Reinitialisation et protection de donnees

kalavera

Membre confirmé
1 Avril 2011
190
2
Salutations,

J ai une question sur la protection des comptes sur mac.

Je vois qu il semble facile de renitialiser le mot de passe d un compte, alors à quoi cela sert d en mettre un.

Si renitialisation du compte admin est ce que la personne peut avoir acces par la suite à tous ce qu il y a sur le compte ?
Si oui comment empeche t on qu une personne mal attentionne puisse entrer sur mon mac.

Merci
 

macomaniac

Ouroboros
Club MacG
20 Septembre 2012
85 354
25 741
Forêt de Fontainebleau
Salut kalavera.

Tu ouvres une sacrée 'Boîte_de_Pandore' ici (dont on sait, heureusement, qu'en dernière instance elle recèle l'Espérance).

Car la sécurité d'un Espace_d'utilisateur sur un Mac, défini comme relevant d'un 'Propriétaire_Originel' : le créateur du 1er compte, de statut admin par défaut, se posant comme un 'Moi-même' qui revendique la propriété de son espace d'utilisateur ('privauté'), et par-delà, la propriété du Mac, se mesure toujours à la capacité d'empiètement potentiel de l'Autre.

L'Autre, par définition, a un visage multiformeCar mon Nom est Légion» déclare précisément le 'Grand_Autre' - qui est Satan), en regard du Moi-Même qui revendique l'appropriation_unicitaire d'un espace d'utilisateur privé, et par-delà du Mac. Car l'Autre peut se montrer sous la forme de l'Intrus, anonyme et adverse, qui cherche de l'extérieur à transgresser l'espace privé du Moi-Même, et par-delà à s'approprier le Mac ; comme il peut se montrer sous la forme du Traître, identifiable et familier, qui peut de l'intérieur rompre le serment de respect d'autonomie dans le cotoiement sur un Mac et s'avérer un faux-ami.

♤

Peut-on attendre de l'ingénierie logique de OS X une 'rigidité' radicale dans les formes de protection du 'Moi-Même' à l'égard de l'Autre (genre : mot-de-passe intransgressable)? C'est difficile, dès lors qu'une dimension de 'flexibilité' doit être affirmée en regard, laquelle revient toujours à l'admission de l'altérité au sein même ou au voisinage de l'identité. Car, moi qui revendique rigidement mon Moi=Moi sans partage sur mon Mac, et donc une entière privauté dans l'appropriation de mon espace d'utilisateur, ne suis-je pas enclin à des altérations de cette identité, par exemple, des troubles de la mémorisation d'un mot-de-passe, qui me conduiraient à ne plus pouvoir entrer dans mon propre espace protégé d'utilisateur mais à ne plus figurer que comme Intrus extérieur à lui? Et moi qui revendique rigidement ce Moi=Moi, le partage avec l'Autre identifié comme digne de confiance ne resterait-il pas un vain mot, si je ne pouvais pas admettre un cotoiement égalitaire des espaces personnels?

Pouvoir démarrer sur la Partition_Recovery pour restaurer mon propre mot-de-passe en cas d'altération de ma mémoire identitaire, c'est une flexibilité précieuse, mais évidemment qui ouvre une possibilité d'intrusion de la part de l'Autre. Apple fournit la possibilité de verrouiller le Firmware par un mot-de-passe empêchant précisément l'Autre, qui ne le connaît pas, de pouvoir démarrer sur la Partition Recovery pour utiliser la fonction de restauration du mot-de-passe de session. Ce qui augmente la rigidité en diminuant la flexibilité. Mais que faire si Moi=Moi j'oublie, suite à une altération mémorielle, ledit mot-de-passe Firmware? Deviendrais-je l'égal de l'Autre, incapable de ré-entrer dans mon propre espace sécurisé?

Certes, si j'ai défini le Mot-de-Passe_Maître en même temps que mon propre mot-de-passe admin, je peux en cas de triple échec à me logger (ayant oublié mon mot-de-passe admin), renseigner ledit Mot-de-Passe_Maître afin de restaurer mon mot-de-passe admin oublié. Mais, comme il apert, pourquoi donc moi qui me suppose enclin à des altérations de l'identité mémorielle, retiendrais-je davantage le mot-de-passe Maître qui ne sert jamais, mieux que mon mot-de-passe Admin qui sert toujours?

♧

Et que dire du risque de Traîtrise provenant de l'intérieur, càd. de l'Autre capable de partager l'usage du Mac en ayant son propre espace d'utilisateur? Si j'ai poussé le respect de l'égalité jusqu'à accorder à l'Autre des privilèges Admin, vu que, propriétaire du Mac et son premier Utilisateur (forcément Admin), c'est à moi qu'incombe cette décision ; n'ai-je pas, aux dépens de la rigidité sécuritaire, admis une flexibilité relationnelle qui comporte sa part de risques? Car accorder à l'Autre la liberté d'être Admin, c'est bien lui accorder l'égalité des pouvoirs Admin, dont la capacité de restaurer les mots-de-passe de session dans l'interface graphique des Préférences Système. Le droit qui est le mien de restaurer son mot-de-passe, je le lui accorde réciproquement sur le mien, en l'instaurant Admin. Il peut donc me mettre à la rue, par une manœuvre pleine de Traîtrise. À moins que je ne me sois approprié le Mot-de-Passe Maître, auquel cas je garde un recours a posteriori, mais sans avoir pu protéger a priori mon espace privé contre l'intrusion de l'intérieur.

Que dire si, m'étant approprié le mot-de-passe Maître, j'ai laissé à l'Autre la latitude de définir le mot-de-passe root, ne l'ayant pas moi-même par avance défini de manière à me l'approprier? Car, avec la possibilité de se logger en root, l'Autre peut accéder en toute transparence à mon espace d'utilisateur sans que j'en sois averti.

♡

Les anciennes versions de OS X possédaient une arme absolue contre l'intrusion intime, qui était la sécurité Filevault_LegacyFilevault 1»). La session d'utilisateur était cryptée sous forme de Sparse_Image indéchiffrable, protégée par un mot-de-passe qui ne supportait pas la restauration, ni d'une Partition Recovery (alors inconnue), ni de l'interface graphique des Préférences de Comptes Admin. Seul, le renseignement d'un mot-de-passe Maître, à le supposer déifni au préalable, pouvait restaurer le mot-de-passe Filevault Legacy. Même root ne pouvait pas traverser la SparseImage cryptée. Ce qui ramène à la problématique antérieure des altérations mémorielles : car qu'est-ce-que je fais, si j'ai oublié mon mot-de-passe Filevault 1 et le mot-de-passe Maître, ou s'il n'a pas été défini?

Ce cryptage d'une session personnelle, évidemment protégeant puissamment le Moi=Moi et sa privauté, avait néanmoins un inconvénient, car il opposait une barrière à la capacité d'Applications de Tierce_Partie, installées par le Moi-Même, à fonctionner sans problèmes. En quoi le Moi=Moi est bien obligé d'admettre, de son propre chef, un empiètement de l'Autre dans son propre espace.

♢

Je pourrais continuer longtemps sur ce terrain. Il est clair qu'il s'agit de gérer une contrariété : celle du Même et de l'Autre, avec plus ou moins de rigidité ou de flexibilité. Mais le Même ne peut pas faire abstraction de toute instance de l'Autre, parce que le Même inclut l'Autre, et parce que le Même a besoin de l'Autre. Comme disaient les Classiques, il y a là une dimension de Dialectique qui ne peut pas être simplifiée, mais seulement gérée. «De la Juste Solution des Contradictions au sein du Peuple» - annonçait tel qui confondait manifestement la Contrariété Réelle et la Contradiction Logique, là où Kant ne commettait pas pareille bévue, mais croyait cependant que dans l'ordre de la Réalité, il n'y avait que des oppositions de forces réciproquement extérieures.

Bref, la technologie informatique est créée par des hommes pour des hommes, et il lui faut bien assumer la Condition Humaine, à savoir l'acceptation de l'Autre avec le Même. Un fanatique de la sécurité n'aura qu'un seul utilisateur sur son Mac, son propre Moi=Moi, et aura verrouillé son Firmware. Espérons-lui donc nulle altération mémorielle. Mais bien plus, je le demande, ne s'en ira-t-il pas surfer sur le Net à la rencontre de l'Autre, de sorte qu'en dernier lieu la revendication autarcique demeure futile, radicalement parlant, si bien qu'il ne peut y avoir que des degrés dans la gestion du rapport à l'Autre? Car il faut bien pouvoir compter sur des figures amicales de l'Autre, et pas seulement se défendre contre l'Ennemi...

♘
 

kalavera

Membre confirmé
1 Avril 2011
190
2
Eh bien on peut dire que tu as répondu,:)

J ai mis un peut de temps mais j ai finalement compris ta pensée, ce nest pas tant que quelqu un viennent sur ma machine, mais je me suis surtout posé cette question

Si quelqu un peut re initaliser le passe pour avoir acces à mon Mac, qu en est il du trousseau de clef ??

Car sur ce dernier il sera alors facile pour la personne de pouvoir regarder les mots de passe ?

C est la dessus que je me pose la question ?

Merci
 

FrançoisMacG

Pince-fourmis
Club MacG
17 Août 2006
16 134
627
À côté (de ma plaque)
Apple a donc prévu le mot de passe du programme interne et FileVault pour gêner la réinitialisation du mot de passe de session, et donc celle du trousseau.

Pour protéger les mots de passe, on peut les enfermer dans une autre structure que le Trousseau = dans un logiciel de gestion des mots de passe comme 1Password.
Pour protéger des fichiers confidentiels, on peut passer par une image-disque chiffrée (= "cryptée") qu'on crée dans notre session avec Utilitaire de Disque.
Les deux sont inviolables et non réinitialisables.
 

FrançoisMacG

Pince-fourmis
Club MacG
17 Août 2006
16 134
627
À côté (de ma plaque)
Normalement, le trousseau doit être réinitialisé après changement du mot de passe de la session à partir d'un autre endroit que les Préf Système de la session
= l'ancien trousseau ne peut alors être récupéré ou exploité que si on a l'ancien mot de passe.

Un bémol, incertain mais de taille : la session Root pourrait être capable d'ouvrir l'ancien trousseau…


Tandis qu'avec 1Password, il n'y a aucun contournement possible.
 

kalavera

Membre confirmé
1 Avril 2011
190
2
Ok mais veux tu dire que je peux tout supprimer du trousseau ?

Password prends il en charge même si l application est fermé ?

Dans ce cas je suppose qu il me suffit d effacer mon trousseau actuel,

Mais par exemple pour Icloud va t il me demander à chaque fois le mot de passe ?

Desolé pour ces questions, mais cela m interesent grandement :)

Car cela me permettrait aussi de limiter mes mots de passes.

Merci
 

FrançoisMacG

Pince-fourmis
Club MacG
17 Août 2006
16 134
627
À côté (de ma plaque)
L'application Trousseaux d'accès permet pas mal de choses dans ses menus :

- Fichier > Supprimer le trousseau de la session (il faut en créer un nouveau ensuite)
et Préférences > Général > Réinitialiser mon trousseau par défaut (ça le remet à zéro)
sont des "solutions" radicales : tu repartirais de zéro pour enregistrer un maximum de choses dans 1Password ;

- Édition > Modifier le mot de passe du trousseau de session : il faut d'abord le désynchroniser de celui de la session en décochant Préférences > SOS > Synchroniser.
Là, tu aurais un mot de passe pour ton trousseau de session distinct de celui de la session,
ce qui serait un peu équivalent au fait d'avoir un mot de passe dédié à 1Password en plus d'un mot de passe commun à session et trousseau.
En poussant la parano jusqu'au bout, tu arrives à trois mots de passe : session + trousseau + 1Password !

J'ai préféré garder le mot de passe de session synchronisé avec celui du trousseau de ma session (qui ne contient que peu de choses : Livebox et Mail surtout)


iCloud passe par le trousseau de session, me semble-t-il.

Je ne comprends pas ta question : "Password prends il en charge même si l application est fermé ?"
= quelle prise en charge ? quand quelle application est fermée ??
 

kalavera

Membre confirmé
1 Avril 2011
190
2
Bon c'est vraiment sympa d avoir répondu aussi precisement.

Je comprends que l on ne peut pas tout retirer du trousseau de session.

A ma question
Password prends il en charge même si l application est fermé ?

En faites je parlais d application comme Icloud , qui demande souvent un acces au trousseau, mais en faites cela me confirmes que Password ne peut pas tout gerer.

Merci