10.12 Sierra Double authentification au démarrage

[litobar71]

Bien l'après-midi,

idem que ce cher macOS inclus.

 

[Marcello29]

la c'est parfaitement clair macomaniac
admettons que j'active FileVault pour chaque utilisateurs, que se passe t'il ? double authentification au boot de démarrage + LoginWindow ?

 

[Membre supprimé 1060554]

admettons que j'active FileVault pour chaque utilisateurs, que se passe t'il ? double authentification au boot de démarrage + LoginWindow ?

Non : rien que l'écran de déverrouillage initial FileVault > où chaque utilisateur activé pour FileVault a la possibilité de faire le "tout-en-un" : déverrouiller le Volume Logique avec son mot-de-passe de session > et par là > ouvrir directement sa session après chargement de l'OS (dans la mesure où les mots-de-passe des utilisateurs "activés" sont synchronisés : identité stricte du mot-de-passe de déverrouillage / d'ouverture de session --> donc le 1er vaut pour le 2è : il n'y a pas de double-saisie requise - par principe de "confort" à l'usage).

Et même si tu n'activais qu'un utilisateur = toi > alors tu serais seul affiché à l'écran de déverrouillage > mais ensuite il n'y aurait pas de LoginWindow > car ta session s'ouvrirait directement après chargement de l'OS.

La restriction opérerait sur les autres utilisateurs > qui ne pourraient pas déverrouiller le Volume Logique au départ > et par là démarrer l'OS. Ils ne pourraient que se logger dans leur session après que tu aies opéré pour toi seul le "tout-en-un" : déverrouillage initial > login direct dans ta session => ssi tu te déloggeais de ta session > ce qui, sans démonter le volume de l'OS > afficherait alors le LoginWindow classique > avec tous les utilisateurs (activé = toi ou non-activés = les autres).

... c'est chinois - non ?-

 

[Marcello29]

du coup c'est assez problématique; En supposant que le mac soit un ordinateur familial servant à plusieurs membres et avec x comptes utilisateurs et que l'un d'entre souhaite activer FileVault pour une raison x ou y, le mac est inaccessible au autres utilisateurs ou alors il doit donner son mot de passe

 

[Membre supprimé 1060554]

du coup c'est assez problématique

À supposer un Mac qui serve à plusieurs membres d'une même famille > chacun doté d'un compte personnel > alors déjà seuls les utilisateurs admin pourront activer «FileVault» - ce qui limite peut-être les surprises > s'il y a des comptes simplement standards.

Après > à supposer plusieurs comptes admin gérés par des personnes distinctes (et pas des comptes admin avatars d'une même personne) > on n'est jamais à l'abri de rien « théoriquement » parlant. Un admin peut activer FileVault avec son seul mot-de-passe d'utilisateur habilité à déverrouiller le Volume Logique au départ > et dans ce cas l'autre admin (et les autres standards) sont coincés dans la capacité de démarrer l'OS tout court. Car c'est la partition totale qui est chiffrée > avec verrouillage du montage du volume de l'OS total.

La première version de Filevault (FileVault-1 : OS «Léopard 10.5» et «Snow Léopard 10.6») était plus souple de ce point de vue : chaque utilisateur pouvait choisir ou non de chiffrer son seul compte d'utilisateur > pas la partition complète du volume. Ainsi > les autres utilisateurs pouvaient démarrer l'OS librement > et ouvrir leur session au LoginWindow commun proposé dans tous les cas de figure (comptes chiffrés ou non).

Un Mac à usage familial à première vue reste cantonné à un usage dans le cercle de la famille et à domicile (car, à supposer que ce soit un portable, on voit mal l'un des utilisateurs le kidnapper toute une journée pour un usage nomade en privant les autres d'utilisation). S'il en est ainsi (Mac cantonné à domicile) > est- il intéressant d'activer «FileVault» ? - sans doute pas.

Tu vas me dire : mais si un des admin, par malice, activait quand même FileVault en douce pour couper aux autres la capacité de démarrer l'OS et d'ouvrir leur session ? - humph ! un Mac partagé familialement implique quand même un minimum de loyauté réciproque, non ?

L'admin (disons principal) qui douterait néanmoins de la vigueur de ce respect moral mutuel entre les "partageants" familiaux > pourrait recourir à une ruse : supprimer en douce la partition annexe Recovery HD (invisible - juste en-dessous de celle de l'OS). Parce que FileVault ne peut être activé que ssi une partition de secours Recovery HD existe. Car ? Car pour démarrer le Mac lorsque le Volume Logique de l'OS est verrouillé par un chiffrement FileVault > il n'y a que la possibilité d'aiguiller le démarrage de l'EFI (le Programme Interne du Mac) > sur le volume non verrouillé de la Recovery HD. En cas de chiffrement de la partition de l'OS > un dossier de pré-boot spécial est créé dans le volume Recovery HD > et c'est ce dossier que l'EFI va chercher au boot pour que l'écran initial de déverrouillage du Volume Logique de l'OS puisse être affiché. Donc > pas de Recovery HD > déni de FileVault de s'activer > car ça impliquerait un Mac indémarrable en mode macOS.

L'admin rusé en question n'aurait qu'à cloner la Recovery HD sur un périphérique USB > histoire de pouvoir démarrer en mode Recovery s'il fallait ré-installer l'OS > ou désactiver le SIP etc. Soit > mais un autre admin tout aussi fûté > pourrait s'aviser que la Recovery HD a disparu > la recréer (rien que par une ré-installation de l'OS à partir d'un installateur de l'AppStore) > et alors activer FileVault à son seul bénéfice. Bon : si les choses en était à ce point de malignité réciproque («Familles ! je vous hais...») > j'ai du mal à admettre qu'une co-utilisation d'un même Mac fasse encore sens.

Quitte alors à activer FileVault > autant le faire pour tous. Dans ce cas > dans le panneau Sécurité et confidentialité > FileVault des Préférences Système > presser le bouton "Activer FileVault" > ce qui affiche un panneau d'activation possible de tous les utilisateurs de l'OS (qu'ils soient admin ou standards : tous ont le droit de s'activer comme utilisateurs pouvant déverrouiller le Volume Logique - à condition qu'un admin ait fait s'afficher initialement le panneau en décidant d'activer FileVault) --> comme il faut renseigner pour chacun son mot-de-passe de session (confidentiel) > demander à chacun de s'activer lui-même dans ce panneau en saisissant confidentiellement son mot-de-passe. Alors > tous les utilisateurs activés > càd. tous > seront affichés à l'écran initial de déverrouillage > chacun pourra déverrouiller le Volume Logique avec son mot-de-passe personnel d'utiilsateur (si le Mac est éteint) > et la session correspondante s'ouvrira d'elle-même à la fin.