Fermer le menu
 

APFS : restaurer son Mac à un état antérieur avec un instantané

Stéphane Moussie | | 18:30 |  57

L’une des principales avancées d’APFS par rapport à HFS+, c’est la prise en charge des instantanés. Le nouveau système de fichiers sait capturer l’état du Mac à un instant T, et donne le moyen de revenir à cet état si besoin.

Vous pouvez créer un instantané manuellement en tapant la commande sudo tmutil snapshot dans le Terminal. Et si vous utilisez Time Machine, un instantané de votre système est automatiquement enregistré toutes les heures.

Si votre Mac sous High Sierra et APFS (seuls ceux à SSD sont passés au nouveau système de fichiers pour le moment) déraille à la suite d’une mauvaise manipulation ou de l’installation d’un logiciel malveillant, vous pouvez remonter dans le temps et restaurer un état antérieur, et ce, sans support de sauvegarde externe.

Pour cela, démarrez sur la partition de restauration de macOS (appuyez sur les touches Commande + R lors du démarrage). Choisissez ensuite « Restaurer à partir d’une sauvegarde Time Machine ».

Cliquez sur « Continuer » puis sélectionnez votre disque interne.

Enfin, sélectionnez l’instantané local que vous voulez restaurer.

Et voilà, vous retrouverez votre Mac comme il était il y a quelques heures ou quelques jours.

Cette possibilité ne doit surtout pas vous éviter de réaliser des sauvegardes sur des supports de stockage externe. Si le SSD de votre Mac venait à tomber à panne, vous perdriez tout autrement.

D’autant que les instantanés ne sont pas gardés indéfiniment. Ils sont condensés tous les jours et toutes les semaines, et les plus anciens supprimés si l’espace vient à manquer sur votre disque. Lorsque vous branchez votre disque Time Machine, les instantanés sont transférés vers celui-ci.

Catégories: 

Les derniers dossiers

Ailleurs sur le Web


57 Commentaires Signaler un abus dans les commentaires

avatar IRONMAN65 26/10/2017 - 18:34 via iGeneration pour iOS

Mais pourquoi se faire chier pour un utilisateur lambdas ?!

avatar Pyjamane 26/10/2017 - 19:47

Aucune raison, en effet.

avatar Yoskiz 26/10/2017 - 18:40 via iGeneration pour iOS

Très intéressant tout cela…

Mais que restaure précisément ?
Le système et tous ses fichiers ?
Ou seulement les fichiers de utilisateur ?



avatar r e m y 26/10/2017 - 18:49 via iGeneration pour iOS (edité)

@Yoskiz

C'est la totalité qui est restaurée. On retrouve le Mac dans l'état exact dans lequel il se trouvait au moment de l'instantané choisi. (Les fichiers créés après le moment de l'instantané sont perdus)

avatar Yoskiz 26/10/2017 - 18:51 via iGeneration pour iOS

@r e m y

Ah oui ?

Et bien c’est quand même assez incroyable comme fonctionnalité et j’étais passé totalement à côté…
Ceci est en dit j’ai un fusion drive pour le moment j’en ai pas l’utilité.

avatar r e m y 26/10/2017 - 19:10 via iGeneration pour iOS (edité)

@Yoskiz

C'est la même chose qu'avec TimeMachine. La restauration est juste plus rapide... à fortiori quand on restaure depuis un instantané qui est encore sur le disque dur principal (et pas encore passé sur le disque de sauvegarde TimeMachine)

avatar Yoskiz 26/10/2017 - 19:38 via iGeneration pour iOS

@r e m y

Merci pour tes précisions 👍🏻
Je garde ça en tête au cas où.

avatar C1rc3@0rc 27/10/2017 - 11:00

«Mais que restaure précisément ?»

Comme dit l'article:

«L’une des principales avancées d’APFS par rapport à HFS+, c’est la prise en charge des instantanés. Le nouveau système de fichiers sait capturer l’état du Mac à un instant T, et donne le moyen de revenir à cet état si besoin.

le système enregistre l’intégralité du disque a un instant T et peut ensuite réinstaller cette image qui sera recomposée a partir des sauvegardes précédentes.

Cette fonction existent dans plusieurs gestionnaires de formats de fichiers Linux, mais se fait aussi au niveau des applications et de l'OS. On parle de fonction de versionning...
Et cela existe dans MacOS depuis... Timemachine!!!
Eh oui le venerable Timemachine d'avant High Sierra sais faire la meme chose! (faut juste pas exclure les dossiers systemes dans les prefs TimeMachine...)

«Vous pouvez créer un instantané manuellement en tapant la commande sudo tmutil snapshot dans le Terminal.
Avec Time Machine il suffit de cliquer sur Sauvegarder maintenant dans le menu Timemachine... pas la peine de passer par le Terminal.

«Et si vous utilisez Time Machine, un instantané de votre système est automatiquement enregistré toutes les heures.
Ce que je disais donc: a condition de ne pas avoir exclu les dossiers de l'OS...

«Si votre Mac sous High Sierra et APFS (seuls ceux à SSD sont passés au nouveau système de fichiers pour le moment) déraille à la suite d’une mauvaise manipulation ou de l’installation d’un logiciel malveillant, vous pouvez remonter dans le temps et restaurer un état antérieur, et ce, sans support de sauvegarde externe.»

A noter, que cette fonction ne peut pas protéger des malwares qui chiffrent les fichiers, car ces "instantanés" sont aussi touchés. De la meme maniere que tout autres malware qui a un acces "administrateur".... Dans le cas, seuls les systemes d'archivage et de backup sont efficaces (Carbon Copy Cloner, Disk Drill, SuperDuper!, etc

Bref, pour la "killer" fonction qui justifie l'installation de High Sierra, c'est pas encore ça...

avatar BeePotato 27/10/2017 - 12:52

@ C1rc3@0rc : « Cette fonction existent dans plusieurs gestionnaires de formats de fichiers Linux, mais se fait aussi au niveau des applications et de l'OS. On parle de fonction de versionning... »

Sur Mac OS aussi, d’ailleurs.

« Et cela existe dans MacOS depuis... Timemachine!!!
Eh oui le venerable Timemachine d'avant High Sierra sais faire la meme chose! (faut juste pas exclure les dossiers systemes dans les prefs TimeMachine...) »

La différence entre les deux se situe (en théorie) au niveau du temps de création d’un instantané, ainsi qu’au niveau de l’espace disque utilisé.

« A noter, que cette fonction ne peut pas protéger des malwares qui chiffrent les fichiers, car ces "instantanés" sont aussi touchés. »

Cela dépend de la façon dont fonctionne le malware chiffreur.
Avec un instantané Time Machine classique, oui, les fichiers sont accessibles de la même façon que les autres fichiers présents sur le disque et sont donc tout autant susceptibles de se retrouver chiffrés.
Avec un snapshot APFS, en revanche, les fichiers du snapshot ne sont pas directement accessibles, et donc si le malware ne travaille qu’au niveau des fichiers et non à un niveau plus bas (chiffrement de tous les blocs du disque), alors le contenu du snapshot ne seront pas affectés.

« De la meme maniere que tout autres malware qui a un acces "administrateur".... »

Ça n’a pas directement à voir avec l’accès administrateur.

« Dans le cas, seuls les systemes d'archivage et de backup sont efficaces (Carbon Copy Cloner, Disk Drill, SuperDuper!, etc »

La sauvegarde est en effet la meilleure protection dans ce cas. À condition que le disque de sauvegarde n’ait pas été connecté au moment où le malware était actif, bien sûr.

« Bref, pour la "killer" fonction qui justifie l'installation de High Sierra, c'est pas encore ça... »

Ça, chacun en jugera selon ses besoins.

avatar Bigdidou 29/10/2017 - 17:33 via iGeneration pour iOS (edité)

@BeePotato

« Avec un instantané Time Machine classique, oui, les fichiers sont accessibles de la même façon que les autres fichiers présents sur le disque et sont donc tout autant susceptibles de se retrouver chiffrés.
Avec un snapshot APFS, en revanche, les fichiers du snapshot ne sont pas directement accessibles, et donc si le malware ne travaille qu’au niveau des fichiers et non à un niveau plus bas (chiffrement de tous les blocs du disque), alors le contenu du snapshot ne seront pas affectés. »

C’est intéressant. Instinctivement, j’aurais pensé exactement l’inverse.
TimeMachine sauvegarde sur un autre volume à la fois l’état du disque à un instant t et physiquement les fichiers s’ils sont modifiés à cet instant t par rapport au temps t-1.
Donc si un malware vient à chiffrer mes fichiers à l’instant t, je les retrouve dans leur état antérieur, non chiffré à t-1 de TimeMachine.
Par contre, si j’ai bien compris (ce qui ne parait pas le cas), avec le snapshot d’apfs, seul l’état, c’est à dire l’organisation de mon disque est photographié.
Si mes fichiers sont cryptés, comment ce système fait pour retrouver leur version antérieure non cryptée qui a, à priori, été détruite ?
Un truc m’échappe…

avatar r e m y 30/10/2017 - 09:46 via iGeneration pour iOS (edité)

@Bigdidou

Le malware va chiffrer tous les fichiers présents sur le disque. Donc si c'est le disque TimeMachine, que ce soient les fichiers de l'instant t (dans le dossier nommé t) ou les fichiers de l'instant t-1 (dans le dossier nommé t-1), ils seront chiffrés et reenregistrés dans leur forme chiffrée, à la place du fichier d'origine.
Sur un disque APFS, si le malware chiffre le fichier lambda.txt par exemple, le fichier chiffré sera un nouvel etat du fichier. Le systeme APFS, tout en conservant le fichier dans sa forme initiale, enregistrera les différences (l'état chiffré) à part du fichier initial.

avatar BeePotato 30/10/2017 - 10:53

@ Bigdidou : « TimeMachine sauvegarde sur un autre volume à la fois l’état du disque à un instant t et physiquement les fichiers s’ils sont modifiés à cet instant t par rapport au temps t-1.
Donc si un malware vient à chiffrer mes fichiers à l’instant t, je les retrouve dans leur état antérieur, non chiffré à t-1 de TimeMachine. »

Attention : on parlait là des instantanés locaux, enregistrés directement sur le volume à sauvegarder — et non des copies bien à l’abri sur le disque de sauvegarde (enfin, à l’abri tant qu’on ne connecte pas ce disque à l’ordinateur).
Ces instantanés, en version Time Machine, sont juste constitués de fichiers stockés sur le volume comme les autres, et donc tout aussi facilement accessibles à un malware.

« Par contre, si j’ai bien compris (ce qui ne parait pas le cas), avec le snapshot d’apfs, seul l’état, c’est à dire l’organisation de mon disque est photographié.
Si mes fichiers sont cryptés, comment ce système fait pour retrouver leur version antérieure non cryptée qui a, à priori, été détruite ? »

Un snapshot « stocke » tout : le catalogue (« l’état » du disque) et le contenu des fichiers — et heureusement, sinon comment pourrait-on revenir en arrière ?
Sauf que pour faire ça, le contenu des fichiers n’est pas copié, il est juste protégé : il est indiqué qu’on ne doit pas écrire de nouvelles données par-dessus, et toute modification d’un fichier est écrite ailleurs sur le disque. Pour éviter de gaspiller de la place, seule la partie modifiée d’un fichier est écrite ailleurs, la partie commune avec l’état du fichier lors du snapshot (s’il y en a une) n’étant pas dupliquée.
C’est ce qui explique qu’au début, un snapshot ne fait pas perdre d’espace disque — ce n’est qu’au fur et à mesure que l’état des données dérive de plus en plus par rapport à ce qu’il était lors du snapshot que ça consomme de l’espace disque (tout ce qui est marqué comme bloqué en écriture parce que faisant partie du snapshot, mais qui ne fait plus partie de l’état actuel des fichiers).
Ce fonctionnement explique aussi pourquoi un snapshot est très rapide à créer.

Et donc, pour en revenir au cas du malware : si celui-ci passe par le système de fichiers pour accéder aux fichiers et en chiffrer le contenu, alors il ne pourra pas toucher au contenu des snapshots, qui n’est pas accessible sous forme de fichiers. La version chiffrée des fichiers sera écrite ailleurs sur le disque que sur les blocs qui contiennent les données des snapshots.
C’est dans ce cas que ce système protège un peu plus que les instantanés locaux qu’on avait jusque là.
Mais dans ce cas uniquement : si on est face à un malware plus évolué, qui attaque à un niveau plus bas et chiffre directement les blocs du disque sans passer par le système de fichiers, là les snapshots ne sont bien sûr pas plus à l’abri que le reste du disque.

avatar Madalvée 26/10/2017 - 18:51 (edité)

Vivement que l'APFS arrive dans les volumes Time Machine, on aura plus de capacité.

avatar C1rc3@0rc 29/10/2017 - 14:57 (edité)

Non,
Il n'y a pas de miracle, pour restaurer une donnée, il faut qu'elle soit dupliquée en integralité. Le principe des snapshot c'est pas de la magie, il faut bien que l'information soit intégralement présente quelque part... Donc, non APFS ne va pas faire gagner de la place de maniere extraordinaire, ni de la vitesse. Simplement, les operations de backup differentiels se font au plus bas niveau, donc le FS peut jouer sur la plus petite unités et faire sa cuisine interne pour optimiser les choses. Il y a moins de gaspillage d'espace et plus de rapidité qu'en passant par une application.

Ceci dit, Apple a doté la gestion de fichiers avant APFS de divers outils et fonctions qui font deja en grande partie ce qu'est censé faire APFS. C'etait juste a un niveau d'roganisation different.

Au final, le seul vrai avantage de APFS, dans ce cadre d'un PC individuel ou un iPhone, c'est que ce systeme est conçu exclusivement pour les SSD, et donc optimiser les données en fonction du SSD. C'est un avantage, mais c'est aussi un invonvenient...

avatar BeePotato 30/10/2017 - 10:11

@ C1rc3@0rc : « Il n'y a pas de miracle, pour restaurer une donnée, il faut qu'elle soit dupliquée en integralité. Le principe des snapshot c'est pas de la magie, il faut bien que l'information soit intégralement présente quelque part... »

Il n’y a certes pas de magie, mais on peut tout de même imaginer une implémentation de Time Machine qui, pour sauvegarder le contenu d’un disque en APFS vers un disque de sauvegarde lui-même en APFS, utilise — quand c’est possible — le système de snapshots et copie donc, pour les fichiers modifiés, quelque chose de potentiellement plus petit que l’intégralité de chaque fichier.

Cela dit, je ne suis pas sûr qu’on doive vraiment espérer ça.
D’une part, parce que ça fait un système plus complexe. Il n’y aura pas forcément toujours, sur le disque à sauvegarder, un snapshot correspondant au dernier état sur le disque de sauvegarde, et dans ce cas il faut repasser au mode Time Machine classique, aboutissant à un mélange des genres sur le disque de sauvegarde.

D’autre part, il est intéressant de conserver un disque de sauvegarde lisible le plus facilement possible, histoire de pouvoir accéder aux données depuis n’importe quelle machine en cas de coup dur. Ça implique donc, pour un bon moment encore, un disque en HFS+.

Ouais, du coup, c’est en fait vrai : il n’y a pas de miracle. :-)

avatar r e m y 30/10/2017 - 11:25 via iGeneration pour iOS

@BeePotato

Il ne faut pas non plus trop attendre du systeme APFS pour eviter de dupliquer des fichiers.
Le systeme consistant à ne copier que les modifications d'un fichier, et pas le fichier dans sa totalité, a vite ses limites quand on travaille sur des fichiers utilisant des formats compressés.

Un fichier jpeg par exemple, dès que vous le modifiez même très légèrement, il n'y a plus un bit conservé entre le fichier original et le fichier modifié. La nouvelle version du fichier est donc aussi volumineuse que la version d'origine.

avatar BeePotato 30/10/2017 - 14:23

@ r e m y : « Il ne faut pas non plus trop attendre du systeme APFS pour eviter de dupliquer des fichiers. Le systeme consistant à ne copier que les modifications d'un fichier, et pas le fichier dans sa totalité, a vite ses limites quand on travaille sur des fichiers utilisant des formats compressés. »

Oui, je le sais bien. Et ça ne concerne d’ailleurs pas que les formats compressés : même pour du simple texte ou autre format bureautique, on a tendance à réécrire l’intégralité du fichier lors de l’enregistrement, par facilité.

Mais il existe tout de même quelques cas de gros fichiers susceptibles de n’être modifiés que localement, et que les applications correspondantes manipulent correctement en ne réécrivant pas plus que le nécessaire. Pour ceux-là, cette approche servira bien, en particulier pour en faire des clones dans le cadre de la fonction de gestion de versions intégrée à Mac OS.

avatar Toinewh 26/10/2017 - 18:54 via iGeneration pour iOS

Mais il faut activer Time Machine ou pas ?

avatar tbr 26/10/2017 - 18:55 via iGeneration pour iOS

Et c’est là que je sais pourquoi je préfère Apple.

avatar DarthThauron 26/10/2017 - 23:48 via iGeneration pour iOS

@tbr

Cela existe sur d'autres format de disque dur comme ZFS ou LVM sous GNU Linux...

avatar oomu 27/10/2017 - 01:51

DarkThauron : aucune distribution Linux n'expose ces fonctionnalités de LVM au sein même du firmware ou partition de secours.

Vous n'avez aucune distribution linux, pas même Ubuntu, qui permet de voir des snapshots AUTOMATIQUES (pré-configurés et maintenus par SystemD, Cron etc) en cas de crash (de Gnome, de Gdm, de X, de wayland, du kernel installé etc) via un outil de secours (depuis grub ou autre) et de simplement cliquer pour vite revenir à un état stable.

Vous me direz qu'il suffit de le faire, que ça se bricole, qu'il y a toutes les briques pour le faire avec ZFS, etc, Il suffit de.

Ben Apple l'a fait et le fournit de base dans un système utilisable de base, après avoir déballé l'ordinateur. Clé en MAIN.

Cette valeur de la "clé en main", c'est justement pourquoi on paie Apple. C'est im-por-tant.

Je dirais même PIRE: Alors que Windows est technologiquement relativement primitif sur ce point (il tente de backuper en long et en large à coup de copie de fichier dans des dossiers, un état stable de windows), il fournit une fonction VITALE qu'aucune distribution Linux ne propose...

En long et en large: se gargariser qu'on a une techno SOUS-exploitée depuis des années, n'est pas très constructif.

LVM ne concerne quasiment que les serveurs. Aucun utilitaire graphique ne permet facilement d'exploiter ses excitantes fonctionnalités.

ZFS est pratiquement pas exploité dans le monde Linux (si ce n'est 3 geeks qui se sont fait leur raid rigolo et utilisent parfois les fonctionnalités), et sous *bsd ne concerne encore une fois que des usages pros, de serveurs, et rien n'a été fait pour le mettre à disposition, fonctionnement (en faire un truc utile!), au grand public.

Je sais donc au final, pourquoi je préfère Apple. Parce qu'elle fait ce travail vers le grand public, les gens !

(et je n'oublierai jamais comment le projet Tracker poussé par une poignée de personne a été méprisé par les communautés et éditeurs Linux, et que soudainement Apple a débarqué avec Spotlight et l'a poussé vitesse Grand V et en a fait un truc que tout le monde utilise maintenant sur mac sans se poser de question... tout le monde).

-
je conseille de voir la future fonction "ligne temporelle" de Windows 10. Qu'importe la techno en dessous, y a un vrai travail d'apporter quelque chose de FONCTIONNEL et d'UTILISABLE.

Alors oui... Linux a de la techno puissante depuis la nuit des temps. et ça fait une belle jambe à des millards de gens...

ha, et pour taper sur quelqu'un d'autre que Linux (que j'adore), macOs a eu Grand Central, très bien, mais personne n'en fait actuellement quelque chose d'excitant. Doit y a voir que Final Cut en fait, comme d'hab...

La techno seule n'est pas suffisante. Nécessaire mais pas suffisante. Ce n'est pas assez. Il faut aussi continuer le travail pour la rendre exploitable et utile : l'exprimer.

avatar PiRMeZuR 27/10/2017 - 03:12 via iGeneration pour iOS

@tbr

C’est pourtant une fonctionnalité similaire aux points de restauration qui existent depuis des années sur Windows.

avatar CorbeilleNews 27/10/2017 - 09:54

Encore un fanboy aveuglé qui a oublié de regarder autour de lui que le monde tournait, malheureusement à sa décharge il est loin d'être le seul. Pour info cela existe même sur les machines virtuelles (en plus de Linux et Windows)

Mac OSX : Le système le plus avancé au monde j'avais lu cela quelque part il y a bien des années ... Enfin pas sur tous les points bien sûr

avatar joelcro 26/10/2017 - 19:11 via iGeneration pour iOS

Du coup, les variations importantes d’espace libre sur le disque c’est du aux snapshot?

avatar killerraoul 26/10/2017 - 19:17

On dirait bien

Pages