[Accès libre] Comment sécuriser le Mac de mamie sans vous arracher les cheveux

Anthony Nelzin-Santos |
Club iGen 👑

Cet article réservé initialement aux membres du Club iGen est exceptionnellement en accès libre à compter d'aujourd'hui. Pour découvrir tous les articles exclusifs du Club iGen et d'autres avantages, abonnez-vous !

Après avoir rétabli les mesures de protection du système, configuré un pare-feu, vérifié les réglages de votre navigateur, installé quelques utilitaires, vous avez considérablement renforcé la sécurité de votre Mac. Oui mais voilà, en plus de votre machine, vous gérez celles de votre famille. Et des amis de votre famille. Comment renforcer la sécurité de leurs Mac, et éviter les coups de fil paniqués à 4 heures du matin ? Suivez le guide !

Image Tianyi Ma.

Faire de la pédagogie

Dès les premiers paragraphes de notre précédent guide, nous disions :

Si vous continuez à installer n’importe quoi, à cliquer sans lire les boites de dialogue, à taper le mot de passe de votre compte administrateur à tout bout de champ, alors vous finirez par être piratés. Vous devez changer d’état d’esprit, et considérer votre système comme compromis jusqu’à preuve du contraire.

À votre tour de le répéter. Sans les assommer avec un cours d’informatique, vous devez aider vos proches à prendre conscience des risques, avec quelques exemples simples.

Non, un riche héritier nigérien n’a pas besoin d’aide pour transférer des fonds avec Western Union. Oui, les promesses de réductions et de cadeaux faites par cette extension sont trop belles pour être vraies. Non, ce n’est vraiment pas raisonnable de télécharger une version « gratuite » de Photoshop sur un site inconnu. Oui, ils devraient réfléchir avant d’entrer le cryptogramme de leur carte bancaire.

Avant de donner des conseils, vérifiez toutefois… qu’ils sont toujours valables. Rien ne sert de recommander de vérifier la présence d’un cadenas vert dans la barre d’adresses du navigateur avant d’entrer une information confidentielle. D’abord parce que les cadenas qui symbolisent la présence d’un certificat SSL ne sont plus verts. Ensuite parce que c’est trompeur : plus de la moitié des sites de phishing sont sécurisés !

Configurer la machine

Quitte à devoir assurer la maintenance des machines de vos proches, autant prendre les devants. Si vous pouvez justifier le relâchement de Gatekeeper ou la désactivation de SIP sur votre propre Mac, vous devriez coller aux réglages originaux par ailleurs. Les mesures de sécurité de macOS sont contraignantes, mais visent précisément à protéger les utilisateurs les moins assurés et les moins attentifs. Faites donc un petit tour dans les Réglages Système :

  • dans la rubrique Écran verrouillé, choisissez Exiger le mot de passe après le lancement de l’économiseur d’écran ou de l’extinction de l’écran > Immédiatement sur une machine portable ou une machine publique ;
  • dans la section Coupe-feu de la rubrique Réseau, vérifiez que le coupe-feu est bien activé, et activez-le si ce n’est pas le cas ;
  • dans la rubrique Confidentialité et sécurité, choisissez Autoriser les applications téléchargées depuis > l’App Store et les développeurs identifiés ;
  • dans la même rubrique, vérifiez que le chiffrement FileVault est bien activé, même sur une machine de bureau. Si ce n’est pas le cas, activez-le, et choisissez une clé de secours que vous conserverez ;
  • enfin toujours dans la rubrique Confidentialité et sécurité, vérifiez les permissions des applications, notamment en matière de « surveillance de l’entrée » et d’accès aux fichiers.
La rubrique Confidentialité et sécurité* des Réglages Système.

Puisque la plupart des menaces proviennent désormais du web, configurez correctement le navigateur. Dans les préférences de Safari par exemple :

  • dans l’onglet Général, décochez Ouvrir automatiquement les fichiers « fiables » ;
  • dans l’onglet Remplissage automatique, décochez toutes les options ;
  • dans l’onglet Sécurité, vérifiez que l’option Avertir lors de l’accès à un site web frauduleux est bien activée ;
  • dans l’onglet Sites web, vérifiez les permissions des sites, notamment en matière de téléchargement et d’accès au micro ou à la webcam ;
  • dans l’onglet Extensions, désactivez les extensions inutiles ou suspectes ;
  • dans l’onglet Avancées, cochez Afficher l’adresse complète du site web pour faciliter la détection d’une tentative de phishing.

Firefox et Chrome disposent de mécanismes similaires. Pour limiter les risques d’infection par les adwares, qui passent souvent par les publicités, vous pouvez installer un bloqueur de publicités. Nous vous recommandons particulièrement :

Ne multipliez pas les listes de blocage, au risque de grever les performances et d’introduire des problèmes de compatibilité, mais activez notamment la liste EasyPrivacy, qui se concentre sur les traqueurs. Dans tous les cas, faites un usage libéral de la liste blanche pour laisser passer les publicités légitimes des sites favoris de vos proches.

Enfin, n’hésitez pas à discuter du gestionnaire de mots de passe intégré au navigateur. En utilisant des mots de passe forts et uniques, il augmente nettement la sécurité de vos proches, sans particulièrement leur compliquer la vie, grâce aux suggestions de remplissage. S’ils possèdent un autre appareil Apple, le Trousseau iCloud peut même leur simplifier la vie. Ce changement est presque indolore — nous l’avons testé à de multiples reprises avec grand succès.

Apple Configurator.

Si vous devez configurer plusieurs machines de la même manière, créez un profil de configuration avec Apple Configurator. Même s’il a été créé pour les administrateurs de parcs informatiques, vous ne devriez pas avoir de problème à comprendre comment créer un profil, et devrez seulement passer quelques dizaines de minutes à cocher et décochez des options. Si vous êtes le geek en chef d’une petite tribu, c’est un outil à conserver dans votre trousse.

Limiter les sources tierces d’application

Par défaut, macOS autorise l’exécution de toutes les applications dument signées, qu’elles proviennent de l’App Store ou d’ailleurs. Ce choix peut vous sembler aussi restrictif sur votre machine que permissif sur la machine d’un proche. En autorisant le téléchargement d’application depuis le web, il peut abaisser le niveau d’attention d’un utilisateur, qui installera peut-être un malware… signé.

Dans certains cas, vous préfèrerez peut-être installer les applications nécessaires vous-même, puis restreindre les installations suivantes au seul App Store. La boutique d’Apple n’est pas complètement à l’abri d’une erreur, elle l’a déjà prouvé, mais est tout de même plus sûre que les sites de téléchargement plus ou moins réputés.

Selon les besoins et le niveau de familiarité de l’utilisateur de la machine que vous configurez, ce sera l’occasion de tester un service comme SetApp, un bon compromis entre le catalogue très réduit de l’App Store et la foire d’empoigne du web. Cette solution a un coût, qui est peut-être celui de la tranquillité. Une chose est sûre : vous ne voulez pas, absolument pas, désactiver Gatekeeper sur la machine d’un utilisateur qui ne comprend pas les tenants et les aboutissants de la chose.

Désactiver les droits d’administration

Si ces mesures ne suffisent pas, il reste l’option « atomique », l’utilisation d’un compte « standard ». Dépourvu des droits d’administration, ce compte ne peut pas modifier les réglages importants ni installer une application hors des clous. Cette solution est très contraignante, puisque votre intervention est régulièrement requise, mais réduit considérablement les risques d’erreur.

Pour créer un compte standard, rendez-vous dans la rubrique Utilisateurs et groupes des Préférences Système. Cliquez sur le bouton Ajouter un compte… pour créer un nouveau compte, puis sélectionnez Nouveau compte > Standard, et choisissez un nom d’utilisateur ainsi qu’un mot de passe.

La création d’un compte standard.

Après avoir créé ce nouvel utilisateur, modifiez le mot de passe de l’administrateur existant, de manière à bloquer l’accès à l’utilisateur de la machine. Fermez la session de l’administrateur, puis connectez-vous à la session du compte standard pour configurer la machine. Dès lors, vous et vous seul pourrez modifier les règles de sécurité et installer des applications hors des canaux autorisés.

Installer des outils de gestion à distance

L’usage d’un compte standard est relativement simple dans le cadre domestique — en cas de besoin, vous n’êtes jamais qu’à quelques mètres. Mais il n’est pas beaucoup plus compliqué avec un parent à l’autre bout de la France, du moins si vous avez prévu le coup. On l’oublie souvent, mais Messages intègre un mécanisme de partage d’écran.

Pour peu que vous ayez correctement configuré Messages sur la machine de votre correspondant, vous pourrez ainsi prendre le contrôle de sa machine à distance. Sur votre Mac, créez une nouvelle conversation avec la personne en question, puis cliquez sur Détails et la petite icône en forme de rectangles superposés. Votre correspondant n’aura plus qu’à répondre à la demande de partage d’écran.

TeamViewer.

Le partage d’écran intégré au système est relativement limité, mais fait amplement l’affaire pour entrer un mot de passe ou vérifier un réglage. Si vous devez intervenir plus régulièrement, pour des tâches plus complexes, prévoyez d’installer un outil dédié comme TeamViewer. D’expérience toutefois, la simple barrière mise par le mot de passe d’accès suffit à perdre certains utilisateurs débutants.

Installer un antivirus

Enfin et comme dans notre précédent guide, finissons par la question de l’antivirus. Si vous avez complètement verrouillé les permissions, vous pouvez vous contenter d’installer MalwareBytes, pour vérifier de temps à autre qu’un malware n’est pas passé entre les mailles du filet. Si vous avez adopté une approche moins restrictive, ou tout simplement que vos proches insistent pour installer un antivirus, nous vous recommandons toujours :

Ces cinq solutions sont les seules qui peuvent se targuer de bloquer toutes les menaces sans ralentir exagérément votre Mac. Notre préférence personnelle se porte vers Intego, qui développe exclusivement pour Mac depuis un quart de siècle, et Bitdefender, qui a mené un formidable travail d’optimisation ces dernières années, mais aucun choix n’est vraiment mauvais. Ainsi armées, les machines de votre famille et de vos amis devraient être capables de se défendre contre les menaces les plus dangereuses.

Pour aller plus loin :
avatar mattcastel | 

Super article.

Précision sur TeamViewer : « D’expérience toutefois, la simple barrière mise par le mot de passe d’accès suffit à perdre certains utilisateurs débutants. »
Le meilleur moyen d’éviter cela est de créer un compte TeamViewer et d’y associer les Macs de la famille, puis définir un mot de passe personnalisé. Associé à un démarrage automatique, fini le « Mamie, tu peux me donner le mot de passe de TeamViewer ? » :-)

avatar R-APPLE-R | 

@mattcastel

Savez-vous qu’il est possible sur Mac de prendre le contrôle d’un autre Mac en le demandant simplement par iMessage ? 😉😈

avatar mmenfin | 

TeamViewer est très restrictif même en l’utilisant ponctuellement, il finit par ajouter des délais de connexion, couper la prise en main de plus en plus vite, et demander de payer pour une licence.
J’utilise AnyDesk, la version gratuite ne fait pas chier pour acheter la version premium et ça marche nickel, même pour une installation « sans surveillance » pour accéder à son mac de n’importe où (depuis un iPhone par exemple). Il est très facile à lancer par une personne lambda pour dépanner rapidement.

avatar Ingmar97432 | 

@mmenfin

Ah jamais essayé Anydesk, je me borne à Teamviewer pour les 19 postes de proches et du cabinet 😰
Vais essayer merci du retour d’expérience

avatar mat16963 | 

@mmenfin

J’ai regardé Anydesk et il semble qu’il y ait le même problème que la majorité des solutions de contrôle distant sur macOS: il n’est pas possible de transférer l’audio de l’ordinateur…
C’est rédhibitoire pour moi, car j’aide souvent des proches qui sont dans le montage vidéo/audio (amateur)…
Quelqu’un connaît des outils qui offriraient une telle fonction sur Mac ?

avatar Kainam | 

@mat16963

Splashtop

avatar Eyquem | 

@mat16963

Parsec est très bon aussi et gère les applications 3D ou les jeux !

avatar mat16963 | 

@Eyquem

Merci !

avatar jb18v | 

@mmenfin

Idem

avatar fousfous | 

C'est tout le problème de macOS, pour la moindre app il faut donner les clés de son mac alors au final tout le monde tape son mot de passe sans réfléchir et on voit le résultat.
Pour l'utilisation du trousseau avec des mots de passe complets c'est bien, mais faudrait encore que ce soit pris en charge par les apps, hors sur Mac j'ai jamais vu d'app qui prenaient en charge le trousseau.
Au niveau des signatures d'app j'ai l'impression que c'est surtout les malwares qui sont signés alors que les apps légitimes ne sont jamais signées, les devs ne jouent pas le jeu.

Quand je pense que tout ces problèmes de sécurités pourraient être réglé d'une façon bien simple...

avatar Link1993 | 

"Non, ce n’est vraiment pas raisonnable de télécharger une version « gratuite » de Photoshop sur un site inconnu. "

Inconnu ? Mais ?! Piratb*y est un site connu ! Donc c'est bon ?
😬🔨

avatar Sindanarie | 

@Link1993

Me demande ce qu’il y’a de pire entre le site inconnu et un machin sorti de chez Adaube ! 😬

avatar Ingmar97432 | 

@Link1993

😁😁👍

avatar Cactaceae | 

Comme très bien dit dans l’article, on oublie souvent que l’on peut prendre le contrôle de l’écran directement depuis iMessage, la solution que je favorise le plus. Avant j’utilisais la version lourde, Apple Remote Desktop, mais c’est vraiment pour aller beaucoup plus loin de ce que propose la version de base.

Hors de question pour moi de rajouter des apps de gestion à distance supplémentaires comme TeamViewer, pour des raisons de sécurité déjà (je ne fais PAS confiance à ce type d’app, pas en version gratuite en tout cas), des problèmes de licences (Le but de ces apps gratuites est quand même de vous basculer sur un modèle payant), la maintenance supplémentaire de ces apps…

Je favorise toujours le compte « Normal » vs « Administrateur », en faisant travailler Papy sur sa session sans privilèges, mais il a le contrôle évidemment de sa session admin car après tout c’est quand même lui le proprio de sa machine.

Finalement, c’est beaucoup de pédagogie et moins de mesures radicales, pour le bien de tous.

avatar koko256 | 

Les cadenas verts au départ c'était les certificats EV. C'est dommage que les navigateurs ne conservent pas cette norme car un site ev n'est jamais du phising.

avatar Eyquem | 

@koko256

Oui je comprends vraiment pas pourquoi on a supprimé l’affichage des certificats EV. C’était la manière la plus sûre de s’assurer de l’identité d’un site !

avatar Ali Baba | 

«  cochez Afficher l’adresse complète du site web pour faciliter la détection d’une tentative de phishing »

Hum... j’aurais dit l’inverse. Si on affiche uniquement le domaine, on ne risque pas de se faire avoir par banquepostale.fr.monsitepirate.co

avatar Lucas | 

Super article, merci !

avatar frankm | 

Ils ne sont pas admin de leur poste. Allez au boulot mamie

avatar JLG47_old | 

Ne débilisez pas ainsi les anciens car il ne faut jamais oublier que papi et mamie ont développés tous les jouets qui vous réjouissent aujourd’hui, vous n’étiez généralement pas nés qu’ils en tiraient déjà le meilleur.
Donc à quelques exceptions près, papi et mamie est aussi habile que quiconque pour utiliser et jouer avec votre jouet préféré.

avatar Sindanarie | 

@JLG01

"papi et mamie est aussi habile que quiconque pour utiliser et jouer avec votre jouet préféré."

C’est clair, je leur ai prêté fouets, entraves, objets contondants divers, cire, bougies et et ils s’amusent comme des petits fous

avatar sambucus | 

Merci pour cet utile article. Une piqure de rappel n’est pas un luxe.

avatar Ingmar97432 | 

Et merci pour l’article 👍

avatar transbec | 

Sophos Home n’est pas dans la liste des antivirus, pourquoi?

avatar gleclerc78 | 

« Si vous êtes le geek en chef d’une petite tribu »😂😂😂

avatar Adrienhb | 

Entre les quatre extensions pour bloquer les trackers, vous utilisez le(s)quel(s) vous ?
Pour rappel:
Better Blocker
Ghostery Lite
1Blocker
uBlock Origin

avatar Lightman | 

@Adrienhb

Pour moi, sur Chrome :

Adblock Plus
Ghostery (pas Lite)
et surtout ScriptSafe, le seul capable de bloquer une identification avec localisation lors d'un surf sur clearweb à partir d'une connexion Tor (d'après mes tests)

avatar cv21 | 

Merci MacG pour ce rappel. Hop en onglet, pour faire un petit check up de début d'année...

L'article est très clair et je ne suis pas sûr qu'il s'adresse uniquement à la gestion des macs des grands parents.

- Non, un riche héritier nigérien n’a pas besoin d’aide pour transférer des fonds avec Western Union. Je recommande l'écoute (ou la lecture du texte si c'est un peu trop rock) du groupe Astaffort Mods, album AK47 titre Denis ! Plutôt drôle.

Bonnes fêtes.

avatar Biking Dutch Man | 

Après presque 40 ans de Mac, mon papa va passer sur iPad Pro demain. L’iPad est plus accessible à son âge, moins de possibilités mais plus de sécurité, et FaceID en prime! J’espère qu’il s’y fera. Il a déjà un iPhone, l’environnement lui sera familier.

avatar Geeker007 | 

Quid de Malwarebyte antimalware ?

avatar Kikila | 

Bonjour,
Il semble que Better Blocker soit mort !
Ils conseillent d’utiliser 1Blocker (Bravo il est dans votre liste)

avatar foxot | 

Qu'est ce que j'aimerais pouvoir sécuriser un mac pour quelqu'un de ma famille, mais la réalité étant que leurs usages ne justifie pas à leurs yeux un tel investissement à leurs yeux et ils préfèrent se tourner vers des pc entrée de gamme autour des 2/300€ (et qu'ils feront quand même durer plus de 5 ans car ils s'accommodent des ralentissements et autres problèmes de ces machines... et au pire je suis là pour la maintenance et virer toutes les cochonneries de temps en temps)

Bref je vous envie si vous avez cette chance.
(Inutile de leur parler le l'iPad non plus, mes grands-parents ont investi dedans, on a tout bien paramétré mais rien à faire, ils gardent leurs habitudes avec l'ordinateur)

avatar mk3d | 

Bel article merci.
Question, qu’est-ce qui vous motive à mettre en avant TeamViewer?

avatar Koaster | 

J’utilisais encore Teamviewer jusqu’à peu pour dépanner des proches dans un cadre purement perso et familial. Ce dernier détecte mon « activité » comme professionnel et me coupe la liaison au bout de qq secondes. Je comprends pas d’où il déduit ça mais bon.

Switché sur Anydesk on est mieux oui !

avatar powergeek | 

Personne ne parle d'Adguard !

avatar Xap | 

L’usage typique d’un senior ne justifie ni l’investissement exorbitant dans un mac ni le temps & l’énergie dépensés pour la maintenance.

Un iPad est parfaitement indiqué.

CONNEXION UTILISATEUR