Apple Configurator sait restaurer le programme interne du Mac Pro

Anthony Nelzin-Santos |

Apple Configurator, cette petite application qui facilite le déploiement des appareils dans les entreprises et les écoles, sait désormais restaurer le programme interne du Mac Pro 2019. La version 2.12 ajoute aussi des permissions relatives à l’accès aux sites dotés d’un certificat TLS 1.0 et 1.1, ainsi que des options de configuration pour les VPN Cisco, Juniper, Pulse, F5, SonicWall, Aruba, et CheckPoint.

Lors d’une panne de courant pendant une mise à jour de macOS, ou dans d’autres circonstances exceptionnelles, le programme interne des machines dotées d’une puce T2 peut être corrompu. Apple Configurator permet de restaurer ce « BridgeOS », selon une procédure similaire à la restauration d’un iPhone depuis le mode DFU, décrite dans une fiche technique sur le site d’Apple.

avatar jcp25 | 

Du lien Apple :
.... toutes les données de n’importe quel volume SSD sont alors irrécupérables....
---
Ce n'est pas très français ! Et ne veut pas dire grand chose !
Quels SSDs ? Internes, Externes, en USB, Thunderbolt, non chiffrés...
On voit bien qu'Apple aujourd'hui se moque du marché entreprise et pour le pekin moyen avec ce genre d'indication....

avatar kiddsoso | 

@jcp25

Comme tu as précisé c’est sur N’IMPORTE QUEL VOLUME SSD

avatar jcp25 | 

@kiddsoso

Même un SSD externe non chiffré en Thunderbolt ou USB ?

avatar jcp25 | 

@jcp25

Je parle d'un SSD externe de data qui monte sur n'importe quelle machine.
Donc en le retirant avant la restauration de la T2

avatar byte_order | 

@jcp25

A priori, les clés de chiffrement enclavées dans la puce T2 ne sont pas utilisées pour les volumes sur support *externes*.

Par contre, elles le sont sur le SSD interne, et donc une restauration du bridgeOS de la puce T2 rend le contenu des volumes du SSD interne indéchiffrable. Il faut donc disposer d'une sauvegarde de ces données au préalable.
Mais comme en général quand on doit restaurer bridgeOS on a déjà perdu le contrôle de la machine, la sauvegarde, à part si c'est automatiquement fait, ben on peut plus la faire.

avatar jcp25 | 

@byte_order

C'est bien ce que j'avais en tête.
Je vais regarder si on peu passer du "à priori" à quelque chose de plus sûr !
Si quelqu'un a une idée ?
Car si il y a un risque même minime, ce serait très grave et carrément merdique !

avatar kiddsoso | 

@jcp25

J’en sais rien mais quand je lis n’importe quel SSD, je comprends n’importe quel SSD 🤷‍♂️

avatar jcp25 | 

@kiddsoso

Oui, mais comme le disait byte_order :
"A priori, les clés de chiffrement enclavées dans la puce T2 ne sont pas utilisées pour les volumes sur support externes."
Et dans le cas d'un SSD non chiffré ?
Dans la plupart des utilisations entreprise les stockages sur postes fixes ne sont pas chiffrés. La sécurité se fait autrement.

avatar flux_capacitor | 

@jcp25

La restauration du programme interne de la puce T2 implique l'effacement du SSD interne (ou du couple de barrettes SSD dans le cas de l'iMac Pro) par la réinitialisation et la mise à jour de la machine en configuration usine, et n'a rien à voir avec les volumes externes. Mais alors rien du tout.

avatar jcp25 | 

@flux_capacitor

OK Merci.
Cela me semblait le plus logique... Mais il vaut mieux deux avis !

avatar Mrleblanc101 | 

@jcp25

Sur le SSD qui contient la T2 🤦‍♂️ Sur le Mac Pro, la puce T2 est greffée au SSD

avatar jcp25 | 

@Mrleblanc101

Merci et bonne journée.

avatar Anthony Nelzin-Santos | 

@Mrleblanc101 « Sur le Mac Pro, la puce T2 est greffée au SSD » : n’importe quoi. La puce T2, sur le Mac Pro comme les autres machines, est sur la carte mère. Le SSD est _controlé_ par la puce T2, comme d’ailleurs la plupart des composants matériels maintenant. Plus d’infos : https://www.macg.co/mac/2018/01/test-de-limac-pro-2017-tout-ce-que-vous-...

avatar Mrleblanc101 | 

@Anthony

Non la puce T2 sur la carte d'extension qui contient le SSD, c'est pour cette raison qu'il est impossible de démarrer le Mac Pro sans le SSD officiel.

avatar byte_order | 

@Mrleblanc101

Physiquement, non, la puce T2 n'est pas sur les barrettes abusivement appelées "SSD".
Mais au niveau logique, la puce T2 étant le contrôlleur desdites barrettes, sur laquelles le contenu est chiffré par la puce, cela lie de facto l'une et l'autre.

Un peu comme si votre disque dur classique était en fait lisible que par votre CPU, aucun autre. 2 composants distincts physiquement, mais appairés de manière exclusive au niveau logique.

avatar Mrleblanc101 | 

@Anthony

"As for the built-in SSD, iFixit found it is removable but as the T2 is integrated, it won’t be user-replaceable."

avatar Anthony Nelzin-Santos | 

@Mrlebanc101 : il se trouve que j'ai testé le Mac Pro ici-même : https://www.macg.co/tags/test-mac-pro-2019. Que j'ai parlé de la question du SSD : https://www.macg.co/mac/2019/12/mac-pro-un-ssd-amovible-en-appelant-apple-110583. Que j'ai démonté le Mac Pro : https://www.macg.co/mac/2019/12/test-du-mac-pro-2019-cest-dans-la-boite-111025. Et donc que je sais exactement où se trouve la puce T2, dans le coin inférieur gauche du recto de la carte-mère. Vous lisez mal iFixit, qui montre d’ailleurs très clairement la puce T2 sur les images de son démontage.

Pour répondre à la question originale : la restauration du programme interne emporte les données stockées sur le SSD contrôlé par la puce T2, en toute logique. Apple utilise probablement le pluriel parce que sur certaines configurations du Mac Pro, le SSD est en fait une paire de SSD.

avatar byte_order | 

@anthony
> Pour répondre à la question originale : la restauration du programme interne emporte
> les données stockées sur le SSD contrôlé par la puce T2, en toute logique.

Euh, non, je vois pas en quoi c'est "logique".
Est-ce qu'une maj d'un BIOS efface les données du SDD de boot de la machine ?
Non. Même d'un serveur ? Non plus.

Ce n'est pas logique, mais c'est la conséquence du choix d'Apple de ne permettre la maj du firmware T2 que depuis la mémoire flash qui lui est rattaché et dont elle fait, outre d'autre chose, office de contrôleur SSD.

D'ailleurs, appeler cela un "SSD" est abusif. C'est le couple T2 + mémoire flash qui constitue un SSD, pas la mémoire flash toute seule.

avatar Anthony Nelzin-Santos | 

@byte_order : « c'est la conséquence du choix d'Apple » : nous en venons donc à la logique. Pour le reste, j'ai longuement expliqué les subtilités de Secure Boot et du fonctionnement de la puce T2, voir les liens plus haut.

CONNEXION UTILISATEUR