FileVault : Apple pousse à l'activation par défaut
Avec Yosemite, Apple pousse à l'utilisation de FileVault, son système de chiffrement du contenu du disque dur/SSD. Au point d'inviter absolument tous les utilisateurs à s'en servir. À l'une des étapes d'installation de la version GM distribuée hier soir, le panneau de réglages de FileVault a l'option de chiffrement cochée par défaut. Précédemment c'était à l'utilisateur de faire la démarche. Précisons que nous avons eu la capture ci-après lors d'une mise à jour de Mavericks vers Yosemite.
Toutes les données de la partition de démarrage sont alors chiffrées et protégées par votre mot de passe de session utilisateur lorsque la machine est éteinte ou en veille. L'option de déverrouillage automatique de votre session est désactivée dans la foulée. Ceci afin de mettre à l'abri vos données en cas de vol - les portables sont les plus directement concernés - ou de volonté d'aller fouiner dans votre Mac.
Cette activation n'a rien de définitif. On peut revenir en arrière à tout moment depuis le panneau Sécurité et confidentialité dans Préférences Système et supprimer ce chiffrement. De la même manière, si l'on oublie son mot de passe (ainsi que la clef de secours créée lors du chiffrement) on pourra utiliser des identifiants de compte iCloud pour retrouver l'accès à sa session et réinitialiser son mot de passe.
Dans les premières itérations de FileVault, des lenteurs d'exécution de la machine se manifestaient mais les choses se sont considérablement améliorées au fil du temps et en particulier avec l'arrivée de FileVault 2 dans Lion. Les freins à l'utilisation de cette protection se sont relâchés.
Cette option cochée par défaut est aussi une nouvelle ligne de défense élevée par Apple afin de renforcer la protection des données utilisateurs. Une politique qui a fait l'objet d'une communication détaillée récemment et qui s'est dans la foulée attirée les critiques des autorités américaines.
Je le ferai volontiers si cela ne me forçait pas à devoir entrer mon mot de passe à chaque fois :/
sur un ordinateur portable, la frappe d'un mot de passe est vraiment quelque chose d'indispensable...
après un mot de passe court, mais fort saurait faire l'affaire @!=!@ est accepté, et vraiment pas facile à deviner
@king péa :
Je connais ton mot de passe... lol
J'avoue... C'est comme ne pas mettre de mot de passe sur son téléphone au final. N'importe qui qui le trouve peut avoir accès à tout. Alors à moins de n'avoir rien de personnel sur l'ordinateur, ce qui est très rare... (Rien que les caches de site web peuvent en dire beaucoup sur la personne !)
Ca ne change rien d'utiliser ou non FileVault au niveau utilisation, c'est juste une sécurité de plus, mais en interne.
Là je suis obligé d'intervenir car ce que tu dis est une hérésie (tu brûleras sur un bûcher et je viendrai te piquer avec une fourche).
En matière de sécurité informatique il est important de savoir si tu as besoin de protéger des données. La réponse devrait être oui si tu utilises des services bancaires en ligne et si tu fais des achats en ligne, car ton disque garde beaucoup de traces qui peuvent être exploitées pour y accéder une fois qu'il est entre de mauvaises mains.
Dans ce cas, si tu utilises un système de chiffrement comme File Vault, ton mot de passe est la clef de chiffrement de ton disque.
Dans ce cas, ton adversaire ne sera pas une personne qui essayera de taper ton mot de passe au clavier mais un logiciel qui tournera sur un ordinateur sur lequel ton disque dur sera branché, et qui essayera de trouver la clef de chiffrement, c-à-d ton mot de passe, en effectuant plusieurs centaines de milliers d'itérations par seconde.
@!=!@ ne tiendra pas la première minute.
Un mot de passe c'est pas court, c'est pas des mots avec un sens, même pas avec les lettres de remplacement car ça les algorithmes de déchiffrement ils les connaissent.
Cet article (en anglais) devrait être une référence : http://blog.agilebits.com/2011/06/21/toward-better-master-passwords/
Personne ne devine les mots de passe… Il y a pour ça des logiciels qui trouvent la plupart des mots de passe en quelques heures.
@!=!@ est reconnu instantanément, en fait en 2,64 secondes
Un site pour tester vos mots de passe ou approchants, pas mettre l'exact bien sûr :)
Pour moi c'est des centaine d'années, suis tranquille
Les recherches étant en général faites par des anglophones, qlq accents sont toujours les bienvenus, ça oblige la force brute et non dictionnaire
Le site à lire (en anglais) https://tech.dropbox.com
et la page pour tester https://dl.dropboxusercontent.com/u/209/zxcvbn/test/index.html
Bon amusement
Pas mal ce site. Mon mot de passe de session est estimé à 4 mois, c'est pas mal je ne le pensais pas aussi sécurisé. J'ai modifié quelques éléments pour le faire passer à "centuries".
Ce qui m'amuse ce sont certaines fictions américaines ou bien souvent le mot de passe pour accéder à l'ordinateur ultra-sensible du scientifique qui doit sauver le monde est constitué du prénom des enfants de ce dernier :-)
Concrètement, c'est quoi tout les désavantages d'activer ca?
C'est plus lent et s'il y a un bug tu peux perdre tes données
@olaola : Oui tu as raison, je crois que la clé de chiffrage est sollicitée en temps réel pour lire les données. Ceci dit, si tu as un portable avec des données importantes, c'est un très bon compromis. Sans doute à réserver pour des utilisation plus de gestion que de production !
Moi j'ai la crainte d'oublier mes mots de passe. Là tu chiales… ;)
Sur un mac mini avec deux disques durs par exemple, filevault ne prend pas en charge ni le RAID 0 ni le 1.
Avec fusion drive je ne sait pas ce que ça donne. (on va dire que comme j'ai jamais entendu personne se plaindre c'est que ça doit être fonctionnel (à vérifier tout de même)
Ça peut être plus lent : http://osxdaily.com/2011/08/10/filevault-2-benchmarks-disk-encryption-faster-mac-os-x-lion/
Concernant d'éventuels bugs, un bug partout ailleurs dans le système de fichier peut te faire perdre des données :)
Mes macs sont encrypté. Ça me donnerait des sueurs froides d'avoir une machine volée et que le disque dur ne soit pas encrypté.
@fousfous : Si jamais tu perds le mot de passe, tes données sont irrécupérables. Terminado !
Hum.... Ca ne m'étonnerait pas qu'Apple propose TouchID sur les prochaines générations de Macs...
J'aimerais bien aussi, surtout les MacBook, car l'iMac a moins d'intérêt à être protégé...
Reste à voir comment intégrer ça.
@taigebu :
Ou FaceID avec la caméra frontale lol
Bizarrement, moi c'est surtout le mot anglais FileVault...
Dites-le plusieurs fois prononcé à la française, et vous verrez que ce n'est vraiment pas digne de confiance pour le chiffrage d'un disque dur ou quoi que ce soit !
;)
@studdywax :
Les veaux ne peuvent pas découvrir les mots de passe... En fait, le nom vient du français... :)
J'utilise FileVault depuis mes que je suis sur Mac. Pour moi c'est indispensable avec un ordinateur portable.
Faut mettre un mot de passe plus risque de bug supplémentaire?
Alors non ce ne serait pas activé sur mon MBPR.
Est-ce qu'une simple mise à jour vers Yosemite final activera cette option ? Ou seule une réinstallation complète le fait ?
C'est une sécurité vraiment très intéressante pour un MacBook. Mais qu'en est-il au niveau réactivité ? Je suis certain que mon MBPR 15 mi-2012 sera largement assez puissant. Mais si c'est pour avoir un ordinateur significativement plus lent, dans le Finder, dans les applis, dans les jeux, avec une charge processeur quasi constante, bof, bof.
Si c'est comme Time Machine, où c'est complètement transparent, même avec un disque chiffré, et où on ne ressent presque pas la charge en plus. Oui, sans hésiter.
Pour ce qui est de taper le mot de passe de session. Je ne pense pas que c'est un gros problème pour les MacBook. Pour ma part, je redémarre ou éteins mon Mac une fois par semaine en moyenne. Par contre, s'il faut le retaper à chaque sortie de veille. Là, c'est pénible.
@rondex8002 :
" Par contre, s'il faut le retaper à chaque sortie de veille. Là, c'est pénible."
On peut activer un retard de verrouillage de la session (30s après mise en veille de l'écran par exemple).
Mais ça réduit le niveau de sécurité.
Est-ce que c'est vraiment plus lent même sur un SSD ?
En cas de bug on peut toujours récupérer avec TM ou du coup ça empêche la TM ?
La question et peut être bête, mais ce système fonctionne-t-il bien avec Time machine, au niveau des sauvegardes horaires, etc. ?
@John Kay :
Oui, ça fonctionne parfaitement avec Time Machine
Il y a la même chose sous iOS, ou les donnée sont en "clair", comme sous Mac OS sans FileVault ?
Effectivement, c'est intéressant comme démarche s'il n'y a pas de perte de performances significatives lors des lectures et écritures sur le disque dur.
Pour un portable récent et quadcore, avec un SSD ultrarapide (comme les dernier modèles), ça devrait le faire. Par contre, mon pauvre MBA core2duo 1.86GHz risque de ne pas apprécier. déjà qua ça rame quand je sort d'une veille prolongée (le temps que tout soit rechargé en mémoire, je suppose), alors, si en plus il doit décrypter tout ça derrière, c'est pas gagner.
Et non, je n'ai pas envie que mon MBA rame : il marche (plutôt) très bien, merci.
PS : il n'y a pas des fonctions de cryptage dédiées dans certains processeurs Intel ?
2 ans que je l'ai activé aucun bugs ni soucis.
Si tu perds ton mdp t'as plusieurs moyens de le récupérer. Et si tu sauvegardes ton ordinateur tu perds rien, ça marche aussi avec Time machine ;) j'ai fais plusieurs sauvegarde et souvent des back, RAS.
Je recommande vivement.
@Hideyasu : ah ça c'est une information que je ne connaissais pas de récupérer le MDP. Intéressant. Tu peux expliciter ?
Hein? Quoi? Apple nous laisse le choix? Et on peut revenir en arrière? Je le crois pas!
Un petit tour sur wikipedia : http://en.wikipedia.org/wiki/FileVault
FileVault 2 => 20 à 30% de perf en moins sur les opérations d'entrée sortie quand les fonctions AES sont intégrées dans les processeurs (à partir des core i quelques chose), donc avec un bon SSD, ça le fait.
Par contre, pour les processeurs de génération précédente (core, core 2), c'est 100% logiciel, et donc :
"Performance deterioration will be larger for CPUs without this instruction set, such as older Core CPUs"
@poulpe63 :
Je l'utilise sur mon MacBook Pro 2009 avec un core2duo 2,53GHz et un SSD. Je n'ai pas remarqué de ralentissement particulier depuis que je l'ai activé...
Ça n'use pas le SSD prématurément d'avoir une image disque Filevault en perpétuelle réécriture ? À moins que la technologie ait fondamentalement changé depuis mon utilisation malheureuse il y a dix ans.
Je pose la même question...
Bonjour,
C'est une bonne question. Même si une partie des opérations doit se dérouler en mémoire pour accélérer, la première passe doit de toute façon balayer puis réécrire l'ensemble des éléments de stockage occupé après cryptage.
Mais j'imagine qu'obtenir des statistiques sur cet aspect ne doit pas être évident.
Bonne journée.
Bon je viens d'activer Filevault, et le premier cryptage écrit en effet sur l'ensemble du disque dur. Cependant une fois ceci fait, je n'ai pas constaté une activité accrue d'écriture sur le disque en utilisation normale...
Mais comme la clé de décryptage est le mot de passe utilisateur, je doute moi-même de l’intérêt réellement sécuritaire de la démarche...
Je l'utiliserais bien si c'était compatible avec le logiciel antivol Undercover!
Jamais utilisé cette connerie.
Ils devraient plutôt mettre un firewall sortant plutôt que ce système total useless.
Y’a PF dans le système. Apprends donc à t’en servir.
Ce n'est pas un PF qui bloque les connections sortantes. Apprends à t'informer.
@Fumée : Tu peux essayer TCPBlock qui est gratuit de mémoire (donations) et sinon, tu as toujours l'infatigable LittleSnitch.
T’as trop fumé la moquette, bonhomme.
Ce n’est pas parce que tu ne sais pas que ça ne fait pas.
PF filtre tout, mais encore faut-il savoir lui demander.
=> icefloor (pour les frileux de la ligne de commande)
Et concernant FileVault, ce n’est pas parce que tu ne t’en sers pas qu’il est inutile à d’autres.
Toujours activé sur mes Mac. On est jamais à l'abri d'un vol ou d'un cambriolage, et autant le matos ça se rachète, autant se faire piquer ses données sensibles c'est une autre histoire.
Pas question de l'activer quant à moi. Sur un MBP 2008, non, ça le ralentirait et il n'a pas besoin de ça.
Suite à un cambriolage ... :( .... Sur mon macbook pro, je l'avais activé mais j'ai fait marche arrière et j'utilise un dmg crypté pour les données personnelles car trop lent; maintenant que j'ai un SSD, je n'aurait peut-être plus le problème. Sur mon Mac mini serveur, je crypte le deuxième disque, avec la home dessus et les données de Server.app, mais le disque de boot n'est pas crypté.
Quelqu'un pourrais nous dire si le chiffrement ne ralentit plus la machine comme c'était le cas avant?
Car je me rappel sur mon MacBook blanc 2007 c'était l'horreur, maintenant avec un iMac 2013 j'espère que ça ira plus vite , es que ça pose problème avec un fusion drive ? , et avec la sauvegarde Time machine ? Merci de vos futurs réponse.
Pages