Dans quelques semaines, lorsque les premières machines préconfigurées avec macOS Tahoe seront disponibles dans les rayons, les utilisateurs subiront une procédure d’installation à la fois plus longue et plus simple. La configuration de FileVault est un parfait exemple : alors qu’elle demandait de choisir entre deux grands modes de fonctionnement et pouvait s’étendre sur cinq écrans, elle ne prend plus… qu’un seul bouton. Cette simplification cache un changement fondamental dans la gestion de la clé de chiffrement.
Depuis Mac OS X Lion, FileVault ne chiffre plus seulement votre dossier d’utilisateur, mais le disque complet. Votre ordinateur démarre en deux temps : une sorte de présystème vous demande le mot de passe de votre compte d’administrateur, qui permet de déchiffrer le volume principal, et le système d’exploitation peut alors démarrer en déchiffrant ses données. Si vous oubliez votre mot de passe ou que le trousseau est corrompu, tout est perdu… si vous n’avez pas de clé de secours.
Cette chaine alphanumérique de 24 caractères est tellement précieuse qu’Apple proposait de la conserver en votre nom. Rien ne vous empêchait de refuser, mais elle insistait lourdement sur la possibilité d’envoyer la clé de secours dans le nuage et même de réinitialiser le mot de passe de votre compte d’administrateur avec le mot de passe de votre compte iCloud. C’était pratique, mais en ces temps dystopiques, ce n’était pas très sûr.
Voilà pourquoi la configuration de FileVault est tellement plus simple dans macOS Tahoe : Apple a supprimé cette fonctionnalité, mais en contrepartie, elle enregistre maintenant la clé de secours dans le trousseau iCloud. Ce trousseau porte mal son nom, puisqu’il n’est pas complètement synchronisé dans le nuage. Vos appareils forment un « cercle de confiance », pratiquement inviolable, pour synchroniser les données du trousseau de pair-à-pair avec un chiffrement de bout en bout.
La clé de secours peut donc être récupérée depuis vos autres appareils, ou simplement affichée dans les Réglages système de votre Mac, après avoir entré le mot de passe de votre compte d’utilisateur ou utilisé une mesure d’authentification biométrique. Ce fonctionnement concerne seulement les nouvelles installations de macOS Tahoe : si vous avez installé macOS Tahoe sur une machine qui utilisait déjà FileVault, vous devrez désactiver puis réactiver le chiffrement pour en profiter.
