Verrouiller Mac par mot de passe au démarrage de l'EFI

[nicopulse]

Bonjour à tous.

J’ai un MacBook Pro Early 2008 (celui d’avant le Unibody : Intel Core 2 Duo 2,5 GHz) et je cherche à verrouiller le démarrage de la machine par un mot de passe de boot sur l’EFI. :love:

Je sais que je peux démarrer sur le DVD d’installation de Mac OS X 10.5 pour utiliser « l’Utilitaire de mot de passe du programme interne » (comme stipulé ici), qui va me permettre de verrouiller l’accès au démarrage sur d’autre support (Alt au démarrage), par exemple : disque dur externe, CD/DVD d’installation de Mac OS, Windows…

Mais cela ne verrouille pas le démarrage par défaut sur Mac OS X !
Y a-t-il un moyen de verrouiller ce démarrage ? Et avec un autre EFI (j’avais essayé rEFIt, mais il ne le permet pas) ?

L’un des moyens de contourner mes soucis de sécurité serait de supprimer le démarrage automatique de ma session sous Mac OS X et d’exiger un mot de passe, mais ce n’est pas ce que je recherche.

Toute idée permettant de bloquer le démarrage de la machine grâce à un mot de passe à partir de l’EFI est la bienvenue.

Je vous remercie pour vos conseils.

 

[PA5CAL]

Bonsoir

La raison d'être du mot de passe EFI est de bloquer les moyens de démarrer le Mac selon des moyens détournés, et d'obliger d'en passer par le démarrage normal sur le système installé.

Le blocage du démarrage normal est quant à lui réalisé par un mot de passe de session. Cela permet notamment une utilisation sécurisée de la machine par plusieurs personnes ne partageant pas leur mot de passe, et la supervision par un administrateur indépendant.

Pour rendre la saisie du mot de passe de session obligatoire au démarrage, il faut se rendre dans Préférences Système>Comptes sous une session administrateur, déverrouiller le cadenas, accéder aux Options, et fixer "Ouverture de session automatique" à "Désactivé".

 

[nicopulse]

L’un des moyens de contourner mes soucis de sécurité serait de supprimer le démarrage automatique de ma session sous Mac OS X et d’exiger un mot de passe, mais ce n’est pas ce que je recherche.

Je sais que chez HP, Dell, Asus, etc... le moindre portable à 500 € à un BIOS qui prend en charge le verrouillage par mot de passe au démarrage.

 

[PA5CAL]

Je sais que chez HP, Dell, Asus, etc... le moindre portable à 500 € à un BIOS qui prend en charge le verrouillage par mot de passe au démarrage.

... Et on vend aussi des fendeurs de bûche à moins de 70€ chez Leroy-Merlin, alors qu'il n'est toujours pas possible de couper du bois avec son Mac.


Plus sérieusement, mon commentaire n'était pas tant une réponse à ta question qu'une explication pour te faire comprendre qu'un Mac avec EFI n'est pas conçu comme un PC avec BIOS, et que le principe de protection de la machine n'y est donc pas le même.

Il faut surtout que tu prennes conscience que c'est à toi de t'adapter au fonctionnement du matériel, et pas l'inverse.

Sur les PC (à 500€ ou plus), le BIOS propose un mot de passe qui bloque la machine avec le même mot de passe pour tous les utilisateurs, quand bien même l'OS qui y est installé (généralement Windows) offre une stratégie de sécurisation basée sur la distinction entre l'administrateur et les utilisateurs, et entre les utilisateurs les uns avec les autres. Ce fonctionnement est donc en contradiction avec les principes qui ont cours sur les OS multi-utilisateurs modernes, tels que Mac OS X, Linux et Windows.

J'ai expliqué au-dessus que le filtrage des utilisateurs au démarrage se réalisait au niveau de l'OS, ce qui ne pose pas de problème dans le cas de Mac OS X puisque, comme sur tous les système de type UNIX, cet aspect est pris en charge nativement, et avec efficacité.

Ainsi, en adoptant une stratégie de sécurisation correcte, c'est-à-dire :
- en fixant un mot de passe EFI,
- en fixant un mot de passe pour chaque session,
- en limitant l'usage des sessions administrateur aux seules opérations de maintenance,
- en désactivant le démarrage automatique d'une session,
- en ne proposant pas le boot sur un OS alternatif non protégé,
le Mac est correctement protégé contre un usage détourné, tant qu'on n'en vient pas à démonter le matériel (mais sur ce point, c'est pareil sur les PC).

Bref, le Mac peut faire ce que tu souhaites, mais pas avec le moyen que tu demandes, qui n'est de toute manière pas disponible sur ce type de matériel, ni même pertinent du point de vue de la conception de ce type d'appareil.

 

[pimousse42]

En plus en activant fileValut, tu protèges ton appareil du démontage de la machine pour récupérer les données.

L'EFI empêche qu'une personne démarre sur une autre disque. Une fois sur la fenêtre du log, elle ne peut aller plus loin s'il y a un mot de passe.

Tu as aussi la solution de mettre la machine dans un coffre fort.