Pourquoi et comment chiffrer nativement un SSD externe avec APFS
Les fabricants de SSD externes mettent parfois en avant une fonction intéressante pour les plus paranoïaques d'entre nous : la possibilité de chiffrer le contenu du SSD. Mais saviez-vous que macOS intègre une solution native pour chiffrer un volume1, même si elle possède quelques (petits) inconvénients ? Voici tout ce qu’il faut savoir pour chiffrer un SSD en utilisant la solution fournie par Apple.
Inconvénients et avantages de la solution d’Apple
Le premier souci, et pas des moindres, vient de la compatibilité. Comme le chiffrement passe par le système de fichiers APFS, seuls les Mac qui le prennent en charge, c’est-à-dire à partir de macOS High Sierra2, les iPad et les iPhone peuvent accéder aux données. Même avec MacDrive, vous ne pourrez pas lire un périphérique chiffré sous Windows, et les différents appareils auxquels vous pourriez connecter le SSD (téléviseur, NAS, etc.) seront eux aussi incapables de voir les données.
Le second défaut vient des performances. En effet, le chiffrement en APFS demande un CPU assez rapide pour effectuer les calculs nécessaires. Sur un Mac mini 2018 avec un SSD externe Crucial X9 Pro, le débit en lecture passe d’environ 1 Go/s à un peu moins de 800 Mo/s, et de 975 Mo/s à 775 Mo/s en écriture. En parallèle, l'usage CPU est d'environ 15 %3 pendant les benchmarks. Sur un Mac mini M1, l'usage CPU est à peu près de 10 % avec une perte de débits elle aussi plus faible : de 940 à 840 Mo/s en lecture environ et de 890 à 815 Mo/s en écriture.
Je suis curieux de savoir pourquoi la sensibilité à la casse entraîne plus de problèmes ?
Merci pour l’article, j’étais en train de cogiter à ça pas plus tard qu’il y a une heure 😄.
@nova313
Je dirais intuitivement que l’utilisation d’un volume sensible à la casse pose problème parce que l’immense majorité des environnements et outils ne sont pas sensibles à la casse.
Résultat ça peut poser des problèmes d’interoperabilité si on connecte son disque à d’autre postes que celui d’origine.
@nova313
Il me semble que cela vient d’un problème lié aux dossiers qui peuvent porter le même nom mais à cause de majuscules ça pose problème.
Mais pas sûr du tout.
J’ai essayé, j’ai pas aimé. Les performances sur mac c’est déjà pas ça, mais sur IOS, c’est une catastrophe 40mo/s pour du SSD, non merci (testé avec un T7 et un X9).
Malheureusement, il n'y a pas que sur iPhone 15 que c'est limité. Sur mon iPadPro 4em Gen, dès que le disque est crypté (Software), les performances s'effondrent à 40mo/s (400mo/s normalement).
« il n’est pas possible d’activer le chiffrement APFS sans perdre de données »
Ben si. Si le SSD est vide au départ…
😁
Plus sérieusement, c’est comme ça que je protège mes SSD de sauvegarde.
Article intéressant. Quid d'un cryptage partiel ? Par exemple, faire 2 partitions, une qui ne risque rien (pour des vidéos par exemple) en FAT32 et une autre cryptée pour les fichiers sensibles. Ça fonctionnerait ?
@nletullier
Bonne question ! Mais dans ce cas autant peut être opter pour du ExFat qui commence à être reconnu partout en 2023
@nletullier
Oui ca marche
Ps: utilisez l'exfat pour les films
C’est surtout que “crypter” n’a accru un sens.
Par contre oui, on peut tout à fait créer plusieurs volumes APFS sur le même disque et n’en chiffrer que certains.
@nmo
"C’est surtout que “crypter” n’a accru un sens."
Bien sûr que si ça a accru un sens, et plusieurs fois même !
En 2024, est-ce qu’il y a encore des disques externes non cryptés dans la nature ?
@Mac1978
Viens voir la poubelle « déchets elec » de mon carrouf et on en reparle ! Du WD 2.5” 1To en pagaille… avec toutes les données dessus.
(oui, je pioche plus dedans que j’en met)
Et…
Accessoirement…
on est encore en 2023.
@purepix
Il aura peut-être raison dans 3 jours 😺
@purepix
Désolée, je pensais que tous·tes les intervenants·es sur ce forum avaient un minimum d’intelligence. Je me suis trompée.
Si je parle de 2024, c’est parce qu’à 3 jours du Nouvel An, c’est vers l’an prochain que sont tournés·es celles et ceux qui ont un brin de cerveau.
Accessoirement, en haut gauche de mon iPad, il y a la date, et accessoirement aussi, vu que je sais écrire, je devrais savoir lire aussi.
Bah dès lors qu’on veut s’en servir et accéder aux données qui sont dessus, on évite de les crypter.
Soit on laisse les données en clair, soit on les chiffre. En aucun cas on ne les crypte.
Il y’a aussi cryptomator qui est gratuit et qui fonctionne aussi bien sur ordi Windows que ordi Mac
Et ça fonctionne aussi parfaitement sur iPhone 15 avec disque branché en USBC : on ouvre le coffre une première fois avec le mdp puis faceid et intégration dans Fichiers de l’iPhone
C’est donc une solution multiplateformes et qui permet aussi d’avoir des fichiers en clair sur le disque si on le souhaite ou alors plusieurs coffres avec des mdp différents si on veut aussi.
Il me semble que les disques Time Machine sont aussi cryptés, il y a un mot de passe dessus?
https://chiffrer.info/
Sinon, oui Time Machine permet de chiffrer la sauvegarde, mais ce n'est pas activé par défaut. C'est simplement un chiffrement du volume APFS ou HFS+.
Donc le principal avantage du cryptage, c'est la sécurisation des données.... Je le dis car vous ne le dites pas.
Idem https://chiffrer.info/
@nmo
Merci !
@raf30
Merci ! J’allais le dire, mais votre le lien le fait bien mieux ! 🤓
On fait un abus de langage en parlant de crypter un fichier. On chiffre nos fichiers avec des clefs de … chiffrement, que l’on déchiffre ensuite. Décrypter un fichier revient à tenter de le déchiffrer sans la clef de chiffrement. (Par force broute par ex).
Quelle est la différence entre ce "chiffrement APFS" qui passe par Utilitaire de disque et la commande "Chiffrer" proposée dans le menu contextuel de macOS quand on sélectionne un disque externe monté sur le Bureau ? Si j'ai bien compris, cette dernière exploite la même technologie FileVault 2 que le chiffrement du disque de démarrage du Mac. Je l'ai souvent utilisée, et elle n'impose pas d'effacement du disque pour opérer. Elle n'est toutefois pas proposée quand on sélectionne une carte mémoire type SD.