cartes intelligentes peuvent être utilisées pour l’identification à deux facteurs. Les deux facteurs nécessaires pour déverrouiller une carte sont « quelque chose que l’utilisateur possède » (la carte) et « quelque chose que l’utilisateur connaît » (le NIP). macOS 10.12 ou une version ultérieure assure également la prise en charge native de l’authentification par carte intelligente sur la fenêtre de connexion et l’authentification par certificat client pour les sites Web sur Safari. Ces systèmes d’exploitation prennent aussi en charge le protocole Kerberos à l’aide de biclés (PKINIT) pour la connexion par signature unique aux services compatibles avec ce protocole. Pour en savoir plus sur les cartes intelligentes et macOS, consultez Introduction à l’intégration des cartes intelligentes dans le document Déploiement des plateformes Apple.
Images disques chiffrées
Sur Mac, les images disques chiffrées servent de conteneurs sécurisés dans lesquels les utilisateurs peuvent stocker ou transférer des documents confidentiels et d’autres fichiers. Elles sont créées avec Utilitaire de disque (situé dans Applications/Utilitaires/) et peuvent être chiffrées par AES 128 bits ou 256 bits. Puisqu’une image disque montée est traitée comme un volume local connecté à un Mac, les utilisateurs peuvent copier, déplacer et ouvrir les fichiers et dossiers qu’elle contient. Comme avec FileVault, le contenu d’une image disque est chiffré et déchiffré en temps réel. Les utilisateurs peuvent échanger en toute sécurité des documents, fichiers et dossiers en sauvegardant une image disque chiffrée sur un support amovible, en l’envoyant par courriel sous forme de pièce jointe ou en la stockant sur un serveur distant. Pour en savoir plus sur les images disques chiffrées, consultez le Guide de l’utilisateur d’Utilitaire de disque.