Mac Safe #5 : pourquoi le chiffrement des fichiers est devenu indispensable
Il est impressionnant de constater à quel point le chiffrement des données est devenu la norme dans le monde informatique en seulement quelques années. C'est aussi un domaine à la complexité grandissante, les utilisateurs et les constructeurs voulant ménager la chèvre et le chou.
En effet, il y a vingt ans, les choses étaient simples : les données étaient écrites en clair, transmises en clair, et seule une poignée de logiciels permettaient d'associer un mot de passe à chaque fichier — et encore, ce mot de passe était souvent un simple sésame, qui bloquait l'ouverture mais ne chiffrait pas les données.
Pourquoi voudrais-je chiffrer mes données ?
Si vous étiez utilisateur de Mac au milieu des années 1990, à l'époque des Performa, essayez donc d'imaginer ce que vous aviez de plus intime sur votre ordinateur. Ni numéro de carte bleue (personne ne payait en ligne à l'époque), ni photos personnelles (vous n'aviez sûrement pas encore d'appareil photo numérique en 1995), peut-être même pas encore de mail, et sans doute aucune donnée de santé.
Oui, il y a vingt ans, ce que votre Mac pouvait révéler de plus personnel à votre sujet, c'était votre relevé de compte (inexploitable car généralement enregistré sous forme d'un tableur Excel personnalisé), quelques courriers au format Word ou ClarisWorks, et peut-être une base de données de votre collection de disques vinyles.
Le dossier chiffré c'est la base ! Merci de le rappeler !
Est ce qu’il existe un équivalent pour iPadOS?
De chiffrement d’un dossier.
Merci
Superbe article bravo ⭐️
@giuseppe.fr
Je le trouve, comme tous les autres, également très succinct. Chiffrer les disques durs externes. Qu’en est-il des gestionnaires de mot de passe ? Des solutions avec les NAS (il y a quelques années, les ransomwares qui chiffraient les dossiers partagés des NAS Synology) ? Etc. 🤷♂️
@Jean-Baptiste Leheup
Voici ce que j'ai extrait de https://support.apple.com/fr-fr/guide/mac-help/mh21241/11.0/mac/11.0 :
<< ... Lorsque vous chiffrez une Time Capsule ou un disque de sauvegarde réseau, vos sauvegardes existantes sont effacées et de nouveaux ensembles de sauvegarde chiffrés sont créés. Lorsque vous transformez un disque connecté localement (comme un disque externe) en sauvegarde chiffrée, vos données sont préservées et chiffrées. >>
Il semblerait donc que l'on puisse tout de même chiffrer une sauvegarde Time Machine si, et seulement si, elle est faite sur un disque extérieur connecté localement à un Mac ... sans perdre les sauvegardes anciennes ... est-ce bien cela !?
Par contre vous mentionnez dans votre article :
<< ... le choix de chiffrer un disque se fait à la première sauvegarde sur ce support. Un disque Time Machine non chiffré ne peut pas l'être a posteriori. ... >> ... ce qui semble dire le contraire !?
Mais peut-être ai-je mal interprété l'un ou l'autre des textes ... voir les deux ... !!!!!
@LambdaBoss
La page d’Apple n’est pas bien claire… je fais le test cet après-midi et je vous dis !
@j-b.leheup
👍👍👍 ... merci d'avance !
@LambdaBoss
En effet, sur un disque local, il est possible de chiffrer la sauvegarde Time machine existante. Le disque est instantanément protégé par un mot de passe, mais le chiffrage à proprement parler prend du temps…
@j-b.leheup
Merci pour cette info, elle est très importante ( en tout cas pour moi ) car j'ai effectivement 2 disques externes de sauvegardes TM ( dont l'un est une partition d'un disque externe ) et je me voyais mal effacer ces sauvegardes ... ouf !
Par contre, je savais que c'était effectivement très très ... long ... mais bon je n'aurais que 2 fois à attendre ... !
Encore merci. Bonne journée
@j-b.leheup
Question subsidiaire :
Si un ordinateur est sous FileVault, que le disque Système de démarrage est sous Big Sur, et que le disque extérieur de sauvegarde TM est chiffré ... que se passe-t-il lorsque l'on allume l'ordinateur ... en plus du mot de passe de l'ordinateur, est-il demandé aussi de mettre le mot passe du disque de sauvegarde TM ... !?
Si oui, dans mon cas, avec deux disques de sauvegarde TM, il me faudrait donc mettre un mot de passe 2 fois ... !?
Je reconnais que je suis un peu perdu ... mais je pense tout de même, suite à votre article, que le chiffrement de tous mes disques serait peut-être préférable ... !!!
Merci d'avance.
@LambdaBoss
Oui. Le système demande le mot de passe quand on connecte le disque time machine chiffré. D’ailleurs sur l’un de mes disques, il faut plusieurs longues secondes avant cette demande. Si j’oublie, je branche le disque, je vais me coucher, et le lendemain matin rien n’a été copié car le système en est toujours à demander le mot de passe !
@j-b.leheup
Merci, mais vous mentionné “... quand on connecte le disque time machine chiffré ... ", je comprends que votre ordinateur était allumé, et qu'ensuite vous connectiez ce disque TM ... est-ce bien cela ... !?
Dans ma configuration, ils le sont en permanence, quand j'éteins l'ordi les 2 disques s'éteignent en même temps ... idem quand je rallume ... je ne les déconnecte jamais ... !
Mais effectivement, quand je connecte un autre disque externe chiffré sur mon ordi allumé, là, il m'est demandé un mot de passe ... !!!
Tout cela n'est pas bien précisé par Apple ... c'est un peu du flou artistique ... pour moi en tout cas ... !
@LambdaBoss
Il est possible d’enregistrer le mot de passe dans le trousseau en cochant une case, si jamais.
@mat16963
Merci de ce conseil, mais je ne suis vraiment pas fan ce trousseau ... et plus, je crois que ce n'est pas conseillé ... enfin c'est ce qui ce dit ... !!!!!
@LambdaBoss
Je comprends justement pas pourquoi ce n’est pas conseillé d’ailleurs. Le trousseau est chiffré avec la session. Donc le mot de passe de session déverouille le trousseau, mais si on l’a pas il est inaccessible. De plus, même si le trousseau iCloud est activé (et je suis même pas sûr que les mots de passe de disque dur soient concernés) les mots de passe sont chiffrés de bout en bout…
Donc j’ai de la peine à comprendre le problème du trousseau.
@mat16963
Effectivement, il nous manque peut-être des renseignements plus précis à ce sujet ... j'essaierai de retrouver l'origine de ce flou ... !
Bon article. Par contre sur ce point : « ce qui peut prendre un peu de temps car il faut que le système s'attaque à toutes vos données lors de la première activation », peut-être intéressant de signaler que c’est instantané pour les Mac équipés de coprocesseur T2. En effet le disque est en permanence chiffré et activer FileVault est du coup immédiat. Sinon oui, ça peut être treeeeeeeeeees long.
À noter aussi qu’il n’y a plus de méthode simple pour supprimer des fichiers de façon sécurisée dans macOS ce qui peut être gênant si on veut effacer un disque en s’assurant qu’il n’y a plus rien dessus. Dans ce cas, il suffit d’activer FileVault… puis d’effacer le Mac depuis la partition Recovery.
@guillaumegete
"À noter aussi qu’il n’y a plus de méthode simple pour supprimer des fichiers de façon sécurisée dans macOS"
Qu'entendez-vous par "de façon sécurisée" ? Le fait qu'un fichier ne pourra plus être lu même s'il a été supprimé ? Bon, vous connaissez certainement la commande "rm -p".
Mais, en effet, on ne peut plus effacer pour de vrai un fichier par un simple clic. Dommage.
NB. Moi y en a vieux con. Donc mes faibles connaissances là-dessus se rapportent aux disques magnétiques et à leur rémanence. La solution consiste à écrire plusieurs fois (3 dans le cas de rm -p, dans le temps ça allait jusqu'à 7 fois) un -ou plusieurs- pattern(s) sur le fichier. Après 7 écritures on était quand-même à peu près tranquilles... Qu'en est-il des SSD ? Il y a aussi rémanence ?
PS. Si "supprimer" un fichier consiste simplement à supprimer son entrée dans la table des matières du disque -magnétique ou SSD- évidemment qu'il risque de rester lisible. Ma question concerne bien une éventuelle rémanence.
Merci pour cet excellent article : je vais chiffrer mon disque 😀
Par contre 2 questions :
1- si filevault, alors icloud est il aussi chiffré ?
2- il me semble avoir vu/lu que filevault pose des pb dans certains cas, mais impossible de le souvenir dans quelles conditions. Auriez vius une meilleure mémoire que la mienne ?
Merci et continuez ces excellents articles qui justifient largement mon abonnement 👍
A noter que, sauf changement récent, pour démarrer l’encodage le système a besoin d’espace libre sur le disque. Au moins autant (un peu plus en fait) que la taille de votre dossier document.
Il ne faut donc pas trop traîner si on veut passer à FileVault (contrairement à moi…)
perso j'avoue ne rien chiffrer sur mes macs: ni sauvegardes, ni filevault…
perso je considere que le risque vient par le net, et pas de chez moi ou à mon bureau. J'avoue que comme j'envisage d'achat d'un macbook pro M1x dans les prochains mois, l'existence d'une machine nomade (mes macs sont tous des desktops) va changer mon opinion sur le sujet.
@raoolito
En cas de cambriolage ça risque d’être chaud 🥵
@h-de-pierre
oui enfin là on a quand meme besoin du mot de passe...
et puis dans ce cas, je verrouille la machine a distance, c'est quand meme un desktop et on rappelle que "localiser" fonctionne aussi avec les machines
je veux dire que certes il y a toujours le risque possible mais relativement faible d'un cambriolage, en comparaison de quoi j'en ai eu des problèmes avec le système de cryptage de mes disque dur et les blocages pour démarrer sur une clé USB et trucs comme ça
on sait que du côté Windows les machines sont beaucoup plus ouvertes, et pourtant je n'ai pas souvenir d'entendre beaucoup parler d'un besoin de protection des utilisateurs de Windows
le seul point commun où on se retrouve c'est vis-à-vis du Web ou là par contre il y a d'enormes possibilité de se faire pomper
on va peut-être m'expliquer que j'ai complètement tort mais au moment où je vous parle là c'est mon opinion
@raoolito
Je suis du même avis, c’est vrai qu’il y a quand même un mot de passe sur l’ordi, de plus j’ai toujours eu peur d’un bug qui m’empêcherait d’accéder à mon propre ordi ! Par contre c’est vrai qu’un disque externe Time Machine risquerait de dévoiler toutes les données en cas de cambriolage… Du coup je vais peut-être chiffrer mes sauvegardes finalement !
@John McClane
Suffit de brancher le disque interne (ou via target mode du Mac) sur un autre ordi pour avoir accès aux données.
Pour le coup, non, le mot de passe session de l'ordinateur ne protège pas d'un cambriolage.
D'ailleurs, en dehors de brancher le disque dur, on peut déjà accéder aux fichiers directement depuis la partition de restauration du Mac, puisqu'un terminal y est disponible.
Est-ce qu’en cas de Ransomware ?, le chiffrement est une protection supplémentaire
@fredazou
Non, si l’archive chiffrée est ouverte et que le ransomware est actif, alors le risque est majeur de voir le contenu de l’archive cryptolockée.
@andr3
Et dans le cas où le ransomware arrive bien plus tard ?
@fredazou
il n'y a pas d'avant ou après à partir du moment où quand vous allumer votre ordinateur vous accédez à un fichier, le cryptovirus vous le cryptera
Juste un bémol la partie sparse bundle
« N’oubliez pas de décocher la case « Mémoriser le mot de passe dans le trousseau », sinon le mot de passe sera automatiquement renseigné par votre Mac, ce qui réduirait à néant l’intérêt du chiffrement… »
Cela ne réduit pas forcement l’intérêt du chiffrement car si la personne n’a pas le mot de passe de session, le trousseau sera verrouillé, et même en ayant les accès fichier( avec ou sans filevault) il ne pourra ouvrir l’image.
Apres si on balance son mdp session…
FileVault chiffre tout le disque, mais quand il est déchiffré, tout est accessible, ainsi que l'indique l'article. J'utilise donc Boxcryptor, qui est bien intégré au système, pour chiffrer le dossier Documents, qui est synchronisé dans iCloud. Les fichiers inclus dans ce dossier sont chiffrés en local, puis envoyés chiffrés dans iCloud. Tout est transparent et automatique. Il suffit de glisser/déposer un fichier dans le dossier chiffré, et il sera chiffré. Il suffit de le glisser/déposer à l'extérieur du dossier et il sera déchiffré. Il y a une pastille verte (à la façon de Dropbox) pour savoir si un fichier est chiffré ou déchiffré.
@Cyrille50
Merci, ça a l’air très bien Boxcryptor.
Si je chiffre mon volume de données, est-ce que les fichiers de mon dossier Dropbox seront décryptés avant la sauvegarde sur leurs serveurs? Par exemple pour accéder à ma dropbox sur mon iPhone.
@snorky22
Oui, c'est le volume qui est chiffré. Donc à l'ouverture de session, tout est déchiffré et Dropbox fonctionne normalement.
Le 2ème niveau, non évoqué dans l'article, consisterait à chiffrer juste des dossiers sur le volume, y compris Dropbox, à l'aide de Boxcryptor (ou autres). Dans ce cas les fichiers sont chiffrés sur l'ordi avant d'être envoyés à Dropbox. Et il faut le même logiciel de l'autre côté pour rouvrir les fichiers. C'est automatique cela dit.
La question du chiffrement des fichiers est certes vitale, mais je pense qu’il est tout aussi important de s’intéresser au pays dans lequel le serveur est situé ainsi qu’aux lois qui le régissent….ce qui rend dans l’absolu ce chiffrage vain si la Justice du pays où se trouvent les serveurs qui hébergent nos fichiers a les pleins pouvoirs pour exiger le déchiffrement de n’importe lequel d’entre eux, non ?
Si quelqu’un s’y connaît sur le sujet, je suis preneur. Merci !
@cherbourg
Un dossier ou fichier crypté par vous, puis mis sur un Cloud ne pourra pas être lu par la personne qui héberge sur le Cloud tant que vous ne lui donnez pas la clé utilisé pour chiffrer.
Donc pour faire ses archives chez Google sans qu'ils puissent voir quoi que ce soit, le chiffrement par fichiers et dossiers depuis chez vous est au contraire la bonne solution. Mais il faut que ça soit chiffré avant que ça ne passe par internet pour arriver sur le Cloud distant !
+ 1 pour Boxcryptor.
Tout mes dossiers sont sur Dropbox. Tout ce qui est sensible est protégé par Boxcryptor.
Bonjour,
2 questions :
1) je viens d'activer FileVault sur mon MacBook Pro, il m'a demandé mon mot de passe de session pour l'activer, puis il m'a affiché un message précisant qu' « une clé de secours a été générée par mon entreprise, école ou établissement »... Vu que je suis ma propre entreprise, j'ai rien défini. Ou alors il y a longtemps, j'ai bien gardé une copie d'une clé de secours Apple en 2016 (je crois quand j'ai configuré iCloud pour la première fois??). Comment la connaitre et vérifier que celle que j'ai est bien la même.
2) j'ai un disque Time Machine (non chiffré) qui est commun à mon MacBook Pro et mon iMac, que ce passe-t-il si j'active FileVault sur ce disque depuis l'un des 2 ordinateurs et que je le branche sur l'autre ordinateur??
Merci!
@Captain Bumper
Pour ce qui concerne le 2) ... je crois comprendre que vous voulez activer FileVault sur votre disque extérieur TM depuis l'un de vos ordinateur (?) ... or le FileVault ne fonctionne que pour le disque système ( le disque de démarrage ), pour les disque tel que TM, c'est un “simple“ un chiffrement à faire depuis les Préférences Time Machine ... !
Sous BigSur, les images disque avec mot de passe sont au format .dmg, et pas .sparesebundle.
Il me semble qu'il faut dire chiffré, au lieu de crypté.