Apple améliore la gestion de Filevault en entreprise

Anthony Nelzin-Santos |

Apparu avec OS X Mountain Lion, l’outil fdsetup permet de gérer FileVault en ligne de commande. Amélioré dans OS X Mavericks, il est plus adapté aux besoins des gestionnaires de parcs de machines en entreprise, comme l’explique le dernier numéro de MacTech Magazine.

Image MacGeneration.
Image MacGeneration.

fdsetup permet d’activer FileVault, de déterminer l’état du chiffrement, de gérer la récupération des clefs et d’ajouter des utilisateurs à un système chiffré par FileVault, ainsi que de synchroniser des identifiants d’authentification basés sur des annuaires avec les identifiants locaux d’accès à FileVault. Dans OS X Mavericks, il permet aussi d’automatiser le paramétrage de FileVault à l’aide de scripts, de faire tourner les clefs de récupération de manière périodique et d’utiliser plusieurs clefs de récupération.

Mieux encore, l’outil de gestion de FileVault en ligne de commande peut désormais ajouter, modifier et supprimer des clefs de récupération personnelles ou institutionnelles. Un administrateur système peut par exemple s’en servir pour révoquer les clefs à la suite d’un piratage informatique et ainsi préserver la sécurité du chiffrement des disques des machines de l’entreprise.

Le nouveau fdsetup facilite donc grandement la gestion de FileVault, mais l’adoption du système de chiffrement d’Apple dans le monde de l’entreprise est limitée par son manque de certaines certifications. Il a par exemple fallu attendre OS X Mountain Lion pour qu'il soit accrédité FIPS 140-2, une certification du gouvernement américain impérative dans certains secteurs.


avatar lion.mar | 

Moi je connais encore des personnes aujourd'hui qui n'utilise pas Filtvault. Je trouve ça aberrant alors que c'est si simple à mettre en oeuvre.

Ici j'ose espérer que tous le monde l'utilise, sinon c'est qu'il y a un grand manque de connaissance de la part de ces personnes

avatar AirForceTwo | 

À trop mettre de serrures, il y a + de risques de perdre l'accès à ses propres données que de se les faire voler.
Activer toutes les sécurités possibles sans réfléchir n'est pas forcément l'attitude la plus sécuritaire.

avatar eseldorm (non vérifié) | 

ahahahah.
c'est simple a mettre en oeuvre mais s'il y a une defaillance du systeme, couic.
et dans ce cas, ca veut dire sauvegarde sur sauvegarde.

ca fait quand meme beaucoup pour un particulier.

avatar pat3 | 

Je ne l'utilise pas, sans doute parce que ses débuts étaient quand même inquiétants mais j n'éprouve pas non plus le besoin de l'utiliser. Toi oui? Dis-nous pourquoi, ça m'intéresse (vraiment).

avatar hubt | 

Moi aussi ca m'interesse.

avatar DDivo | 

De quelles défaillances pourrait il s'agir ? Avez vous déjà rencontré de pareils cas SVP ?

avatar jfchadeyron | 

Défaillance ou pas, time machine récupère le système qui se sauvegarde automatiquement. Même avec filevault activé. C'est ce que j'ai. Ça marche nickel.

avatar tokamac | 

Activer FileVault n'ets pas anodin. Ça chiffre toutes les données dans une image disque. S'il y a UN SEUL problème avec l'image disque (c'est rare mais ça peut arriver) toutes les données sont perdues. Sans compter que Filevault sur les anciens Mac ralentit énormément le système. Ce n'est pas une fonctionnalité pour les particuliers. A la base c'est une demande de la part d'administrations avec des données sensibles, confidentielles, voire secrètes, afin de chiffrer les données sur le disque lui-même s'il venait à tomber entre de mauvaises mains.

Time Machine est alors OBLIGATOIRE. FileVault ou pas d'ailleurs, mais les gens continuent à ne pas faire de sauvegardes, alors que les disques durs sont de plus en plus gros et de moins en moins pérennes.

Si vous souhaitez sécuriser votre Mac sans compromettre vos données en cas de panne du disque dur, mettez plutôt un mot de passe admin à l'ouverture de session ainsi qu'un mot de passe de firmware EFI pour empêcher des personnes malintentionnées de réinitialiser le mot de passe admin.

Si vous ne comprenez pas ce que je viens d'écrire, ne touchez à rien. On ne compte plus les gens qui, ayant joué aux apprentis informaticiens, ont totalement bloqué l'accès à leur propre Mac avec des mots de passe en qwerty sans se rappeler comment.

avatar Pascal-007 | 

J’ai utilisé FileVault 1 (alors que FileVault se résumait à une image-disque cryptée du dossier d’un utilisateur) et à la suite d’une corruption de l’image disque en question, j’ai tout perdu. Heureusement, à l’époque, j’avais une sauvegarde pas trop vieille, alors je n’ai pas tout perdu, mais ç’a été assez pour me couper toute envie !

Je n’ai jamais eu la témérité d’essayer FileVault 2 (ou une clé crypte le disque physique au complet) : je suis resté avec la crainte de tout perdre… De toute façon, je n’ai plus de données clients sur mon ordi désormais : tout passe par un logiciel tiers et tout est stocké sur un serveur externe, la communication entre les deux étant cryptée.

Et mes données personnelles sont sauvegardées sinon quotidiennement (tout, sauf iPhoto, iTunes) ou hebdomadairement (iPhoto, iTunes).

Quelle est la fiabilité du nouveau FileVault 2 ? Est-ce que le nouveau FileVault entraine plus de lecture-écriture, causant plus d’usures pour les SSD ?

avatar Fulvio | 

Je ne conseille pas à un particulier qui ne sait pas où il met les pieds d'utiliser FileVault. Sans parler de corruption de donnée ou de performance (problème sans doute moindre aujourd'hui qu'il y a 5 ans), le simple fait d'oublier son mot de passe fait perdre à tout jamais ses données.

Comme toute solution de sécurité, il faut mettre en perspective les contraintes de l'usage avec le risque encouru. Si on n'a pas de données ultra-sensibles, l'utilité de FileVault est discutable. En cas de vol de son ordinateur, il est peu probable que le receleur ou le nouvel utilisateur fasse autre chose qu'un reformatage. Pour le reste, il y a le trousseau d'accès (les mots de passe représentent l'essentiel des données sensibles d'un particulier) et les images disques chiffrées (pas forcément plus simple à utiliser que FileVault, mais moins sensible aux pertes de mot de passe).

avatar Lapin Obeur | 

"Le simple fait d'oublier son mot de passe fait perdre à tout jamais ses données"

euh non, pas du tout.

Au lancement du Filevault, une clé de cryptage est générée. Cette clé doit être conservée auprès de Apple (ce que je ne conseils pas) ou chez soit (si possible en double et dans des endroits différents et pas sur Dropbox &co).
Cette clé permet de décrypter le disque, en cas d'oubli du mot de passe.

Pour infos, dans le service public, nous sommes obligé de tout crypter (ordi, disque, clé USB...).
Il faut bien reconnaitre que ce n'est pas fait partout car cela peut poser quelques problèmes, notamment pour les personnes qui se rendent souvent à l'étranger (USA, Chine par exemple).
Les contrôles aux frontières peuvent être sport avec des ordis et des periph cryptés.

avatar Fulvio | 

My bad, j'ignorais cela.

J'avais utiliser FileVault dans l'une de ses premières versions, avant de le désactiver pour cause de performance, et je n'ai pas souvenir de cette clé de déchiffrage. Peut-être est-ce venu plus tard.

avatar Yoskiz (non vérifié) | 

Bonsoir, j'ai essayer FileVault sous ML pour un disque externe (en cas de com ou perte de celui-ci). Mon problème est que je ne peux pas utiliser cette solution pour Cloner mon disque système car pour démarrer dessus ça ne marchera pas ?

avatar Par1s1en | 

la commende n'est pas "fdsetup" mais "fdEsetup" !!!!

CONNEXION UTILISATEUR