du coup c'est assez problématique
À supposer un Mac qui serve à plusieurs membres d'une même famille > chacun doté d'un compte personnel > alors déjà seuls les utilisateurs
admin pourront activer «
FileVault» - ce qui limite peut-être les surprises > s'il y a des comptes simplement
standards.
Après > à supposer plusieurs comptes
admin gérés par des personnes distinctes (et pas des comptes
admin avatars d'une même personne) > on n'est jamais à l'abri de rien « théoriquement » parlant. Un
admin peut activer
FileVault avec son seul mot-de-passe d'utilisateur habilité à déverrouiller le
Volume Logique au départ > et dans ce cas l'autre
admin (et les autres
standards) sont coincés dans la capacité de démarrer l'OS tout court. Car c'est la partition totale qui est chiffrée > avec verrouillage du montage du volume de l'OS total.
La première version de
Filevault (
FileVault-1 : OS «
Léopard 10.5» et «
Snow Léopard 10.6») était plus souple de ce point de vue : chaque utilisateur pouvait choisir ou non de chiffrer son seul
compte d'utilisateur > pas la partition complète du volume. Ainsi > les autres utilisateurs pouvaient démarrer l'OS librement > et ouvrir leur session au
LoginWindow commun proposé dans tous les cas de figure (comptes chiffrés ou non).
Un Mac à usage familial à première vue reste cantonné à un usage dans le cercle de la famille et à domicile (car, à supposer que ce soit un portable, on voit mal l'un des utilisateurs le kidnapper toute une journée pour un usage nomade en privant les autres d'utilisation). S'il en est ainsi (Mac cantonné à domicile) > est- il intéressant d'activer «
FileVault» ? - sans doute pas.
Tu vas me dire : mais si un des
admin, par malice, activait quand même
FileVault en douce pour couper aux autres la capacité de démarrer l'OS et d'ouvrir leur session ? - humph ! un Mac partagé familialement implique quand même un minimum de loyauté réciproque, non ?
L'
admin (disons principal) qui douterait néanmoins de la vigueur de ce respect moral mutuel entre les "partageants" familiaux > pourrait recourir à une ruse :
supprimer en douce la partition annexe
Recovery HD (invisible - juste en-dessous de celle de l'OS). Parce que
FileVault ne peut être activé que
ssi une partition de secours
Recovery HD existe. Car ? Car pour démarrer le Mac lorsque le
Volume Logique de l'OS est
verrouillé par un chiffrement
FileVault > il n'y a que la possibilité d'aiguiller le démarrage de l'
EFI (le Programme Interne du Mac) > sur le volume
non verrouillé de la
Recovery HD. En cas de chiffrement de la partition de l'OS > un
dossier de pré-boot spécial est créé dans le volume
Recovery HD > et c'est ce dossier que l'
EFI va chercher au boot pour que l'écran initial de déverrouillage du
Volume Logique de l'OS puisse être affiché. Donc > pas de
Recovery HD > déni de
FileVault de s'activer > car ça impliquerait un Mac indémarrable en mode
macOS.
L'
admin rusé en question n'aurait qu'à cloner la
Recovery HD sur un périphérique USB > histoire de pouvoir démarrer en mode
Recovery s'il fallait ré-installer l'OS > ou désactiver le
SIP etc. Soit > mais un autre
admin tout aussi fûté > pourrait s'aviser que la
Recovery HD a disparu > la recréer (rien que par une ré-installation de l'OS à partir d'un installateur de l'AppStore) > et alors activer
FileVault à son seul bénéfice. Bon : si les choses en était à ce point de malignité réciproque («
Familles ! je vous hais...») > j'ai du mal à admettre qu'une co-utilisation d'un même Mac fasse encore sens.
Quitte alors à activer
FileVault > autant le faire pour
tous. Dans ce cas > dans le panneau
Sécurité et confidentialité >
FileVault des
Préférences Système > presser le bouton "
Activer FileVault" > ce qui affiche un panneau d'activation possible de tous les utilisateurs de l'OS (qu'ils soient
admin ou
standards : tous ont le droit de s'activer comme utilisateurs pouvant déverrouiller le
Volume Logique - à condition qu'un
admin ait fait s'afficher initialement le panneau en décidant d'activer
FileVault) --> comme il faut renseigner pour chacun son mot-de-passe de session (confidentiel) > demander à chacun de s'activer lui-même dans ce panneau en saisissant confidentiellement son mot-de-passe. Alors > tous les utilisateurs
activés > càd.
tous > seront affichés à l'
écran initial de déverrouillage > chacun pourra déverrouiller le
Volume Logique avec son mot-de-passe personnel d'utiilsateur (si le Mac est éteint) > et la session correspondante s'ouvrira d'elle-même à la fin.