macOS Catalina permet de bloquer le mécanisme de réinitialisation du mot de passe firmware

Stéphane Moussie |

macOS Catalina contient une nouvelle option pour bétonner la défense de votre Mac. Mais avant de la détailler, un rappel s'impose. Pour sécuriser votre Mac, vous avez défini un mot de passe pour votre compte utilisateur (sinon, faites-le tout de suite) et peut-être activé le chiffrement FileVault. Pour renforcer la protection, vous avez la possibilité de définir en plus un mot de passe de programme interne (on parle aussi de firmware ou EFI).

Il s'agit d'un rempart supplémentaire contre les attaques externes. Si vous en avez défini un, le mot de passe firmware sera requis quand quelqu'un voudra démarrer votre Mac à partir d'un disque autre que le disque de démarrage que vous avez choisi. Ce mot de passe sera aussi indispensable pour démarrer sur la partition de récupération.

macOS Catalina ajoute une option pour cimenter encore plus le démarrage. Il est maintenant possible de bloquer le mécanisme de réinitialisation du mot de passe firmware, comme l'indique un ingénieur d'Apple sur Twitter. La commande à taper dans le Terminal est la suivante : firmwarepasswd -disable-reset-capability (pour toutes les options, tapez firmwarepasswd).

Il faut savoir qu'il existe en effet une méthode pour réinitialiser ce mot de passe, une méthode employée par le service après vente d'Apple afin d'aider les clients qui ont oublié leur mot de passe.

Si cela vous arrive, le technicien Apple vous demandera d'appuyer simultanément sur les touches Maj + Contrôle + Option + Commande + S au démarrage afin de faire apparaître une suite de caractères à l'écran. Vous devrez ensuite lui communiquer cette suite de caractères ainsi que le numéro de série de votre Mac afin qu'il génère un fichier SCBO servant de clé pour réinitialiser le mot de passe firmware. Ce fichier devra donc être chargé sur une clé USB ou un disque dur externe sur lequel vous démarrerez.

Problème : cette méthode normalement réservée au service client d'Apple est exploitable par d'autres. Le chercheur en sécurité Pedro Vilaça avait détaillé par le menu en 2016 comment créer soi-même son propre fichier SCBO et ainsi réinitialiser seul son mot de passe firmware.

Cet exercice de rétro-ingénierie peut servir de mode d'emploi pour les voleurs voulant contourner ce mot de passe, mais le chercheur (qui a été embauché par Apple depuis) s'était permis de le publier car des piratages circulaient déjà à l'époque. Par exemple, un site web promettait de fournir un fichier SCBO fonctionnel pour le Mac de son choix contre 100 $. Ce fichier SCBO pirate était peut-être généré en trompant le service client d'Apple, à l'aide d'une taupe au sein du support ou bien encore grâce à une faille connue par seulement quelques initiés.

Quoi qu'il en soit, macOS Catalina permet d'empêcher cette option de réinitialisation du mot de passe firmware qui peut être exploitée par un malandrin. Mais attention, si vous bloquez cette option, le service client d'Apple ne pourra plus vous venir en aide si vous oubliez votre mot de passe. À vous de voir de quel côté vous voulez faire pencher la balance : plus de sécurité ou plus de flexibilité ?

avatar Zegorax | 

À l'époque il était possible de ré-initialiser ce mot de passe en coupant l'alimentation de la carte mère (en enlevant la pile et la batterie) Est-ce que ce moyen est toujours viable ? (En éliminant le fait que la batterie est soudée à la carte mère, par exemple en admettant que la batterie et la pile sont tous deux complètement à sec)

avatar kelkun | 

@Zegorax

Hello, je suppose que tu confonds avec autre chose (la réinitialisation du SMC par exemple). Cette procédure existe toujours et a juste un peu changé depuis que les batteries ne sont plus amovibles.

avatar Zegorax | 

@kelkun

Non je parle bien de la ré-initialization du password firmware. Il me semble que dès qu'il n'est plus alimenté il perd sa configuration à cause de la ROM, mais je ne suis pas totalement sûr

avatar Vaudan | 

@Zegorax

Je vois ce dont tu parles je sais que cela se faisait sur Windows en tout cas pour l’avoir déjà experimenté

avatar byte_order | 

@Zegorax

La configuration EFI est conservée dans une puce NVRAM, qui garde les données même en n'étant pas alimenté pendant des semaines, probablement plusieurs années. Un peu comme une clé USB que vous retrouvez des années plus tard et découvrez que son contenu est toujours lisible...

avatar flux_capacitor | 

Exact il suffisait de changer la configuration matérielle en retirant par exemple temporairement une barrette de RAM puis de zapper la PRAM. Mais cette astuce ne fonctionne plus depuis un bail (même sur les rares Mac où on peut encore ajouter et retirer des barrettes de mémoire vive…)

avatar iNitZer0 | 

Quand je pense que j’ai eu le problème sur un iMac avec Mojave, il y a 2 mois.. et je peux assurer que le support ne m’a jamais parlé de cette série de touche à faire pour générer un code de récupération... aux fraises le support sur Paris ?

avatar User5678 | 

Ils ont vraiment fumé la moquette avec la sécurité. MacOS est devenu hostile. Ces gens ne vivent pas sur la même planète que les utilisateurs normaux...

avatar MacWare | 

@User5678

Justement non, cette option permet de sécuriser ça machine en cas de vol !
Faut savoir qu’il y a des domaines professionnels qui ont des données très confidentielles sur leurs machines.
C’est un moyen de garantir leur confidentialité.

avatar raoolito | 

@MacWare

+1
D'ailleurs il y a un truc assez amusant en fait. Il est possible de désactiver le démarrage sur disque externe mais n'importe qui peut aller sur le firmware et désactiver cette option sous réserve de connaître au moins un des mots de passe du Mac

avatar jcp25 | 

@MacWare

Justement non, cette option permet de sécuriser ça machine en cas de vol !
Faut savoir qu’il y a des domaines professionnels qui ont des données très confidentielles sur leurs machines.
C’est un moyen de garantir leur confidentialité.
-----
Pas vraiment !
Les données "très confidentielles" sont stockées sur des serveurs.
Quand elles doivent être présentes sur un ordinateur, c'est dans des containers chiffrés avec des logiciels agréés.
Et de pu s quelques années les ordinateurs en question doivent avoir leurs "stockage" amovible car il est interdit d'envoyer en maintenance le stockage. Donc exit Apple.
De plus, aucun service gouvernemental ayant à traiter des données sensibles n'utilise de matériel Apple. Ni ordinateurs, ni smartphones. Trop de risque sur ces systèmes fermés.
Ils utilisent du Windows, Unix ou Android avec des surcouches validées par les services ad-hoc.
Même aux US ou Clinton avait voulu imposer des Macs et de l'Apple, cela n'avait pas duré longtemps !

Et verrouiller à ce point sa machine est plus un risque (oubli autre chose) qu'un avantage.
En plus, soyons sérieux, il suffit d'un trombone pour trouver le mot de passe !
Deux types te tombent dessus pour te voler ton Ordi, ils te mettent un trombone dans l'œil et tu as le choix : le donner ou être aveugle !
C'est pour cela que les ordis n'ont presque jamais de données sensibles.

avatar ckermo80Dqy | 

@jcp25

Un trombone dans l’œil ? Tu devrais te coucher plus tôt au lieu de regarder des séries...

avatar jcp25 | 

@ckermo80Dqy

Un trombone dans l’œil ? Tu devrais te coucher plus tôt au lieu de regarder des séries...
---
Pas vraiment !
Tu devrais surtout ne pas parler de ce que tu ne connais pas.
Trombone = exemple
Comme pour un code de CB personne ne va risquer sa santé pour un mot de passe.
Et c'est parce qu'il n'y a jamais d'infos sensibles dans ces machines que cela marche.
Aucun risque pour les données-> elles n'y sont pas
Aucun risque pour le detenteur-> pas de données dans l'ordi et les "voleurs" le savent.
Les seuls vols de données sensibles que j'ai vu ont toujours été en interne ou un collaborateur.trice avait eu accès à des mots de passe mal protégés et ensuite....
Un oubli-> pas de présence humaine 24/24 7/7 et pas de sécurité humaine renforcée. Pas efficace à 100% mais complique le vol et les risques. Il faut que le jeu en vaille la chandelle.

avatar Depret Lucas | 

@jcp25

Windows, android... le pire truc pour tes données...

avatar jcp25 | 

@Depret Lucas

Windows, android... le pire truc pour tes données...
---
Pour mes données peut être mais pour des données "sensibles" non.
Comme je disais, il y a toujours une surcouche sur ces OS.
Quand tu dois travailler sur des données "sensibles" qu'elles soient civiles ou autres, il existe des protocoles très stricts exigés par le propriétaire des données . Et aujourd'hui, plus personne n'utilise Apple, entre autre car tous ces protocoles interdisent d'envoyer une machine au contact des données en maintenance avec un quelconque module de stockage (SSD ou Disque).
Quelque soit le système d'exploitation.

avatar Biking Dutch Man | 

@jcp25

Vous êtes trop catégorique, des surcouches telles que BB work sont aussi disponibles sur iOS. Et les protocoles devront bien évoluer lorsque le marché ne proposera plus que du tout soudé. De plus en plus de managers n’ont par exemple plus que des tablettes, et aussi dans le law enforcement.

avatar dodomu | 

@jcp25

Certaines entreprises utilisent justement parfois des Mac, parce que leur RAM soudée est garente d'une sécurité accrue, certification à l'appui. Par contre, la dite certification interdisant le recyclage des supports de stockage, il doivent être détruits quand leur utilisation change (le poste passe a un autre employé par exemple). Or comme le disque du mac est soudé, l'ensemble doit être détruits...

Sinon, je vous rejoins aussi sur votre dernier point, que je me permets de reformuler en disant qu'il faut avoir des mesures de sécurité, oui, mais adapté a ce qu'on protège, inutile effectivement de mettre sa maison sous haute protection avec vigiles et caméra pour protéger votre iPhone, c'est disproportionné, et si quelqu'un risque vraiment de s'introduire chez vous malgré ces protections, c'est pas pour votre iPhone que je me ferais le plus de soucis ! 😉

avatar iNitZer0 | 

@jcp25 "aucun service gouvernemental ayant à traiter des données sensibles n'utilise de matériel Apple. Ni ordinateurs, ni smartphones. Trop de risque sur ces systèmes fermés."

Faux, j'en fait parti et nous avons des ordinateurs, tablettes et smartphones Apple. et nous traitons des données sensibles.

avatar TheUMan | 

Vous devriez tout de suite changer le titre de l'article en : Comment "briquer" son Mac en 5 minutes"...

avatar byte_order | 

@TheUMan

Euh, si vous oubliez votre mot de passe après 5 min, votre problème c'est pas de briquer votre Mac mais de devoir aller vite consulter un neurologue.

Ceci dit, oui, c'est un risque plus probable que le vol.
Après, si cette option est activable via écriture d'un paramètre EFI, je pense qu'il existe un moyen d'écrire sa désactivation aussi. Mais ça, seul le matos des gars d'Apple permettra de le faire.

avatar TheUMan | 

Cumuler au chiffrement du disque dur et je pense que personne (même Apple) ne sera en mesure de vous venir en aide;. je persiste à dire que c’est beaucoup plus fréquent que l’on ne croit et que c’est pas vraiment le meilleur des conseils à donner aux utilisateurs « lambda »...

avatar byte_order | 

@TheUMan

Mais je suis d'accord, hein.

Une fois qu'ils auront du lâcher un paquet de fric pour pouvoir récupérer l'usage de leur mac (à défaut des données qui étaient contenues dessus), ils y réfléchiront à deux fois avant de remettre un verrou pour protéger leurs factures, leurs photos, leurs historiques web, leurs mails...

Comme dit plus haut, pour protéger des données vraiment critiques, on ne les stockent pas localement, jamais, *dans* un appareil facile à dérober.

avatar iLex | 

C'est sûr que pour des gens qui oublient leurs mots de passes d'accord, mais dans ce cas une petite note et c'est réglé. Perso j'ai activé la commande et si j'ai un problème je ne m'en prendrais qu'à moi, mais au moins je limite les risques d'usurpations d'identités, vols de données, commandes avec mes cartes bancaires, vols de mots de passes, etc, en cas de vol.

avatar flux_capacitor | 

C'est parfait pour les données sensibles professionnelles avec sauvegardes séparées, mais à trop vouloir bétonner sa sécurité perso de la sorte, je ne compte plus le nombre de clients n'ayant fait aucune sauvegarde Time Machine ni Cloud qui pleurent de ne rien pouvoir récupérer de leur données (le plus souvent leurs photos de mariage et autres fichiers confidentiels défense, voyez ?) après la première panne matérielle.

avatar iLex | 

La valeurs de certaines données aussi sentimentales reste des données confidentielles. Tu peux pas juger ça objectivement.

Pages

CONNEXION UTILISATEUR