Le premier passage d’Apple au cryptage intégré a été franchement terrible. FileVault d’origine, introduit avec 10.3 Panther en 2003, ne chiffrait que le répertoire personnel de l’utilisateur et posait de nombreux problèmes de fonctionnement et de mise en œuvre. FileVault 2 est apparu en 2011 avec 10,7 Lion et n'avait presque rien à voir avec l'original, à l'exception du nom.
FileVault 2 offre un cryptage sur disque complet (FDE). Lorsqu'il est activé, tout le contenu du lecteur de démarrage est crypté. Lorsque votre ordinateur est mis hors tension, les données du lecteur sont totalement irrécupérables sans mot de passe. Il vous permet également d’utiliser Find My Mac pour effacer votre disque en quelques secondes à distance si vous êtes inquiet pour qui est entre les mains de votre ordinateur. Vous pouvez activer FileVault 2 avec un Mac existant, mais à partir de 10.10 Yosemite, OS X encourage désormais l’activation de FileVault 2 lors de l’installation d’un ordinateur portable.
Cela a rendu certains agents de la force publique mécontents, qui apparemment ne veulent pas que vos données soient protégées aussi fortement, de sorte qu'ils puissent avoir accès au cas peu probable où ils en auraient besoin. Relativement peu de personnes se livrent à des activités criminelles et, parmi celles-ci, encore moins de personnes voient leur ordinateur saisi et examiné. C’est un bon signe du bon fonctionnement de FileVault 2, car les responsables sont si moroses à ce sujet.
FileVault 2 tire parti de la vitesse sans cesse croissante du processeur et des fonctionnalités des Mac pour effectuer un cryptage et un décryptage à la volée. Chaque bloc de données lu et écrit sur le disque, qu’il s’agisse de disques tournants ou de disques SSD, doit suivre ce processus. Les Mac introduits à partir de 2010 et 2011, et tous les modèles depuis, peuvent utiliser des circuits de cryptage dans le processeur, améliorant ainsi les performances.
FileVault 2 fonctionne de pair avec OS X Recovery, une partition de disque spéciale vous permettant d'exécuter l'Utilitaire de disque à partir du même lecteur avec lequel vous rencontrez peut-être des problèmes, restaurez ou installez OS X via Internet, restaurez une sauvegarde Time Machine ou parcourez Safari. . Lorsque FileVault 2 est activé, votre ordinateur démarre dans le volume de récupération, vous invitant à vous connecter avec n'importe quel compte autorisé à démarrer l'ordinateur.
Comment utiliser FileVault 2
Sur un système sur lequel FileVault 2 n'est pas déjà en place, vous devez l'activer, ce qui convertira votre lecteur de démarrage de son état non chiffré en chiffrement complet. Ceci vient avec quelques gros avertissements rouges clignotants et quelques conseils avant de continuer. (Vous pouvez chiffrer les lecteurs secondaires et externes en maintenant la touche Contrôle enfoncée et en cliquant sur l'icône d'un lecteur, puis sélectionnez Chiffrer le «Nom du lecteur», mais cela ne correspond pas à la connexion: vous définissez un mot de passe pour le lecteur et devez le saisir pour le monter. )
Avertissement 1! Pendant la configuration, OS X crée une clé de récupération pour votre lecteur. Comme pour la vérification en deux étapes d’Apple pour les comptes d’ID Apple, cette clé de récupération est essentielle à conserver. Sans lui, si vous perdez ou oubliez le mot de passe du compte de tous les comptes activés pour FileVault 2, votre lecteur est définitivement inaccessible. Conservez une copie de la clé de récupération, probablement imprimée, en cas d'urgence.
Attention 2! Une fois la conversion lancée, vous ne pouvez plus l’arrêter. Elle doit être terminée et consomme énormément de ressources de la part du processeur, ralentissant ainsi votre ordinateur et provoquant le déclenchement trop rapide du ventilateur. Votre ordinateur doit également rester branché. L'opération prend plusieurs heures. La nièce d'un ami a accidentellement accepté l'option d'activer FileVault 2 lors de la mise à niveau vers Yosemite il y a quelques soirs et a eu sa machine – nécessaire pour un cours d'informatique le lendemain matin – lente à crawler.
Apple fournit des détails étape par étape dans une note de la base de connaissances. Je ne répéterai donc pas tout cela, mais je soulignerai les parties critiques.
-
Seuls les comptes activés avec FileVault 2 peuvent déverrouiller le volume au démarrage après un démarrage à froid (à l'arrêt) ou un redémarrage. Pour les comptes que vous n'activez pas, le redémarrage ou le démarrage nécessite un compte avec autorisation, puis se déconnecte. Si vous aidez à configurer FileVault 2 pour un utilisateur novice qui vous fait confiance, vous pouvez lui demander de créer un compte pour vous permettre de vous connecter s’il ne le peut pas.
-
Les comptes qui utilisent un mot de passe iCloud pour se connecter constituent un moyen de sortir si vous oubliez ou perdez un mot de passe, mais ils constituent également un risque pour la sécurité si quelqu'un obtient les informations de votre compte iCloud. (Lors d'une mise à niveau de Yosemite, vous pouvez choisir explicitement cette option lorsque FileVault 2 est activé en cochant la case «Autoriser mon compte iCloud à déverrouiller mon disque». Bizarrement, Apple ne dispose d'aucune information à propos de cette option sur son site de support.)
-
L’option permettant de stocker votre clé de récupération sur les serveurs d’Apple est sécurisée, dans la mesure où Apple ne peut apparemment déverrouiller que les informations fournies par la clé, exactement telles qu’elles ont été saisies, y compris la capitalisation. Il ne conserve pas assez d’informations pour le déverrouiller indépendamment. Toutefois, cela confie la clé à un tiers autre que vous-même, ce qui permet, dans les circonstances appropriées, à un organisme gouvernemental ou à un neigeur de bien faire légalement ou socialement l’accès à votre clé de récupération.
Une fois la conversion terminée, le lecteur de démarrage est entièrement protégé dans les limites d'exposition indiquées ci-dessus.
Ce qui est encore plus intéressant, c’est que lorsque Find My Mac est activé sur votre ordinateur, vous disposez d’une sorte d’arme secrète. Find My Mac fonctionne lorsque l'ordinateur est démarré et connecté à un réseau. Vous pouvez jouer un son, verrouiller l’ordinateur, le localiser (si des réseaux Wi-Fi ou d’autres repères sont localisés) et l’effacer. Dans la mesure où FileVault 2 repose sur une clé de chiffrement stockée, son effacement est effacé, ce qui rend le lecteur irrécupérable, même par vous.
Mais l'arme secrète extra-secrète est le mode Invité. Lorsqu'un utilisateur se connecte en tant qu'invité et se connecte à un réseau, ou que le Mac se connecte automatiquement à un réseau connu, Find My Mac continue de fonctionner. Ainsi, si quelqu'un trouve votre ordinateur, tout message que vous envoyez avec l'option Verrouiller peut apparaître, même s'il était en ligne avant de se connecter en tant qu'invité. Mais une demande d'effacement peut également se faire de manière silencieuse.
Apparemment, FileVault 2 peut faire trembler les nations, mais c’est un peu de bonne hygiène de l’information, vous permettant de choisir le degré de vulnérabilité que vous souhaitez tolérer pour vos données stockées localement et pour tout logiciel ou mot de passe stocké pour des services dans vos comptes. Avec cette option, vous ne risquez pas tout, mais avec elle, vous avez une grande assurance quant à savoir qui peut accéder à quoi.
Commentaires
Laisser un commentaire