L’API ‘CarKey’ d’Apple pourrait contrôler votre serrure intelligente HomeKit à l’avenir

L’apparition soudaine de la “ CarKey API ” n’est peut-être que le début, car Apple explore apparemment comment elle peut étendre son authentification de périphérique basée sur la cryptographie pour apporter des clés numériques dans d’autres domaines.

La première version bêta d’iOS 13.4 a révélé des traces d’une API «CarKey», qui transformerait efficacement l’iPhone en clé électronique pour un véhicule, semblable aux systèmes de déverrouillage et de démarrage sans clé actuels utilisés aujourd’hui. En rapprochant l’iPhone d’un point NFC, il pourrait permettre à une voiture de démarrer et d’être conduite, tout en offrant la possibilité de partager une version de la clé à d’autres avec certaines autorisations désactivées, telles que le déverrouillage d’une voiture mais pas conduit.

Dans une demande de brevet intitulée “Accès au système à l’aide d’un appareil mobile” publiée jeudi par l’Office américain des brevets et des marques, Apple semble envisager une utilisation beaucoup plus large du concept que dans les seuls véhicules. L’abrégé du dossier mentionne qu’il serait utilisé pour authentifier un appareil mobile pour accéder aux fonctionnalités du système, y compris «l’accès physique à un système, démarrer un moteur».

Cela pourrait signifier plus qu’une voiture, et pourrait facilement s’appliquer à d’autres systèmes orientés accès, comme une serrure intelligente sur la porte d’une maison, l’accès à un bureau pour le travail ou pour se connecter à un ordinateur comme déjà proposé par l’Apple Watch.

La demande de brevet couvre en grande partie les processus possibles pour effectuer une vérification d’authentification entre le smartphone et le système de verrouillage avec lequel il interagit, plutôt que ses applications possibles.

Un graphique montrant comment le processus de couplage et d’authentification pourrait se dérouler

En bref, le système de couplage implique la création de clés publiques et privées à la fois sur l’appareil mobile et sur les côtés du système verrouillé dans le cadre d’un processus de couplage. Après le couplage, les clés publiques et un secret partagé du processus de couplage sont utilisés pour vérifier un certificat signé créé à l’aide de clés privées, puis une signature chiffrée est transmise comme preuve de vérification, permettant à d’autres communications fiables de se produire.

Dans diverses déclarations, cela peut inclure le dispositif mobile configuré pour n’envoyer des informations d’identification qu’après vérification du certificat signé, et l’échange de clés à l’aide d’une fonction “courbe elliptique Diffie Hellman (DH)”.

Il est également proposé que l’appareil mobile puisse partager l’accès aux fonctions du système verrouillé avec un autre appareil, via un autre processus de signature de certificat similaire. Le partage pourrait être effectué sur une connexion sans fil privée et directe entre les deux appareils mobiles, sans dépendre d’un serveur en ligne ou d’un service de messagerie pour transférer l’accès.

Il est fait mention de l’utilisation d’un jeton de sécurité comme forme d’authentification entre les appareils mobiles, qui peut être stockée dans un emplacement de boîte aux lettres distinct pour un accès ultérieur.

Bien que partageable, le système de partage permettrait également à l’appareil autorisé d’origine de révoquer l’accès partagé en envoyant un message de révocation, qui est suivi d’un accusé de réception généré par un circuit sécurisé.

S’il est implémenté dans l’API CarKey, cela peut permettre à un conducteur d’accorder temporairement l’accès à sa voiture à l’appareil d’un ami, localement ou à distance, avec la possibilité de déverrouiller uniquement le véhicule pour y accéder et de ne pas le conduire, puis de révoquer ultérieurement l’autorisation de accès. Ailleurs, cela pourrait permettre à un individu d’accéder à un bâtiment sans avoir à passer physiquement une clé.

Le concept de clés numériques sur les appareils mobiles se prête assez bien aux services basés sur la location. Par exemple, un hôte AirBNB pourrait accorder aux clients une clé d’utilisation temporaire sur leur appareil pour la durée d’une visite, ou une entreprise de location de voitures pourrait fournir des clés de voiture à un client sans avoir besoin d’un kiosque ou d’un magasin local.

La demande de brevet répertorie ses inventeurs comme Arun G Mathias, Florian Galdo, Matthias Lerch, Najeeb M. Abdulrahiman, Onur E. Tackin et Yannick Sierra.

Apple dépose de nombreuses demandes de brevet sur une base hebdomadaire. Bien que l’existence d’une demande de brevet ne garantisse pas que le concept apparaîtra dans un futur produit ou service, il informe des domaines d’intérêt pour les efforts de recherche et développement d’Apple.

Apple a précédemment envisagé l’utilisation d’un appareil mobile comme jeton d’authentification pour des utilisations externes, y compris la possibilité qu’il soit utilisé pour présenter en toute sécurité une pièce d’identité gouvernementale. Cela pourrait signifier qu’un iPhone a une chance d’être utilisé comme passeport numérique efficace ou permis de conduire, en fonction des modifications législatives futures.

Sur le plan automobile, Apple est membre fondateur du Car Connectivity Consortium, qui a publié sa première norme Digital Key Release 1.0 pour les interactions des smartphones compatibles NFC avec un véhicule en 2018. En tant que membre fondateur, Apple devrait largement mettre en œuvre des normes définis par ces groupes techniques.

Apple a également déposé une demande de brevet pour “Entrée passive automobile améliorée” en août 2018, qui a suggéré l’utilisation d’antennes magnétiques et d’antennes radiofréquences pour déterminer la portée d’un iPhone à partir d’un véhicule, afin d’activer les fonctionnalités en fonction de l’emplacement. Un brevet de novembre 2019 proposait une idée similaire, utilisant Bluetooth et Ultra-Wideband pour déterminer l’emplacement et échanger des clés cryptographiques.

Reste à savoir s’il sera utilisé dans la voiture Apple souvent répandue.