Filevault : vraiment utile ?

[Membre supprimé 1060554]

Salut Yoskiz

Tu préfères la version graphique ou la version textuelle ?

- a) version graphique : tu attaches le DDE de ton clone au Mac et tu démarres sur ton clone => tu vas à : Menu  > Préférences Système > Sécurité et confidentialité > FileVault, tu déverrouilles le cadenas d'administration et tu presses le bouton "Activer FileVault" => il va t'être demandé de choisir un mot-de-passe de déverrouillage pour ton utilisateur > la conversion au format CoreStorage Chiffré va être mise-en-place > le Mac va re-démarrer > le processus du chiffrement du Physical Volume va procéder en toile de fond.

Tu n'es pas obligé de re-démarrer sur ton clone, mais tu peux re-démarrer sur le disque de ton Mac. Dans ce cas, à l'ouverture de ta session, un panneau va te demander de déverrouiller le Volume Logique de ton clone : tu n'as qu'à taper le mot-de-passe de verrouillage que tu as choisi dans le panneau FileVault. Si tu laisses ton clone attaché au Mac, le processus du chiffrement du Volume Physique va se poursuivre sans problème en toile de fond.

- b) version textuelle : le DDE de ton clone attaché au Mac, de ta session sur le disque du Mac tu lances le «Terminal» et tu fais un diskutil list préliminaire pour connaître l'identifiant de device de la partition de ton clone. Supposons que ce soit disk1s2. Tu passes alors dans le «Terminal» la commande :

diskutil cs convert disk1s2 -passphrase mot-de-passe-de-déverrouillage

--> la conversion au format CoreStorage Chiffré s'effectue, avec affichage final des UUID des Volumes CoreStorage > re-démarre impérativement pour que ce dispositif logique soit chargé par le kernel > tu peux re-démarrer toujours sur le disque de ton Mac > à l'ouverture de ta session, un panneau va te demander de déverrouiller le Volume Logique de ton clone : tu n'as qu'à taper le mot-de-passe de verrouillage que tu as choisi et le volume monte.

Si tu laisses ton clone attaché au Mac, le processus du chiffrement du Volume Physique va se poursuivre sans problème comme dans le cas de figure n°1. Pour mesurer l'avancement, faire de temps en temps des diskutil cs list dans le «Terminal» et à la dernière rubrique : Logical Volume, lire le % du Conversion Progress. À complétion, il est affiché : Complete.​

=> pour dé-marrer sur ton clone : touche "alt" => une icône (flanquée de celle d'un utilisateur invité qui ne peut que lancer «Safari» dans la «Recovery HD» associée) s'affiche demandant le mot-de-passe de déverrouillage : ce mot-de-passe renseigné, le clone démarre.

=> pour re-cloner, la session du disque du Mac ouverte : déverrouiller le Volume Logique du clone pour lui permettre de monter et d'être adressable pour le clonage.

=> conseil : choisir comme mot-de-passe de déverrouillage du clone chiffré le même mot-de-passe qui sert, sur le disque du Mac, pour ouvrir la session et déverrouiller le Volume Logique si «FileVault» y est activé (sinon, il va y avoir des embrouilles).

=> le chiffrement dans tous les cas de figure (via «FileVault» ou via le «Terminal») revient strictement au même : il implique la génération préalable d'une structure CoreStorage à 2 disques virtuels : Volume Physique > Volume Logique, le Volume Physique étant chiffré, le Volume Logique ne montant qu'à condition d'un déverrouillage et, monté, étant toujours un conteneur déchiffré du système de fichiers de l'OS. Au démontage, il n'y a plus que le Volume Physique Chiffré, protégé par le protocole AES-256 bits, avec verrouillage du Volume Logique par mot-de-passe.

 

[Deleted member 109128]

Un énorme remerciement macomaniac pour avoir pris du temps à donner tes explications techniques et compréhensibles.

Je préfère la version textuelle car je peux tout faire depuis la session de mon Mac via le Terminal.

Tes explications m'apprennent beaucoup de choses, mes remerciements

Je vais étudier tout ça, je me questionne depuis un moment afin de sécurisé mon Mac, non pas qu'il détient des secrets extraordinaires mais juste des éléments personnels... en cas de vol je ne souhaites pas que mes documents soient en lecture libre à qui veut.

Pour le moment j'utilise des dossiers chiffrés sur mon Mac pour ranger les documents privés.
J'avoue que les accidents "éventuels" de FileVault m'effraient un peu aussi même si ils doivent être rares je pense.

 

[Deleted member 109128]

@macomaniac

2 questions : en passant par la commande du Terminal pour chiffrer un clone comment obtient-on la clé de secours en 24 caractères générée au moment de l'activation de FileVault ?

Le clone doit-il détenir une participion de restauration pour procéder à son chiffrement ? Je ne suis pas certain que SuperDuper! en fasse une alors que Carbon Copy Cloner oui.

Merci si tu as le temps de répondre sinon pas grave

 

[bompi]

Pour le clone, c'est assez simple : tu chiffres le disque externe.
Lorsque tu le connectes, le mot de passe du disque est demandé et ensuite tu as accès à ses partitions et peux procéder au clonage.

 

[Deleted member 109128]

Pour le clone, c'est assez simple : tu chiffres le disque externe.
Lorsque tu le connectes, le mot de passe du disque est demandé et ensuite tu as accès à ses partitions et peux procéder au clonage.

Merci Bompi mais je pourrai booter dessus sans problème ?

 

[Deleted member 109128]

​

[Attention ! Il y a un bogue de présentation dans ce panneau de l'«Utilitaire de Disque 10.11» : l'exemple donné est 100 Mo, mais il ne faut absolument pas saisir les valeurs par rapport à l'octet, mais au byte => MB, GB (sinon, le commande plante et toute image-disque serait créée avec une taille par défaut de 100 Mo].

Ça fait des semaines que je ne comprends pas pourquoi je n'arriverais pas créer une image de plus 100 MO !!

Merci ! Tu viens de me donner la solution

Donc pour créer un image chiffrée de 50 Go il faut indiquer 50 GB ?

 

[bompi]

Merci Bompi mais je pourrai booter dessus sans problème ?

Il faudrait que je refasse le test (j'ai fait ça il y a plusieurs mois) mais je dirais : oui. Tu démarres avec alt enfoncée, choisis le disque externe, tapes le mot de passe lorsqu'on te le demande et ça démarre.

 

[Deleted member 109128]

Il faudrait que je refasse le test (j'ai fait ça il y a plusieurs mois) mais je dirais : oui. Tu démarres avec alt enfoncée, choisis le disque externe, tapes le mot de passe lorsqu'on te le demande et ça démarre.

Ok faudrait que je test pour voir... merci à toi

 

[Membre supprimé 1060554]

Donc pour créer un image chiffrée de 50 Go il faut indiquer 50 GB ?

Exact : c'est la seule façon de faire entendre raison à l'«Utilitaire de Disque» d'«El Capitan». Tu as intérêt à choisir, en effet, comme format d'image-disque : Image-disque de faible densité, dit sparseimage. Car le disque virtuel .sparseimage créé dans dans ce format d'image ne prend pas d'emblée l'espace maximum défini (ici 50 GB), mais seulement 178 Mo environ - c'est seulement le volume monté qui a un espace potentiel de 50 Go. Le disque .sparseimage n'augmentera de taille effective qu'au fur et à mesure du remplissement du volume monté par des données.​

Il faudrait que je refasse le test (j'ai fait ça il y a plusieurs mois) mais je dirais : oui. Tu démarres avec alt enfoncée, choisis le disque externe, tapes le mot de passe lorsqu'on te le demande et ça démarre.

En effet : je confirme en ayant fait le test de chiffrer le clone de mon OS «El Capitan» résidant sur un SSD thunderbolt => en démarrant avec "alt" et en choisissant le volume affiché du clone comme disque de démarrage, un panneau s'affiche demandant la saisie d'un mot-de-passe afin de déverrouiller le Volume verrouillé par le chiffrement => après saisie du mot-de-passe, le Système du clone démarre. Ça se passe donc comme lorsqu'on choisit de démarrer sur le volume du disque interne du Mac chiffré par «FileVault» : il faut déverrouiller en préalable le volume verrouillé par le chiffrement grâce au mot-de-passe choisi lors du chiffrement, et à partir de là le Système démarre.

Lorsqu'on se contente de connecter le DDE du clone chiffré sans chercher à démarrer dessus, le Finder affiche automatiquement un panneau proposant de déverrouiller le disque en renseignant le mot-de-passe afin de monter le volume. Une fois le volume monté, il est possible de re-cloner incrémentalement. Au démontage du volume, il y a de nouveau verrouillage. Il est possible, ici, d'enregistrer le mot-de-passe de déverrouillage permettant de monter le volume dans le «Trousseau», afin que le montage soit automatique pour la session ouverte de d'utilisateur. C'est un peu moins sécurisé, mais pas mal quand même.​

Note : je me suis un peu battu les flancs ci-dessus (message #41), pour décrire 2 procédés de chiffrement d'un clone (en démarrant dessus et en activant «FileVault» ou en passant une commande diskutil cs convert sur le device avec renseignement d'un password), alors qu'effectivement sélectionner dans le Finder un volume monté avec clic-secondaire donne accès à un menu "Chiffrer tel volume". La raison en est simple : j'ai totalement abandonné depuis un bon moment déjà l'usage du «Finder» au profit de «PathFinder» - ce qui fait que j'ai tendance à oublier complètement les services du «Finder» qui reste une application puissante.

 

[Deleted member 109128]

@macomaniac

Une nouvelle fois merci car effectivement l'image que j'ai réussie à créer prenait 50 GB d'office... Je vais donc la re-faire en faible densité.

Oui c'est intéressant de pouvoir chiffrer aussi facilement un clone cela me fait réfléchir à peut être passer sous FileVault également.

Je pense que je laisserai en non chiffré sur un DDE mes photos et base iTunes car je ne peux pas me permettre de perdre ça en cas d'incident logique de FileVault.

 

[Deleted member 109128]

Mouais...
Bon après réflexion je vais déjà sécuriser mon Mac en mettant les dossiers et fichiers privés dans des dossiers chiffrés.

Je ne suis un parano mais j'ai autant peur des vols que de ne plus pouvoir accéder à mes photos ou autre en cas d'incident logique.