Problème de mot de passe principal (EFI)

pickwick

Membre expert
Club iGen
1 Octobre 2001
4 613
208
70
Genève
aucoeurdumac.com
Bonjour,
J'ai rencontré aujourd'hui un problème inattendu sur un macbook pro de 2010.
J'ai remplacé le disque interne par un disque SSD en procédant ainsi :
  1. - installation sur le SSD d'un Yosemite propre et neuf avec un utilisateur bidon
  2. - démontage du macbook et mise en place du SSD au lieu et place du disque dur ancien
  3. - démarrage et tests : tout va très bien !!!
  4. - je mets le disque ancien dans un boitier externe et le connecte en USB sur le macbook, il monte sur le bureau et je lance "Assistant de migration"
  5. une heure plus tard environ, je redémarre et là patatras : cadenas fermé sur écran gris et demande du mot de passe EFI (totalement inconnu du propriétaire du mac)
  6. je trouve dans mon iphone une astuce pour traiter ce souci et après avoir enlevé une barrette de RAM et redémarré avec réinitialisation de la PRAM, le mac redémarre normalement, je l'éteins
  7. je remets la barrette et tente un nouveau démarrage : ECHEC de nouveau, dossier avec un point d'interrogation ou cadenas fermé et demande de mot de passe
  8. je démarre avec CMD-R et tente une réinitialisation du mot de passe principal : et là on me dit que le mot de passe n'est pas activé puisque l'on me propose de l'activer.... je ne comprends plus
  9. je tente un nouveau démarrage (étape 6) et cela démarre...
  10. je vais dans Pref.Systèmes Utilisateurs et groupe et je trouve un endroit (tous crantée en bas) pour changer le mot de passe principal ... mais
  11. Le propriétaire a mis un indice.... insuffisant pour retrouver le mot de passe ....pas moyen donc de le changer, ne rien mettre dans le mot de passe actuel ne donne rien donc il y en a bien un (contradictoire avec étape 8).... je commence à bouillir...
  12. je ferme Pref Système, je remets la barrette, réinitialise la PRAM (3 gongs) et cela démarre de nouveau
  13. j'éteins de nouveau et de redémarre.... tout semble OK....
  14. Mais est ce que cela va durer ? mystère... j'ai recommandé au propriétaire de se contenter de mettre le mac en veille pour le moment et j'ai un peu rouspété pour ce mot de passe EFI tombé du ciel avec un indice à la mors moi le noeud : toutouneaux2victoire !!! Aie Aie Aie...
  15. J'aimerais comprendre ce qui se passe, la Providence m'aide beaucoup en ce moment mais cela ne durera pas toujours....
  16. ..... Merci pour vos remarques !!
 
Je te conseille une installation propre et un transfert manuel de tes documents... Je n'ai jamais utiisé l'assistant de migration, mais il semble qu'il y ait eu un soucis dans ton cas...
 
Je ne pense pas que cela vienne de là, tout semble indiqué que un certain moment un mot de passe EFI a été mis sur ce mac, la manoeuvre astucieuse m'a permis de contourner l'obstacle mais je crains, ne pouvant être certain que ce mot de passe soit désactivé, que le problème réapparaisse lors d'un prochain redémarrage....
 
Salut pickwick.

Je te propose une contribution linguistique - approche qui n'est pas aussi impertinente qu'on pourrait le croire, s'il est vrai qu'on ne juge des choses qu'au travers des mots, de sorte qu'une confusion dans les mots peut laisser imaginer un paradoxe dans les choses.

J'en veux pour indice le titre de ton message : « Problème de mot de passe principal (EFI) ». Un « Mot-de-passe de l'EFI » existe bien, certes, comme possibilité informatique pour les Macs Intel, mais ce mot-de-passe ne doit absolument pas être désigné comme : « Mot-de-passe principal » (Master Password) », mais exclusivement comme « Mot-de-passe du Programme Interne ». C'est parce que tu confonds en une même expression linguistique = « mot de passe principal (EFI) » deux choses résolument distinctes, que tu imagines subsister un problème sur le Mac de ton client qui n'y existe pas.

--------------------

- a) Le « Mot-de-passe de l'EFI» concerne exclusivement le Programme Interne du Mac, ou Firmware, recelé dans une puce (chipset) de la Carte-Mère : c'est un micro-logiciel qui a la charge du pré-boot sur les Macs Intel : 1° exécution du POST (Power-On Self-Test) = check-up du hardware ==> 2° exécution d'un fichier boot_loader : boot.efi qui est le démarreur du système de fichiers d'un OS résidant sur une partition d'un disque attaché. Lorsqu'un "verrouillage" de l'EFI est mis-en-place (conformément à une possibilité informatique créée par les ingénieurs de la ), cela signifie qu'aucun démarrage d'un système résidant sur un disque externe ne peut se trouver exécuté sans déverrouillage préalable de la protection par le renseignement du « Mot-de-passe de l'EFI ».

À partir de «Lion 10.7», c'est en passant par un démarrage sur la partition de récupération «Recovery HD», et en allant au menu : Utilitaires pour lancer l'application : «Utilitaire de mot-de-passe du Programme Interne» (Firmware Password Utility.app), qu'il est possible soit d'activer le verrouillage de l'EFI avec définition d'un mot-de-passe de déverrouillage ; soit, inversement, de désactiver cette protection et par là de supprimer le « Mot-de-passe de l'EFI ».

Tu as fait l'expérience, sur le Mac 2010 de ton client, d'un "accident" informatique qui a parfois été attesté sur les forums de «MacGé» : des manœuvres impliquant un disque externe peuvent occasionner tout à fait indûment un verrouillage du Firmware sans que cela n'ait été requis dans les règles par l'utilisateur --> résultat : Programme Interne verrouillé, en l'absence d'un mot-de-passe défini pour déverrouiller la protection. Tu as eu la chance de tomber sur une bécane ancienne sur laquelle enlever une barrette de la RAM et faire un reset_NVRAM permet de faire sauter le verrouillage du Programme Interne (et la compétence d'exécuter l'opération). Cet "accident" informatique serait-il intervenu sur un Mac moderne, où la manip précédente est inopérante, tu étais bon pour le SAV Apple sans avoir commis aucune faute (il existe, certes, un moyen logique de décoder le mot-de-passe du Programme Interne sur un Mac moderne en utilisant la «Calculette» et en se livrant à une conversion - mais, outre la relative pénibilité de la manip, quid s'il s'agit d'un verrouillage accidentel sans qu'un mot-de-passe n'ait été défini ipso facto par l'utilisateur ?).

J'ajoute un point : normalement, l'activation de la protection EFI ne verrouille nullement un démarrage sur le disque interne du Mac (le volume de l'OS), mais seulement la tentative de démarrer sur un disque externe --> lorsque tu as re-démarré ton Mac en mode automatique, il était donc tout à fait anormal que le logo du cadenas verrouillé (indiquant la mise-en-place de la protection EFI) se soit affiché, alors que le démarrage sur le volume de l'OS du disque interne aurait dû s'effectuer automatiquement, verrouillage ou pas de l'EFI. C'était bien là l'indication d'un "accident informatique" (et je me demande - spéculativement parlant - si c'était bien un "vrai" verrouillage de l'EFI et pas un "phénomène" de plantage suscitant une "imitation"... La preuve --> à ton 2è incident : tu parles d'une valse-hésitation à l'écran entre affichage du ? = aucun Système trouvé et cadenas = EFI verrouillée) .

Quoi qu'il en soit, lorsque, re-démarré sur la partition de récupération «Recovery HD», tu es allé consulter le statut "ouvert ou fermé" du Fimware dans l'application : «Utilitaire de mot-de-passe du Programme Interne» et que tu as lu : "Mot-de-passe désactivé" --> tu as obtenu ici tout ce qu'il y a à savoir concernant le statut "effectif" du Firmware du Mac : si le « Mot-de-passe de l'EFI » est mentionné « Désactivé » et qu'on te propose de : « Activer le mot-de-passe du programme interne », alors ça veut dire qu'aucun verrouillage de l'EFI ne se trouve actuellement en place. Point barre. Tout ré-affichage d'un cadenas ne pourrait provenir que d'un "accident informatique" hors protocole régulier de protection du Firmware.

--------------------
- b) Je me suis longuement étendu sur le sens de : « Mot-de-passe du Programme Interne (aka EFI) ». C'est pour mieux, à présent déclarer : ça n'a absolument rien à voir, en aucune façon, mode, forme, figure ni dessin, avec ce qui est désigné comme : « Mot-de-passe Principal (aka Master Password) ». Tu admettras qu'il est humain de glisser, par une sorte de lapsus, de « Mot-de-passe du Pr(ogramme Interne) » à « Mot-de-passe Pr(incipal) » grâce à l'identité de la diphtongue intiale "Pr" et j'adore (personnellement) jouer sur les mots en prenant appui sur des homophonies ; mais une chose est de "jouer consciemment" des mots en s'appuyant sur des homophonies, autre chose est d'être le "jouet inconscient" d'une homophonie conduisant, par une confusion de mots incontrôlée, à une confusion des choses...

Le « Mot-de-passe Principal (aka Master Password) » ne concerne absolument pas le Firmware (l'EFI de la Carte-Mère) mais toujours exclusivement l'OS installé sur une partition du disque. La fonction du « Mot-de-passe Principal (aka Master Password) » est de créer, pour un administrateur du Mac, une clé "filet de sécurité" permettant de pallier l'oubli d'un mot-de-passe d'ouverture de session par un utilisateur particulier.

C'est la définition de ce « Mot-de-passe Principal (aka Master Password) » qui est proposée, exclusivement, dans le menu "Engrenage" des Préférences Système/Utilisateurs et groupes. Que se passe-t-il quand on dénifit un tel « Mot-de-passe Principal (aka Master Password) » ? Il y a génération, à l'adresse : /Library/Keychains (il s'agit de la Bibliothèque Générale de l'OS - ni la Bibliothèque-Système, ni la Bibliothèque-Utilisateur) d'une paire de fichiers intitulés : FileVaultMaster.cer & FileVaultMaster.keychain, dont le 1er est un simple certificat d'authenticité et le 2è est le trousseau (verrouillé par défaut) recelant ledit « Mot-de-passe Principal (aka Master Password) ».

Il est tout à fait intéressant de constater la présence du dénominateur commun : FileVaultMaster dans les 2 cas. Voici comment je l'interprète : le « Mot-de-passe Principal (aka Master Password) », lorsqu'il est défini, peut permettre, après 3 échecs de renseignement du mot-de-passe d'un utilisateur à l'écran d'ouverture de session (LoginWindow), à un administrateur du Mac qui connaît (parce qu'il en est l'auteur) le « Mot-de-passe Principal (aka Master Password) », de procéder à une ré-initialisation du mot-de-passe de session de l'utilisateur. Pour cela, il suffit de renseigner en premier le « Mot-de-passe Principal (aka Master Password) », puis 2 fois un nouveau mot-de-passe de session d'utilisateur (avec un indice éventuel) --> la session verrouillée se trouve débloquée. Dans cet usage, le « Mot-de-passe Principal (aka Master Password) » est un doublon de ce qu'opère dans la «Recovery HD» l'application : «Ré-initialisation du mot-de-passe d'utilisateur» après qu'on l'ait lancé par la commande : resetpassword dans le «Terminal» --> je me risque alors à considérer l'emploi du « Mot-de-passe Principal (aka Master Password) » à l'écran de Login pour réinitialiser un mot-de-passe de session d'utilisateur oublié comme une fonction "Legacy" (en voie d'obsolescence).

[NB. Si le fichier "trousseau" : /Library/Keychains/FileVaultMaster.keychain peut être opératif à l'écran de login du LoginWindow, c'est parce qu'à ce stade, l'OS se trouve chargé dans ses "Essentials" - dont la /Library dont dépend ce fichier "trousseau", la seule chose demeurant à charger étant la couche logique graphique d'une session d'utilisateur.]

Mais il y a un autre emploi, qui relève d'un usage avancé de l'administration d'un Mac. Lorsque le « Mot-de-passe Principal (aka Master Password) » s'est trouvé défini à l'avance, sur un Mac, et qu'ensuite le chiffrement du volume de l'OS se trouve choisi via «FileVault-2» ; alors la structure Groupe de Volumes Logiques : CoreStorage (chiffré) qui va en résulter intègre, dans les paramètres de la Famille de Volumes Logiques que consulte le "Driver" (pilote) de la partition "Carte d'amorçage" : Boot Boot OS X en charge de monter le Volume Logique au démarrage, la possibilité de déverrouiller le Volume Logique (Chiffré) par un recours exceptionnel au trousseau : FileVaultMaster.keychain, ce en cas d'oubli du mot-de-passe de session d'utilisateur habilité à activer la clé de déchiffrement du volume --> le "Driver" est capable de recevoir l'information du trousseau de secours à défaut de mot-de-passe d'utilisateur et grâce à lui d'activer la clé de déchiffrement du Volume Logique (Chiffré) et par là de le monter.

Il est clair que, l'original du fichier de trousseau : FileVaultMaster.keychain résidant dans la /Library de l'OS appartenant au Volume Logique (Chiffré) verrouillé et donc non monté, un administrateur du Mac qui veut pouvoir utiliser ce procédé doit avoir copié au préalable sur une clé USB ce fichier pour en établir un double, avec accédants root:wheel conformes. Alors, en démarrant sur la «Recovery HD» du Mac, la clé USB en question attachée au Mac, il lui est possible dans le «Terminal» de passer d'abord une commande :

Bloc de code:
security unlock-keychain /Volumes/nom-de_la_clé/FileVaultMaster.keychain
et de renseigner à l'aveugle le « Mot-de-passe Principal (aka Master Password) » pour déverrouiller le trousseau ; puis de passer une commande :

Bloc de code:
diskutil cs list
afin de récupérer l'UUID du Logical Volume (Chiffré) verrouillé ; enfin de passer la commande :

Bloc de code:
diskutil cs unlockVolume [UUID] -recoveryKeychain /Volumes/nom-de_la_clé/FileVaultMaster.keychain
de manière à pouvoir monter le Volume Logique (Chiffré) verrouillé grâce à l'intercession du « Mot-de-passe Principal (aka Master Password) » recelé dans le trousseau déverrouillé au préalable. Ce qui permet, soit une commande de recopie du dossier de départ de l'utilisateur sur un DDE externe (sauvegarde), soit après une commande resetpassword qui lance l'application : «Utilitaire de réinitialisation du mot-de-passe d'utilisateur», une ré-initialisation du mot-de-passe d'utilisateur étant donné que le Volume Logique (Chiffré) a été déverrouillé et donc monté au préalable [je déconseille absolument, personnellement parlant, d'envisager le recours à cette méthode abstruse pour tout utilisateur qui serait assez niais pour "oublier" son mot-de-passe de session, et qui se figurerait capable de mieux se souvenir d'un « Mot-de-passe Principal (aka Master Password) » qui ne sert jamais et qui demande pour être employé en cas de chiffrement du volume de l'OS par «FileVault-2» d'avoir eu la précaution de recopier sur le volume d'une clé-USB d'administration le fichier-trousseau : FileVaultMaster.keychain sans lequel il est impossible de court-circuiter l'oubli d'un mot-de-passe de session auprès du "Driver" en charge du montage du Volume Logique (Chiffré) d'un Groupe de Volume Logique : CoreStorage. Il y a là un procédé "filet de sécurité" qui ne devrait être employé que par un administrateur de Mac exclusivement.]

Cette longue description (comme toujours avec macomaniac) débouche sur un effet pratique fulgurant : si tu n'as pas activé «FileVault-2» dans la session de ton utilisateur afin de chiffrer le Volume de l'OS en générant un Groupe de Volumes Logiques : CoreStorage Chiffré ; alors il te suffit, la session d'utilisateur ouverte, d'aller à : /Library/Keychains et sans aucune scrupule intellectuel ni moral de déplacer à la corbeille (via une authentification admin) la paire de fichiers (attention ! ces deux seuls !) : FileVaultMaster.cer & FileVaultMaster.keychain qui doivent s'y trouver à tous les coups. Et pourquoi, je le demande ? Car l'«Assistant de migration» que tu as déclenché après ta Clean Install d'OS X, a récupéré ces fichiers dans la Bibliothèque Générale de l'OS dont tu avais fait une sauvegarde --> il suffit que ces 2 fichiers existent à l'emplacement susdit, pour qu'un « Mot-de-passe Principal (aka Master Password) » soit considéré comme "défini" pour l'OS - quand bien même l'utilisateur aurait totalement oublié la nature de ce mot-de-passe "filet de sécurité". C'est à ce mot-de-passe que se réfère un indice du mot-de-passe Principal (jamais au « Mot-de-passe du Programme Interne du Mac (aka EFI) » - qui en est dépourvu). L'indice surrréaliste : toutouneaux2victoire !!! Aie Aie Aie... montre superlativement, incompréhensible qu'il l'est à l'utilisateur qui l'avait mis-en-place, combien un « Mot-de-passe Principal (aka Master Password) » devrait n'être réservé qu'à un administrateur de Mac (par quoi j'entends : non un utilisateur admin ordinaire, mais réellement un "administrateur de parcs de Macs" qui sait, au sens formel du mot, ce qu'administrer des Macs veut dire !...

En mettant à la corbeille les 2 fichiers FileVaultMaster.cer & FileVaultMaster.keychain, après re-démarrage du Mac, si tu vas à : Menu /Préférences Système/Utilisateurs et groupes --> fonctionnalité "Engrenage" : tu ne devrais plus te voir proposer un : "Modifier le mot-de-passe principal" ce qui implique qu'il serait déjà défini ; mais un "Définir le mot-de-passe principal", ce qui implique qu'il n'est pas défini --> je te conseille, amicalement mais formellement, de ne pas le définir (à moins que tu ne sois dans une situation d'administrer officiellement un Mac dans le cadre d'un programme où tu remplis cet office de super-vision d'usagers standards ou même admins).

--------------------
 
Dernière édition par un modérateur: