Samedi sécurité : FileVault
Attention, ce sujet traite de FileVault sur le SSD interne Mac équipés de puces T1, T2 ou Apple Silicon ARM, il y a des différences majeures en terme de sécurité lorsque l'on parle de Mac antérieurs ou de disque dur ou SSD externes.
On ne peut considérer la même sécurité pour un disque-dur ou SSD externe que si on a "effacé" celui-ci neuf, sans jamais rien y avoir écrit, en demandant le chiffrement dès le départ.
Je vous en reparle un de ces quatre!
FileVault
FileVault est un système de chiffrement de disque dur et SSD, grossièrement on est sur une variante AES 256 bits qu'on peut considérer comme assez sûr, en tout cas plus sûr que votre mot-de-passe.
Sur le SSD interne d'un Mac équipé de puces T1, T2 ou ARM Apple Silicon, il consiste à chiffrer dès l'origine et à tout moment vos fichiers (pour les puristes les blocks).
Pour les puristes, il d'agit de XTS-AES avec des blocks de 128 bits, qui a des failles de sécurité, mais sauf à ce que vous soyez visé par une organisation de niveau gouvernementale ça n'a pas d'impact et il est courant que les GAFAM dont Microsoft utilisent des versions faibles de cypher standardisés. Vous pouvez dormir tranquille.
Que ça soit les puces T1, T2 ou les SoC ARM, ils assurent le chiffrement et le déchiffrement au vol, sans dégrader les performances ni augmenter la consommation: c'est intégré et gratuit.
Activer FileVault
Par défaut FileVault n'est pas "activé", mais il y a bien un chiffrement de tout ce que vous stockez en interne, vos données dans vos Mac. (T1, T2 ou ARM)
Une clé maître de chiffrement et déchiffrement a été créée et est utilisée de manière transparente sur chaque lecture ou écriture de vos fichiers.
Lorsque vous "activez" FileVault sur ces Mac (T1, T2 ou ARM), la clé maître est alors chiffrée pour chacun des comptes utilisateur auquel vous donnez accès aux données, via un dérivé de son mot-de-passe, et la clé-maître originelle effacée: seul le mot-de-passe d'un des comptes utilisateurs permet de déchiffrer alors la clé associée pour obtenir la clé maître déverrouillant l'accès aux données.
Sur les anciens Mac (sans T1 ni T2 ni ARM) ainsi que sur les supports externes, cela fonctionne différemment, je vous en parlerais un autre samedi.
De quoi protège FileVault
FileVault protège essentiellement vos données contre quelqu'un ayant un accès physique à votre Mac, sauf bien sûr s'il a un compte dessus.
Il empêche aussi quelqu'un n'ayant pas de compte autorisé par FileVault de démarrer macOS.
FileVault ne protège pas des malware, du phishing, des virus ou autres vers, des bugs ou backdoors, des logiciels piratés vérolés, etc.
Le scénario est celui du vol, ou de l'accès dans un espace où vous auriez laissé votre Mac sans surveillance. C'est pour cela que j'utilise FileVault. Garantir la confidentialité en cas de vol.
Code de sécurité et iCloud
Lorsque vous "activez" FileVault, un code de sécurité vous est présenté, permettant à tout moment de déverrouiller l'accès à vos données si vous avez perdu votre mot-de-passe et de démarrer votre Mac.
Similairement, FileVault vous proposera de sauver cette clé magique dans iCloud, pour la même raison, la même facilité et le même confort.
Mon choix personnel est que si je ne me souviens pas du mot-de-passe de mon compte sur mon Mac, que j'utilise à tire-larigot, j'ai un bien plus gros problème que de restaurer l'accès à mon Mac. Consultez si c'est votre cas!
Je ne note pas cette clé d'accès, et je ne la donne pas à Apple.
Vos données doivent être accessibles encore sur vos sauvegardes, au moins une et de préférence deux ou plus. Pas besoin de donner la clé du royaume à Apple!
En résumé
Je recommande d'activer FileVault sur votre SSD interne pour tout Mac Intel avec une puce T1 ou T2 et tout Mac ARM Apple Silicon, une fois que les sauvegardes sont faites.
On sauvegarde d'abord, on protège l'accès ensuite.
Je recommande aussi de ne rien donner à Apple: vos fichiers ne les regardent pas.
Notez que bien sûr les sauvegardes doivent être chiffrées, dès le départ, il n'y a aucune bonne raison pour ne pas chiffrer, mais c'est un autre sujet car FileVault fonctionne différemment dans ce cas, et je vais revenir dessus.