FileVault : Apple pousse à l'activation par défaut

Florian Innocente |

Avec Yosemite, Apple pousse à l'utilisation de FileVault, son système de chiffrement du contenu du disque dur/SSD. Au point d'inviter absolument tous les utilisateurs à s'en servir. À l'une des étapes d'installation de la version GM distribuée hier soir, le panneau de réglages de FileVault a l'option de chiffrement cochée par défaut. Précédemment c'était à l'utilisateur de faire la démarche. Précisons que nous avons eu la capture ci-après lors d'une mise à jour de Mavericks vers Yosemite.

Toutes les données de la partition de démarrage sont alors chiffrées et protégées par votre mot de passe de session utilisateur lorsque la machine est éteinte ou en veille. L'option de déverrouillage automatique de votre session est désactivée dans la foulée. Ceci afin de mettre à l'abri vos données en cas de vol - les portables sont les plus directement concernés - ou de volonté d'aller fouiner dans votre Mac.

À l'installation de la GM, l'option FileVault est cochée par défaut

Cette activation n'a rien de définitif. On peut revenir en arrière à tout moment depuis le panneau Sécurité et confidentialité dans Préférences Système et supprimer ce chiffrement. De la même manière, si l'on oublie son mot de passe (ainsi que la clef de secours créée lors du chiffrement) on pourra utiliser des identifiants de compte iCloud pour retrouver l'accès à sa session et réinitialiser son mot de passe.

Dans les premières itérations de FileVault, des lenteurs d'exécution de la machine se manifestaient mais les choses se sont considérablement améliorées au fil du temps et en particulier avec l'arrivée de FileVault 2 dans Lion. Les freins à l'utilisation de cette protection se sont relâchés.

Cette option cochée par défaut est aussi une nouvelle ligne de défense élevée par Apple afin de renforcer la protection des données utilisateurs. Une politique qui a fait l'objet d'une communication détaillée récemment et qui s'est dans la foulée attirée les critiques des autorités américaines.

avatar Youth-Spirit | 

Je le ferai volontiers si cela ne me forçait pas à devoir entrer mon mot de passe à chaque fois :/

avatar king péa | 

sur un ordinateur portable, la frappe d'un mot de passe est vraiment quelque chose d'indispensable...
après un mot de passe court, mais fort saurait faire l'affaire @!=!@ est accepté, et vraiment pas facile à deviner

avatar noooty | 

@king péa :
Je connais ton mot de passe... lol

avatar nono68200 | 

J'avoue... C'est comme ne pas mettre de mot de passe sur son téléphone au final. N'importe qui qui le trouve peut avoir accès à tout. Alors à moins de n'avoir rien de personnel sur l'ordinateur, ce qui est très rare... (Rien que les caches de site web peuvent en dire beaucoup sur la personne !)
Ca ne change rien d'utiliser ou non FileVault au niveau utilisation, c'est juste une sécurité de plus, mais en interne.

avatar Ali Ibn Bachir Le Gros | 

Là je suis obligé d'intervenir car ce que tu dis est une hérésie (tu brûleras sur un bûcher et je viendrai te piquer avec une fourche).

En matière de sécurité informatique il est important de savoir si tu as besoin de protéger des données. La réponse devrait être oui si tu utilises des services bancaires en ligne et si tu fais des achats en ligne, car ton disque garde beaucoup de traces qui peuvent être exploitées pour y accéder une fois qu'il est entre de mauvaises mains.

Dans ce cas, si tu utilises un système de chiffrement comme File Vault, ton mot de passe est la clef de chiffrement de ton disque.

Dans ce cas, ton adversaire ne sera pas une personne qui essayera de taper ton mot de passe au clavier mais un logiciel qui tournera sur un ordinateur sur lequel ton disque dur sera branché, et qui essayera de trouver la clef de chiffrement, c-à-d ton mot de passe, en effectuant plusieurs centaines de milliers d'itérations par seconde.

@!=!@ ne tiendra pas la première minute.

Un mot de passe c'est pas court, c'est pas des mots avec un sens, même pas avec les lettres de remplacement car ça les algorithmes de déchiffrement ils les connaissent.

Cet article (en anglais) devrait être une référence : http://blog.agilebits.com/2011/06/21/toward-better-master-passwords/

avatar karayuschij | 

Personne ne devine les mots de passe… Il y a pour ça des logiciels qui trouvent la plupart des mots de passe en quelques heures.

avatar Dan DT | 

@!=!@ est reconnu instantanément, en fait en 2,64 secondes

Un site pour tester vos mots de passe ou approchants, pas mettre l'exact bien sûr :)
Pour moi c'est des centaine d'années, suis tranquille

Les recherches étant en général faites par des anglophones, qlq accents sont toujours les bienvenus, ça oblige la force brute et non dictionnaire

Le site à lire (en anglais) https://tech.dropbox.com
et la page pour tester https://dl.dropboxusercontent.com/u/209/zxcvbn/test/index.html

Bon amusement

avatar Laurent S from Nancy | 

Pas mal ce site. Mon mot de passe de session est estimé à 4 mois, c'est pas mal je ne le pensais pas aussi sécurisé. J'ai modifié quelques éléments pour le faire passer à "centuries".

Ce qui m'amuse ce sont certaines fictions américaines ou bien souvent le mot de passe pour accéder à l'ordinateur ultra-sensible du scientifique qui doit sauver le monde est constitué du prénom des enfants de ce dernier :-)

avatar fousfous | 

Concrètement, c'est quoi tout les désavantages d'activer ca?

avatar olaola | 

C'est plus lent et s'il y a un bug tu peux perdre tes données

avatar Manao | 

@olaola : Oui tu as raison, je crois que la clé de chiffrage est sollicitée en temps réel pour lire les données. Ceci dit, si tu as un portable avec des données importantes, c'est un très bon compromis. Sans doute à réserver pour des utilisation plus de gestion que de production !
Moi j'ai la crainte d'oublier mes mots de passe. Là tu chiales… ;)

avatar noxious | 

Sur un mac mini avec deux disques durs par exemple, filevault ne prend pas en charge ni le RAID 0 ni le 1.

Avec fusion drive je ne sait pas ce que ça donne. (on va dire que comme j'ai jamais entendu personne se plaindre c'est que ça doit être fonctionnel (à vérifier tout de même)

avatar jlb_ | 

Ça peut être plus lent : http://osxdaily.com/2011/08/10/filevault-2-benchmarks-disk-encryption-faster-mac-os-x-lion/

Concernant d'éventuels bugs, un bug partout ailleurs dans le système de fichier peut te faire perdre des données :)

Mes macs sont encrypté. Ça me donnerait des sueurs froides d'avoir une machine volée et que le disque dur ne soit pas encrypté.

avatar Manao | 

@fousfous : Si jamais tu perds le mot de passe, tes données sont irrécupérables. Terminado !

avatar taigebu | 

Hum.... Ca ne m'étonnerait pas qu'Apple propose TouchID sur les prochaines générations de Macs...

avatar nono68200 | 

J'aimerais bien aussi, surtout les MacBook, car l'iMac a moins d'intérêt à être protégé...
Reste à voir comment intégrer ça.

avatar TomSupraBoy | 

@taigebu :
Ou FaceID avec la caméra frontale lol

avatar studdywax | 

Bizarrement, moi c'est surtout le mot anglais FileVault...

Dites-le plusieurs fois prononcé à la française, et vous verrez que ce n'est vraiment pas digne de confiance pour le chiffrage d'un disque dur ou quoi que ce soit !
;)

avatar noooty | 

@studdywax :
Les veaux ne peuvent pas découvrir les mots de passe... En fait, le nom vient du français... :)

avatar Spike2311 | 

J'utilise FileVault depuis mes que je suis sur Mac. Pour moi c'est indispensable avec un ordinateur portable.

avatar fousfous | 

Faut mettre un mot de passe plus risque de bug supplémentaire?
Alors non ce ne serait pas activé sur mon MBPR.

avatar nono68200 | 

Est-ce qu'une simple mise à jour vers Yosemite final activera cette option ? Ou seule une réinstallation complète le fait ?

avatar Florian Innocente | 
@nono68200 : Est-ce qu'une simple mise à jour vers Yosemite final activera cette option ? Ou seule une réinstallation complète le fait ? Je vais le préciser dans l'article mais dans notre cas, la fenêtre en capture a été obtenue après une mise à jour de Mavericks vers la GM de Yosemite.
avatar rondex8002 (non vérifié) | 

C'est une sécurité vraiment très intéressante pour un MacBook. Mais qu'en est-il au niveau réactivité ? Je suis certain que mon MBPR 15 mi-2012 sera largement assez puissant. Mais si c'est pour avoir un ordinateur significativement plus lent, dans le Finder, dans les applis, dans les jeux, avec une charge processeur quasi constante, bof, bof.
Si c'est comme Time Machine, où c'est complètement transparent, même avec un disque chiffré, et où on ne ressent presque pas la charge en plus. Oui, sans hésiter.
Pour ce qui est de taper le mot de passe de session. Je ne pense pas que c'est un gros problème pour les MacBook. Pour ma part, je redémarre ou éteins mon Mac une fois par semaine en moyenne. Par contre, s'il faut le retaper à chaque sortie de veille. Là, c'est pénible.

avatar patrick86 | 

@rondex8002 :

" Par contre, s'il faut le retaper à chaque sortie de veille. Là, c'est pénible."

On peut activer un retard de verrouillage de la session (30s après mise en veille de l'écran par exemple).

Mais ça réduit le niveau de sécurité.

avatar Splint3r-b3n | 

Est-ce que c'est vraiment plus lent même sur un SSD ?
En cas de bug on peut toujours récupérer avec TM ou du coup ça empêche la TM ?

avatar John Kay | 

La question et peut être bête, mais ce système fonctionne-t-il bien avec Time machine, au niveau des sauvegardes horaires, etc. ?

avatar Pato49 | 

@John Kay :
Oui, ça fonctionne parfaitement avec Time Machine

avatar poulpe63 | 

Il y a la même chose sous iOS, ou les donnée sont en "clair", comme sous Mac OS sans FileVault ?

avatar Ridge33 (non vérifié) | 

Effectivement, c'est intéressant comme démarche s'il n'y a pas de perte de performances significatives lors des lectures et écritures sur le disque dur.

avatar poulpe63 | 

Pour un portable récent et quadcore, avec un SSD ultrarapide (comme les dernier modèles), ça devrait le faire. Par contre, mon pauvre MBA core2duo 1.86GHz risque de ne pas apprécier. déjà qua ça rame quand je sort d'une veille prolongée (le temps que tout soit rechargé en mémoire, je suppose), alors, si en plus il doit décrypter tout ça derrière, c'est pas gagner.
Et non, je n'ai pas envie que mon MBA rame : il marche (plutôt) très bien, merci.

PS : il n'y a pas des fonctions de cryptage dédiées dans certains processeurs Intel ?

avatar Hideyasu | 

2 ans que je l'ai activé aucun bugs ni soucis.
Si tu perds ton mdp t'as plusieurs moyens de le récupérer. Et si tu sauvegardes ton ordinateur tu perds rien, ça marche aussi avec Time machine ;) j'ai fais plusieurs sauvegarde et souvent des back, RAS.

Je recommande vivement.

avatar Manao | 

@Hideyasu : ah ça c'est une information que je ne connaissais pas de récupérer le MDP. Intéressant. Tu peux expliciter ?

avatar Chanteloux | 

Hein? Quoi? Apple nous laisse le choix? Et on peut revenir en arrière? Je le crois pas!

avatar poulpe63 | 

Un petit tour sur wikipedia : http://en.wikipedia.org/wiki/FileVault

FileVault 2 => 20 à 30% de perf en moins sur les opérations d'entrée sortie quand les fonctions AES sont intégrées dans les processeurs (à partir des core i quelques chose), donc avec un bon SSD, ça le fait.
Par contre, pour les processeurs de génération précédente (core, core 2), c'est 100% logiciel, et donc :
"Performance deterioration will be larger for CPUs without this instruction set, such as older Core CPUs"

avatar Pato49 | 

@poulpe63 :
Je l'utilise sur mon MacBook Pro 2009 avec un core2duo 2,53GHz et un SSD. Je n'ai pas remarqué de ralentissement particulier depuis que je l'ai activé...

avatar Madalvée | 

Ça n'use pas le SSD prématurément d'avoir une image disque Filevault en perpétuelle réécriture ? À moins que la technologie ait fondamentalement changé depuis mon utilisation malheureuse il y a dix ans.

avatar Laurent S from Nancy | 

Je pose la même question...

avatar elkangooo | 

Bonjour,

C'est une bonne question. Même si une partie des opérations doit se dérouler en mémoire pour accélérer, la première passe doit de toute façon balayer puis réécrire l'ensemble des éléments de stockage occupé après cryptage.
Mais j'imagine qu'obtenir des statistiques sur cet aspect ne doit pas être évident.

Bonne journée.

avatar Laurent S from Nancy | 

Bon je viens d'activer Filevault, et le premier cryptage écrit en effet sur l'ensemble du disque dur. Cependant une fois ceci fait, je n'ai pas constaté une activité accrue d'écriture sur le disque en utilisation normale...

Mais comme la clé de décryptage est le mot de passe utilisateur, je doute moi-même de l’intérêt réellement sécuritaire de la démarche...

avatar Dean Lubaki | 

Je l'utiliserais bien si c'était compatible avec le logiciel antivol Undercover!

avatar Fumée | 

Jamais utilisé cette connerie.
Ils devraient plutôt mettre un firewall sortant plutôt que ce système total useless.

avatar Moonwalker | 

Y’a PF dans le système. Apprends donc à t’en servir.

avatar Fumée | 

Ce n'est pas un PF qui bloque les connections sortantes. Apprends à t'informer.

avatar Manao | 

@Fumée : Tu peux essayer TCPBlock qui est gratuit de mémoire (donations) et sinon, tu as toujours l'infatigable LittleSnitch.

avatar Moonwalker | 

T’as trop fumé la moquette, bonhomme.

Ce n’est pas parce que tu ne sais pas que ça ne fait pas.

PF filtre tout, mais encore faut-il savoir lui demander.

=> icefloor (pour les frileux de la ligne de commande)

Et concernant FileVault, ce n’est pas parce que tu ne t’en sers pas qu’il est inutile à d’autres.

avatar ch4zyx | 

Toujours activé sur mes Mac. On est jamais à l'abri d'un vol ou d'un cambriolage, et autant le matos ça se rachète, autant se faire piquer ses données sensibles c'est une autre histoire.

avatar sinbad21 | 

Pas question de l'activer quant à moi. Sur un MBP 2008, non, ça le ralentirait et il n'a pas besoin de ça.

avatar bigmagic | 

Suite à un cambriolage ... :( .... Sur mon macbook pro, je l'avais activé mais j'ai fait marche arrière et j'utilise un dmg crypté pour les données personnelles car trop lent; maintenant que j'ai un SSD, je n'aurait peut-être plus le problème. Sur mon Mac mini serveur, je crypte le deuxième disque, avec la home dessus et les données de Server.app, mais le disque de boot n'est pas crypté.

avatar Alberto8 | 

Quelqu'un pourrais nous dire si le chiffrement ne ralentit plus la machine comme c'était le cas avant?
Car je me rappel sur mon MacBook blanc 2007 c'était l'horreur, maintenant avec un iMac 2013 j'espère que ça ira plus vite , es que ça pose problème avec un fusion drive ? , et avec la sauvegarde Time machine ? Merci de vos futurs réponse.

Pages

CONNEXION UTILISATEUR