Prise en charge des mDocs par Apple : iOS 26 active la vérification d'identité

Lors de la WWDC25, Apple a annoncé la prise en charge officielle des documents mobiles (mdocs) via l'API Digital Credentials. Cette nouveauté permet aux sites web de demander et de vérifier l'identité numérique d'un utilisateur sous iOS 26 directement depuis Safari. Cela introduit les identifiants numériques d'Apple, conformes à la norme ISO 18013-5, sur le web pour une vérification d'identité sécurisée et basée sur le consentement de l'utilisateur.

Cette mise à jour est un catalyseur majeur pour l'écosystème de l'identité numérique. Depuis des années, la vérification d'identité en ligne est freinée par des processus complexes, des risques pour la vie privée et la fraude. En intégrant les identifiants numériques standardisés d'Apple, ce nouveau cadre simplifie la vérification pour des cas d'usage comme le contrôle de l'âge, les connexions en entreprise et l'intégration de nouveaux clients.

Cet article décortique ce que la prise en charge des mDocs par Apple signifie pour les développeurs et les entreprises, explique son fonctionnement général et comment se préparer à son arrivée dans iOS 26.

Au cœur de ce nouveau paradigme de l'identité se trouve le mdoc (document mobile), un format standardisé pour les identifiants numériques stockés dans l'application Cartes d'Apple (Apple Wallet), comme un permis de conduire mobile (mDL) ou une carte d'entreprise.

Une caractéristique clé de la norme mdoc est la divulgation sélective. Elle permet aux utilisateurs de ne partager que les champs de données spécifiques requis pour une transaction (par exemple, juste la mention « plus de 21 ans ») au lieu de leur pièce d'identité complète. Cette fonctionnalité, qui préserve la confidentialité, est définie par les normes ISO 18013-5 et ISO 18013-7. Celles-ci régissent la manière dont les mdocs sont structurés, sécurisés et présentés en ligne.

L'API Digital Credentials du W3C sert de pont entre les sites web et l'application Cartes de l'utilisateur. Lorsqu'un site web a besoin de vérifier l'identité d'un utilisateur, il n'a plus besoin d'une application dédiée ou de redirections. Le processus est désormais orchestré par le navigateur.

Le flux de vérification typique est le suivant :

1. Lancement de la demande : Un site ou une application web appelle l'API JavaScript (navigator.credentials.get()) pour demander un identifiant spécifique, comme une preuve d'âge issue d'un permis de conduire mobile (mDL).
2. Prise en main par le système : iOS 26 intercepte cet appel et lance l'interface native de l'application Cartes d'Apple.
3. Consentement de l'utilisateur : L'utilisateur voit apparaître une fenêtre sécurisée au niveau du système d'exploitation, lui indiquant précisément quelles informations sont demandées (par exemple, « Ce site demande la vérification de votre âge »). Il doit ensuite s'authentifier avec Face ID ou Touch ID pour donner son accord.
4. Transfert sécurisé des données : Une fois le consentement donné, le portefeuille ne transmet que les données demandées au navigateur, qui les envoie ensuite au site web pour vérification.

L'ensemble de ce processus est conçu pour être sécurisé et fluide, évitant aux utilisateurs d'avoir à télécharger des photos de pièces d'identité physiques ou à remplir des formulaires.

• Moins de friction et un taux de conversion plus élevé : Simplifie radicalement les processus d'intégration et de vérification.
• Sécurité renforcée et réduction de la fraude : S'appuie sur des identifiants signés cryptographiquement par des émetteurs de confiance (par exemple, les services d'immatriculation des véhicules), minimisant ainsi le risque de fausses pièces d'identité.
• Conformité simplifiée : Demander uniquement les attributs nécessaires aide à respecter les exigences de minimisation des données prévues par des réglementations comme le RGPD et le CCPA.
• Interopérabilité : Repose sur des normes mondiales (W3C, ISO), garantissant la compatibilité entre les plateformes qui les adoptent.

• Contrôle total et confidentialité : Les utilisateurs donnent leur consentement explicite pour chaque partage de données.
• Praticité : Plus besoin de transporter des cartes physiques ou de saisir manuellement des informations d'identité.
• Sécurité accrue : Réduit le risque de partage excessif de données et d'attaques de phishing.

Bien que les détails de l'implémentation technique soient abordés dans notre guide sur l'API Digital Credentials, les développeurs et les chefs de produit devraient commencer à se préparer dès maintenant.

Voici les étapes stratégiques clés :

1. Identifier les cas d'usage : Repérez les processus de votre parcours utilisateur qui reposent actuellement sur une vérification d'identité manuelle (création de compte, contenu à accès restreint par l'âge, transactions de grande valeur) et qui pourraient bénéficier de vérifications d'identité numérique instantanées et fiables.
2. Examiner les besoins en données : Faites le point sur les attributs d'identité que vous collectez actuellement. Avec la prise en charge des mDocs par Apple, prévoyez de ne demander que le minimum de données nécessaires pour chaque transaction.
3. Former votre équipe : Familiarisez vos équipes de développement et de conformité avec les normes pertinentes, notamment la norme ISO 18013-5 pour les mdocs et le cadre W3C Digital Credentials.
4. Planifier la vérification backend : L'identifiant renvoyé par l'API doit être vérifié cryptographiquement sur votre backend pour garantir son authenticité et son intégrité. Prévoyez la logique côté serveur nécessaire pour traiter ces identifiants.

La décision d'Apple d'intégrer les mDocs directement au web via son portefeuille natif a des implications stratégiques importantes pour l'ensemble du paysage de l'identité numérique.

En donnant la priorité au format mdoc (ISO 18013-5), Apple en fait la norme de référence pour les pièces d'identité vérifiables émises par le gouvernement (comme les permis de conduire) sur le web. Cela donne au format mdoc un élan considérable pour les cas d'usage liés à l'identité officielle.

Cependant, cela ne diminue pas le rôle d'autres formats comme les W3C Verifiable Credentials (VCs), souvent basés sur SD-JWT ou JWT-VC. Ces formats sont essentiels pour les identifiants non gouvernementaux tels que les diplômes universitaires, les badges d'employés ou les billets d'événements. L'API Digital Credentials elle-même est conçue pour être extensible, ce qui signifie qu'elle pourrait prendre en charge ces autres formats à l'avenir. Le résultat immédiat est un écosystème double : le mdoc pour les pièces d'identité officielles, et d'autres formats de VC pour le reste, tous potentiellement accessibles via la même norme web sous-jacente.

L'intégration native donne à Apple Wallet (l'application Cartes) un avantage certain, en en faisant l'option par défaut la plus fluide pour les utilisateurs d'iOS. Cela représente un défi pour les applications de portefeuille tierces.

Bien que l'API puisse théoriquement permettre aux utilisateurs de choisir un autre portefeuille par défaut, il est difficile de rivaliser avec l'expérience native du système d'exploitation. Les fournisseurs tiers devront probablement s'appuyer sur des protocoles alternatifs comme OpenID4VP, lancés via des liens universels, ce qui pourrait entraîner une expérience utilisateur moins intégrée (par exemple, en nécessitant de changer d'application). Cette initiative consolide le rôle central de l'application Cartes d'Apple, obligeant les autres fournisseurs à se différencier par des fonctionnalités spécialisées, des solutions d'entreprise ou en se concentrant sur des types d'identifiants qui ne sont pas encore prioritaires pour Apple.

La prise en charge des mDocs par Apple dans iOS 26 est plus qu'une simple API. C'est une transition vers un internet plus sécurisé, plus privé et centré sur l'utilisateur. En adoptant des standards ouverts, Apple a ouvert la voie à un avenir où les identifiants numériques vérifiables remplaceront les méthodes de vérification d'identité obsolètes et peu sûres.

Pour les entreprises, c'est l'occasion de créer des expériences utilisateur de nouvelle génération, fondées sur la confiance et la transparence. Commencez dès aujourd'hui à explorer comment les identifiants numériques d'Apple peuvent transformer vos services.