macOS Catalina permet de bloquer le mécanisme de réinitialisation du mot de passe firmware
macOS Catalina contient une nouvelle option pour bétonner la défense de votre Mac. Mais avant de la détailler, un rappel s'impose. Pour sécuriser votre Mac, vous avez défini un mot de passe pour votre compte utilisateur (sinon, faites-le tout de suite) et peut-être activé le chiffrement FileVault. Pour renforcer la protection, vous avez la possibilité de définir en plus un mot de passe de programme interne (on parle aussi de firmware ou EFI).
Il s'agit d'un rempart supplémentaire contre les attaques externes. Si vous en avez défini un, le mot de passe firmware sera requis quand quelqu'un voudra démarrer votre Mac à partir d'un disque autre que le disque de démarrage que vous avez choisi. Ce mot de passe sera aussi indispensable pour démarrer sur la partition de récupération.
macOS Catalina ajoute une option pour cimenter encore plus le démarrage. Il est maintenant possible de bloquer le mécanisme de réinitialisation du mot de passe firmware, comme l'indique un ingénieur d'Apple sur Twitter. La commande à taper dans le Terminal est la suivante : firmwarepasswd -disable-reset-capability (pour toutes les options, tapez firmwarepasswd).
Il faut savoir qu'il existe en effet une méthode pour réinitialiser ce mot de passe, une méthode employée par le service après vente d'Apple afin d'aider les clients qui ont oublié leur mot de passe.
Si cela vous arrive, le technicien Apple vous demandera d'appuyer simultanément sur les touches Maj + Contrôle + Option + Commande + S au démarrage afin de faire apparaître une suite de caractères à l'écran. Vous devrez ensuite lui communiquer cette suite de caractères ainsi que le numéro de série de votre Mac afin qu'il génère un fichier SCBO servant de clé pour réinitialiser le mot de passe firmware. Ce fichier devra donc être chargé sur une clé USB ou un disque dur externe sur lequel vous démarrerez.
Problème : cette méthode normalement réservée au service client d'Apple est exploitable par d'autres. Le chercheur en sécurité Pedro Vilaça avait détaillé par le menu en 2016 comment créer soi-même son propre fichier SCBO et ainsi réinitialiser seul son mot de passe firmware.
Cet exercice de rétro-ingénierie peut servir de mode d'emploi pour les voleurs voulant contourner ce mot de passe, mais le chercheur (qui a été embauché par Apple depuis) s'était permis de le publier car des piratages circulaient déjà à l'époque. Par exemple, un site web promettait de fournir un fichier SCBO fonctionnel pour le Mac de son choix contre 100 $. Ce fichier SCBO pirate était peut-être généré en trompant le service client d'Apple, à l'aide d'une taupe au sein du support ou bien encore grâce à une faille connue par seulement quelques initiés.
Quoi qu'il en soit, macOS Catalina permet d'empêcher cette option de réinitialisation du mot de passe firmware qui peut être exploitée par un malandrin. Mais attention, si vous bloquez cette option, le service client d'Apple ne pourra plus vous venir en aide si vous oubliez votre mot de passe. À vous de voir de quel côté vous voulez faire pencher la balance : plus de sécurité ou plus de flexibilité ?
À l'époque il était possible de ré-initialiser ce mot de passe en coupant l'alimentation de la carte mère (en enlevant la pile et la batterie) Est-ce que ce moyen est toujours viable ? (En éliminant le fait que la batterie est soudée à la carte mère, par exemple en admettant que la batterie et la pile sont tous deux complètement à sec)
@Zegorax
Hello, je suppose que tu confonds avec autre chose (la réinitialisation du SMC par exemple). Cette procédure existe toujours et a juste un peu changé depuis que les batteries ne sont plus amovibles.
@kelkun
Non je parle bien de la ré-initialization du password firmware. Il me semble que dès qu'il n'est plus alimenté il perd sa configuration à cause de la ROM, mais je ne suis pas totalement sûr
@Zegorax
Je vois ce dont tu parles je sais que cela se faisait sur Windows en tout cas pour l’avoir déjà experimenté
@Zegorax
La configuration EFI est conservée dans une puce NVRAM, qui garde les données même en n'étant pas alimenté pendant des semaines, probablement plusieurs années. Un peu comme une clé USB que vous retrouvez des années plus tard et découvrez que son contenu est toujours lisible...
Exact il suffisait de changer la configuration matérielle en retirant par exemple temporairement une barrette de RAM puis de zapper la PRAM. Mais cette astuce ne fonctionne plus depuis un bail (même sur les rares Mac où on peut encore ajouter et retirer des barrettes de mémoire vive…)
Quand je pense que j’ai eu le problème sur un iMac avec Mojave, il y a 2 mois.. et je peux assurer que le support ne m’a jamais parlé de cette série de touche à faire pour générer un code de récupération... aux fraises le support sur Paris ?
Ils ont vraiment fumé la moquette avec la sécurité. MacOS est devenu hostile. Ces gens ne vivent pas sur la même planète que les utilisateurs normaux...
@User5678
Justement non, cette option permet de sécuriser ça machine en cas de vol !
Faut savoir qu’il y a des domaines professionnels qui ont des données très confidentielles sur leurs machines.
C’est un moyen de garantir leur confidentialité.
@MacWare
+1
D'ailleurs il y a un truc assez amusant en fait. Il est possible de désactiver le démarrage sur disque externe mais n'importe qui peut aller sur le firmware et désactiver cette option sous réserve de connaître au moins un des mots de passe du Mac
@MacWare
Justement non, cette option permet de sécuriser ça machine en cas de vol !
Faut savoir qu’il y a des domaines professionnels qui ont des données très confidentielles sur leurs machines.
C’est un moyen de garantir leur confidentialité.
-----
Pas vraiment !
Les données "très confidentielles" sont stockées sur des serveurs.
Quand elles doivent être présentes sur un ordinateur, c'est dans des containers chiffrés avec des logiciels agréés.
Et de pu s quelques années les ordinateurs en question doivent avoir leurs "stockage" amovible car il est interdit d'envoyer en maintenance le stockage. Donc exit Apple.
De plus, aucun service gouvernemental ayant à traiter des données sensibles n'utilise de matériel Apple. Ni ordinateurs, ni smartphones. Trop de risque sur ces systèmes fermés.
Ils utilisent du Windows, Unix ou Android avec des surcouches validées par les services ad-hoc.
Même aux US ou Clinton avait voulu imposer des Macs et de l'Apple, cela n'avait pas duré longtemps !
Et verrouiller à ce point sa machine est plus un risque (oubli autre chose) qu'un avantage.
En plus, soyons sérieux, il suffit d'un trombone pour trouver le mot de passe !
Deux types te tombent dessus pour te voler ton Ordi, ils te mettent un trombone dans l'œil et tu as le choix : le donner ou être aveugle !
C'est pour cela que les ordis n'ont presque jamais de données sensibles.
@jcp25
Un trombone dans l’œil ? Tu devrais te coucher plus tôt au lieu de regarder des séries...
@ckermo80Dqy
Un trombone dans l’œil ? Tu devrais te coucher plus tôt au lieu de regarder des séries...
---
Pas vraiment !
Tu devrais surtout ne pas parler de ce que tu ne connais pas.
Trombone = exemple
Comme pour un code de CB personne ne va risquer sa santé pour un mot de passe.
Et c'est parce qu'il n'y a jamais d'infos sensibles dans ces machines que cela marche.
Aucun risque pour les données-> elles n'y sont pas
Aucun risque pour le detenteur-> pas de données dans l'ordi et les "voleurs" le savent.
Les seuls vols de données sensibles que j'ai vu ont toujours été en interne ou un collaborateur.trice avait eu accès à des mots de passe mal protégés et ensuite....
Un oubli-> pas de présence humaine 24/24 7/7 et pas de sécurité humaine renforcée. Pas efficace à 100% mais complique le vol et les risques. Il faut que le jeu en vaille la chandelle.
@jcp25
Windows, android... le pire truc pour tes données...
@Depret Lucas
Windows, android... le pire truc pour tes données...
---
Pour mes données peut être mais pour des données "sensibles" non.
Comme je disais, il y a toujours une surcouche sur ces OS.
Quand tu dois travailler sur des données "sensibles" qu'elles soient civiles ou autres, il existe des protocoles très stricts exigés par le propriétaire des données . Et aujourd'hui, plus personne n'utilise Apple, entre autre car tous ces protocoles interdisent d'envoyer une machine au contact des données en maintenance avec un quelconque module de stockage (SSD ou Disque).
Quelque soit le système d'exploitation.
@jcp25
Vous êtes trop catégorique, des surcouches telles que BB work sont aussi disponibles sur iOS. Et les protocoles devront bien évoluer lorsque le marché ne proposera plus que du tout soudé. De plus en plus de managers n’ont par exemple plus que des tablettes, et aussi dans le law enforcement.
@jcp25
Certaines entreprises utilisent justement parfois des Mac, parce que leur RAM soudée est garente d'une sécurité accrue, certification à l'appui. Par contre, la dite certification interdisant le recyclage des supports de stockage, il doivent être détruits quand leur utilisation change (le poste passe a un autre employé par exemple). Or comme le disque du mac est soudé, l'ensemble doit être détruits...
Sinon, je vous rejoins aussi sur votre dernier point, que je me permets de reformuler en disant qu'il faut avoir des mesures de sécurité, oui, mais adapté a ce qu'on protège, inutile effectivement de mettre sa maison sous haute protection avec vigiles et caméra pour protéger votre iPhone, c'est disproportionné, et si quelqu'un risque vraiment de s'introduire chez vous malgré ces protections, c'est pas pour votre iPhone que je me ferais le plus de soucis ! 😉
@jcp25 "aucun service gouvernemental ayant à traiter des données sensibles n'utilise de matériel Apple. Ni ordinateurs, ni smartphones. Trop de risque sur ces systèmes fermés."
Faux, j'en fait parti et nous avons des ordinateurs, tablettes et smartphones Apple. et nous traitons des données sensibles.
Vous devriez tout de suite changer le titre de l'article en : Comment "briquer" son Mac en 5 minutes"...
@TheUMan
Euh, si vous oubliez votre mot de passe après 5 min, votre problème c'est pas de briquer votre Mac mais de devoir aller vite consulter un neurologue.
Ceci dit, oui, c'est un risque plus probable que le vol.
Après, si cette option est activable via écriture d'un paramètre EFI, je pense qu'il existe un moyen d'écrire sa désactivation aussi. Mais ça, seul le matos des gars d'Apple permettra de le faire.
Cumuler au chiffrement du disque dur et je pense que personne (même Apple) ne sera en mesure de vous venir en aide;. je persiste à dire que c’est beaucoup plus fréquent que l’on ne croit et que c’est pas vraiment le meilleur des conseils à donner aux utilisateurs « lambda »...
@TheUMan
Mais je suis d'accord, hein.
Une fois qu'ils auront du lâcher un paquet de fric pour pouvoir récupérer l'usage de leur mac (à défaut des données qui étaient contenues dessus), ils y réfléchiront à deux fois avant de remettre un verrou pour protéger leurs factures, leurs photos, leurs historiques web, leurs mails...
Comme dit plus haut, pour protéger des données vraiment critiques, on ne les stockent pas localement, jamais, *dans* un appareil facile à dérober.
C'est sûr que pour des gens qui oublient leurs mots de passes d'accord, mais dans ce cas une petite note et c'est réglé. Perso j'ai activé la commande et si j'ai un problème je ne m'en prendrais qu'à moi, mais au moins je limite les risques d'usurpations d'identités, vols de données, commandes avec mes cartes bancaires, vols de mots de passes, etc, en cas de vol.
C'est parfait pour les données sensibles professionnelles avec sauvegardes séparées, mais à trop vouloir bétonner sa sécurité perso de la sorte, je ne compte plus le nombre de clients n'ayant fait aucune sauvegarde Time Machine ni Cloud qui pleurent de ne rien pouvoir récupérer de leur données (le plus souvent leurs photos de mariage et autres fichiers confidentiels défense, voyez ?) après la première panne matérielle.
La valeurs de certaines données aussi sentimentales reste des données confidentielles. Tu peux pas juger ça objectivement.
J'avoue qu'on ne peut pas se permettre de juger ça… mais j'ai vu aussi des clients en pleurs (et je parle littéralement en pleurs). Bref, tout ça passe par une éducation sur les sauvegardes, car trop de gens n'en font pas et croient encore "qu'un Mac ça ne tombe pas en panne vu sa qualité".
@flux_capacitor
Vu son prix il ne devrait pas tomber en panne en effet!
Je suis d'accord que c'est normal de penser comme ça, mais c'est en revanche une erreur de le croire naïvement. Le tarif du Mac ne provient aucunement de composants électroniques qui seraient "supérieurs" à ceux qu'on trouve sur PC. Par rapport aux PC cheaps, peut-être. Mais sur les PC haut de gamme les composants sont les mêmes, voire même meilleurs (barrettes de RAM de grande marque avec dissipateur thermique, etc.).
Par exemple le Mac a toujours eu les mêmes disques durs que les PC, et parfois pas les meilleurs, cf. les Toshiba 2.5" de sinistre mémoire ou les 1.8" des premiers MacBook Air, au taux de panne hallucinant après 2-3 ans. Aujourd'hui l'iMac d'entrée de gamme se traîne toujours ce veau de disque dur à plateau à 5400 rpm, en 2019. Les SSD sont souvent des Samsung, plutôt bons, mais toujours les mêmes que sur PC. Les condentateurs des cartes-mères proviennent des mêmes fournisseurs, etc. il n'y a pas "d'électronique Apple" comme le croit naïvement une frange de la clientèle. Il n'y a qu'une méthode d'assemblage sur une jolie carte-mère noire, c'est tout…
Le prix plus élevé du Mac vient de sa miniaturisation, de la qualité de sa fabrication, de son assemblage, de ses matériaux (aluminium) qui n'ont rien à voir avec la plupart des PC en plastique souvent plus gros (pas toujours). A noter les excellents écrans, Retina P3 4K et 5K, ça c'est le haut du panier et c'est supérieur (mais en fonctionnalité, pas en longévité !). Également de la plus-value apportée par le tout-en-un matériel-logiciel les deux étant sensés fonctionner au mieux main dans la main, force qui a fait la renommée de la marque (faudrait pas que ça devienne n'importe quoi avec le soft d'ailleurs). Et bien sûr, les sempiternels 40% de marge.
Mais l'électronique à l'intérieur, non. Pas du tout.