Adoptez la fonction Effacer contenu et réglages de macOS pour un redéploiement rapide et sécurisé.

Le blog Jamf publie depuis quelques années une série de billets intitulés « Réinstaller un macOS en un clic ». L'idée de réinstaller un système d'exploitation propre découle d'une règle d'or des administrateurs : il faut toujours effacer et réinstaller les disques d'un ordinateur avant de le réutiliser ou de le mettre hors service, ou quand il semble impossible à réparer.

Apple met quasiment fin à cette obligation : il suffit désormais d'effacer les données, sans toucher au système d'exploitation. On comprend que cela puisse mettre les administrateurs ou les professionnels de la sécurité mal à l'aise. Cette pratique d'effacement/réinstallation est en effet rigoureusement appliquée depuis que l'ordinateur est devenu incontournable sur un bureau – dans les années 1990.

Mais « c'est comme ça qu'on a toujours fait » n'est pas un argument suffisant pour se priver de cette nouvelle fonctionnalité, introduite sur macOS avec Monterey il y a un an à peine. Nous allons voir :

• Comment fonctionne l'option Effacer contenu et réglages
• La genèse de la fonction Effacer contenu et réglages sur macOS
• La sécurité de la fonction Effacer contenu et réglages
• Exécuter Effacer contenu et réglages
• Dans quels cas il est encore préférable d'effacer entièrement le disque et de réinstaller l'OS

Notre objectif : faire en sorte que l'effacement intégral du disque Mac prenne sa retraite sur une petite île isolée au milieu de la mer Morte.

Comment fonctionne l'option Effacer contenu et réglages

Depuis plus d'une dizaine d'années – au moins depuis l'iPhone 3, iOS propose la fonction Effacer contenu et réglages. Dès le départ, Apple a conçu cette fonctionnalité pour offrir une méthode sûre de réinitialisation d'un iPhone, sans avoir à réinstaller iOS. N'oubliez pas que l'iPhone était avant tout un produit grand public : Apple devait rendre ce processus convivial.

Pour cela, le constructeur a fait deux choix.

Tout d'abord, le stockage des données a toujours été chiffré sur l'iPhone. Le code PIN permettait à la fois à l'utilisateur de déchiffrer l'appareil au moment de s'en servir, et de protéger ses données le reste du temps. Mais Apple n'a jamais donné au consommateur un accès direct au système d'exploitation iOS lui-même. Il ne pouvait pas être modifié.

Ensuite, le stockage de l'iPhone a été divisé en deux partitions : la première, en lecture seule, était dédiée au système d'exploitation ; l'autre, accessible en écriture, dédiée au stockage des données. La partition du système d'exploitation n'était modifiée qu'en cas de mise à jour. Elle restait en lecture seule et ne pouvait pas être modifiée dans le cadre d'une utilisation normale.

Lorsque le propriétaire de l'iPhone souhaitait le vendre ou le donner à un membre de sa famille, la fonctionnalité Effacer tout le contenu et les réglages supprimait simplement la clé de chiffrement de la partition des données. La partition du système d'exploitation, elle, restait intacte. Un processus aussi rapide que pratique. Le système d'exploitation était toujours là. Il n'était pas nécessaire de le réinstaller, et il conservait les dernières mises à jour appliquées.

La genèse de la fonction Effacer contenu et réglages sur macOS

Le Mac, cependant, ne disposait pas de cette option rapide et pratique jusqu'à très récemment. Il devait subir une longue série de changements majeurs pour atteindre le niveau de sécurité qui était intégré à iOS dès le début.

La transition n'a pas un point de départ bien défini. Mais s'il en faut un, c'est sans doute OS X El Capitan 10.11, quand Apple a introduit la protection de l'intégrité du système (SIP). Avec la SIP, le système d'exploitation Mac recevait une première protection contre les menaces externes et les logiciels malveillants – ou même les administrateurs, qui ne pouvaient plus modifier directement l'OS. Pour y parvenir, ils devaient d'abord démarrer sur le disque dur de récupération pour désactiver la SIP. Une procédure uniquement réalisable par un humain assis devant l'ordinateur.

Au fil des versions majeures suivantes, la SIP a couvert une part croissante du système d'exploitation. Pour renforcer la sécurité, Apple a introduit son système de fichiers Apple (APFS) dans macOS High Sierra 10.13, ouvrant la voie à des changements majeurs dans la gestion des données sur le disque. Et la société liait le système d'exploitation à des modèles de matériel spécifiques en exigeant un micrologiciel précis. Ce processus d'installation nécessitait une connectivité Internet pour télécharger la version du microprogramme spécifique à la machine.

En 2017, Apple a introduit une fonctionnalité de sécurité supplémentaire, spécifique au matériel et non au système d'exploitation : la puce de sécurité T2. Cette puce, tout comme la puce Apple Silicon introduite fin 2020, est devenue essentielle pour la sécurité des installations de macOS. Comme les appareils iOS, les disques Mac ont ainsi pu être chiffrés dès leur sortie de la boîte.

En mars 2018, Apple a ajouté la commande startosinstall au programme d'installation de macOS High Sierra 10.13.4. Une option --eraseinstall permettait d'effacer complètement le système d'exploitation d'un disque (ainsi que ses données utilisateur), puis d'installer un macOS propre. Comme startosinstall était un outil en ligne de commande, il était facile de l'invoquer à distance sur des Mac. Autrement dit, le technicien n'avait plus besoin de s'asseoir devant l'ordinateur et de le démarrer sur un disque externe pour le réinitialiser.

C'est avec MacOS Catalina 10.15 que le disque de l'ordinateur a été divisé en deux partitions : l'une, en lecture seule, pour le système d'exploitation ; l'autre, accessible en écriture, pour les données de l'utilisateur. Cette nouveauté annonçait l'avènement de la fonction Effacer contenu et réglages. Elle préparait également le terrain à macOS Big Sur 11.0 et la signature du volume système. Pour garantir son intégrité, celui-ci est soumis à un processus rigoureux de validation de checksum à l'installation et à chaque démarrage.

Et quand toutes les pièces ont été en place, macOS Monterey a introduit la fonction Effacer contenu et réglages sur Mac. Le nouveau processus durait à peine 4 à 5 minutes, alors que la commande startosinstall avec l'option --eraseinstall pouvait prendre 20 minutes sur un Mac rapide, voire plus selon le modèle.

La sécurité de l'option Effacer contenu et réglages

Un administrateur d'ordinateur local peut invoquer Effacer contenu et réglages. Cette commande réalise plusieurs opérations :

• L'utilisateur final est déconnecté de tous les services Apple, iCloud inclus.
• Les empreintes digitales sont supprimées de Touch ID
• Les accessoires Bluetooth sont dissociés
• Find My Mac et le verrouillage d'activation sont désactivés
• Les applications, les données et les réglages de l'utilisateur sont effacés
• Tous les autres volumes sont effacés, y compris les volumes du système qui utilisent BOOTCAMP.

De la même manière, on peut envoyer la commande EraseDevice à partir d'un serveur de gestion des appareils mobiles (MDM) comme Jamf Now, Jamf Pro ou Jamf School. Cela aura pour effet d'effacer l'intégralité du contenu et des réglages des ordinateurs macOS Monterey et Ventura, sans vider entièrement le disque.

La première étape du processus Effacer contenu et réglages consiste à vérifier que le système d'exploitation n'a pas été modifié ni corrompu. Comment ?

C'est là que la puce T2 ou Apple Silicon prend toute son importance. Dans chaque puce se trouve une zone appelée « Secure Enclave ». La Secure Enclave stocke une clé de chiffrement spécifique à chaque Mac. C'est cette clé de chiffrement qui autorise l'ordinateur à déverrouiller le volume système signé. (N'oubliez pas que le volume système est chiffré dès le départ.)

Si la clé de chiffrement ne correspond pas au volume système signé, l'option Effacer contenu et réglages affiche une alerte indiquant que macOS doit être réinstallé. Elle n'autorise pas un système macOS modifié ou « corrompu » à rester sur l'ordinateur. Et le seul moyen d'obtenir un nouveau système d'exploitation est de s'adresser à Apple.

Mais qu'est-ce qui empêche un administrateur d'installer son propre système d'exploitation modifié ? C'est toujours possible, mais seulement si la sécurité du Mac a été abaissée au niveau Sécurité moyenne (Apple Silicon) ou Aucune sécurité (Intel), au lieu de Sécurité maximale. Ce type de sécurité est conçu pour les développeurs qui doivent tester des logiciels de bas niveau.

La fonction Effacer contenu et réglages réalise ensuite une autre opération très importante. Si le niveau de sécurité d'un Mac a été abaissé, elle rétablit la Sécurité maximale en restaurant tous les mécanismes de sécurité de la Secure Enclave, ainsi que le volume système signé de manière cryptographique.

Pour connaître le niveau de sécurité d'un Mac Intel ou Apple Silicon dans Jamf Pro, accédez à l'enregistrement de l'ordinateur et sélectionnez Inventaire > Sécurité. Vous pouvez également créer une recherche avancée ou un groupe intelligent à l'aide du critère « Niveau de démarrage sécurisé » pour créer une liste d'ordinateurs cibles.

Et si Jamf Pro signale une sécurité réduite, il suffit de lancer Effacer contenu et réglages ou la commande EraseDevice pour que le Mac retrouve ses réglages les plus sécurisés avant de le préparer à un autre usage.

Exécuter Effacer contenu et réglages

L'utilisateur final peut exécuter la commande Effacer contenu et réglages directement sur son ordinateur. Mais un administrateur MDM peut aussi envoyer la commande EraseDevice à une ou plusieurs machines. Dans les deux cas, les exigences sont les mêmes :

• Les ordinateurs Intel doivent être équipés d'une puce de sécurité T2
• Tous les ordinateurs Apple Silicon prennent en charge Effacer contenu et réglages
• L'ordinateur doit être équipé de macOS Monterey 12.0 ou d'une version plus récente.
• Pour exécuter la commande depuis l'ordinateur lui-même, il faut être connecté sous un compte d'administration et disposer des identifiants nécessaires pour se déconnecter d'iCloud.

Pour exécuter la commande sur macOS Ventura, ouvrez Paramètres système (anciennement Préférences système) > Général > Transférer ou réinitialiser, puis cliquez sur Effacer contenu et réglages. L'assistant d'effacement demande d'abord les identifiants de l'administrateur.

Il présente ensuite un résumé de l'opération à venir.

Si l'ordinateur est connecté à iCloud, l'administrateur est invité à saisir le mot de passe du compte Apple.

Une fois authentifié, l'utilisateur final est averti une dernière fois que l'ensemble des données, des réglages et des applications vont être effacés, sans possibilité d'annuler l'opération.

L'ordinateur redémarre en lançant temporairement l'assistant de récupération pour activer le Mac. Il redémarre encore environ 60 secondes après si l'utilisateur final ne fait rien. Encore une fois, au cours de ce processus, le Mac utilise la clé de chiffrement stockée dans la Secure Enclave pour vérifier l'intégrité de macOS installé. Au besoin, il rétablit la Sécurité maximale.

Si l'utilisateur final voit « Bonjour » en plusieurs langues au bout de 4 à 5 minutes environ, les réglages d'origine ont bien été rétablis et la Sécurité maximale est activée. En revanche, si un message indique qu'il faut réinstaller macOS, cela signifie que le système actuel a été jugé corrompu. Dans ce cas, l'assistant de récupération permet de télécharger et installer un système macOS vierge.

Mais que se passe-t-il si un administrateur MDM envoie une commande EraseDevice alors qu'un utilisateur est connecté à l'ordinateur avec un compte iCloud ?

Tout d'abord, pour envoyer la commande EraseDevice à un seul ordinateur à partir de Jamf Pro, naviguez jusqu'à l'enregistrement de l'ordinateur et cliquez sur Gestion > Commandes de gestion > Effacer l'ordinateur. S'il prend en charge la fonction Effacer contenu et réglages (voir les critères énumérés plus haut), seuls les données et les réglages de l'utilisateur seront effacés. Mais soyez prudent. Sur les ordinateurs qui ne prennent pas en charge la fonction Effacer contenu et réglages, ce même bouton va tout effacer – système d'exploitation, données utilisateur et réglages.everything

La commande peut avoir deux prérequis : envoyer l'instruction Effacer le verrouillage d'activation et fournir un code d'effacement à distance.

La suppression du verrouillage d'activation déconnecte l'ordinateur du compte iCloud. Quant au code d'effacement à distance, il n'est utile que si le verrouillage à distance est en place sur l'ordinateur. Dans le cas contraire, n'importe quel code à 6 chiffres fonctionnera. Après avoir cliqué sur Effacer l'ordinateur, l'administrateur doit confirmer une fois de plus le lancement de l'opération.

Une remarque : si un ordinateur n'est pas connecté à iCloud, ou s'il a été inscrit avec Jamf Pro PreStage, qui empêche le verrouillage d'activation, l'option permettant de le désactiver ne s'applique pas. Il se peut que l'administrateur reçoive un message indiquant que le verrouillage d'activation n'a pas pu être levé. Il peut tout de même poursuivre l'opération en cliquant sur OK.

Actuellement, pour envoyer la commande EraseDevice à plusieurs ordinateurs, il faut nécessairement utiliser l'API Jamf Pro Classic. Il n'est pas possible d'utiliser le bouton Action en bas d'une recherche avancée ou d'un groupe intelligent. Cette fonction n'est pas non plus prise en charge par la nouvelle API Jamf Pro.

Pour rédiger un script permettant d'envoyer la commande EraseDevice à un ordinateur via l'API classique, la syntaxe de base est de la forme suivante :

La chaîne « 123456 » de la dernière ligne représente le code à six chiffres requis pour lever le verrouillage de l'appareil, et la chaîne « 1,5,18,24 » correspond à une liste d'identifiants Jamf d'ordinateurs. Avec l'API Classic, vous ne pouvez identifier les ordinateurs que par leur ID.

Pour un script plus complet, consultez ce gist GitHub.

L'API classique est très pratique pour envoyer la commande EraseDevice à plusieurs Mac, en particulier pour les administrateurs de Mac de laboratoire scolaire. Dans ces environnements, les machines doivent souvent être réinitialisées chaque trimestre ou semestre. Avec l'option d'inscription PreStage, qui permet d'avancer automatiquement dans l'assistant de configuration, la réinitialisation peut se faire sans toucher à la machine.

Dans quels cas il est encore préférable d'effacer entièrement le disque et de réinstaller l'OS

Faut-il complètement abandonner la commande startosinstall et son option --eraseinstall ?

Pas tout à fait encore. Les deux systèmes macOS qui offrent la fonction Effacer contenu et réglages, Monterey et Ventura, fonctionnent toujours sur une poignée d'anciens modèles d'ordinateurs, dépourvus de la puce de sécurité T2. Jusqu'à ce qu'Apple commercialise un système d'exploitation uniquement compatible avec les ordinateurs équipés de puces T2 ou Apple Silicon, la commande startosinstall a toujours sa place dans la boîte à outils de l'administrateur.

Il est également à prévoir que, dans quelques années, Apple publiera une version de macOS qui intégrera une Secure Enclave.requires Comme iOS et iPadOS aujourd'hui, la réinstallation complète de macOS sera sans doute limitée à certains développeurs qui travaillent à des niveaux bas du système d'exploitation, entre le noyau et le matériel. L'administrateur d'appareils moyen ne travaillera probablement jamais à ce niveau.

Et ensuite ? La fonction Effacer contenu et réglages n'est qu'un jalon de plus dans un long parcours de développement d'Apple sans doute destiné à rapprocher macOS et iOS jusqu'au jour où il n'y aura plus qu'un seul OS pour tous les appareils. Ce processus est lent, mais Apple donne tous les signes que c'est l'objectif poursuivi avec ténacité.

Pour l'instant, retenez que Effacer contenu et réglages remplace la commande startosinstall. C'est une méthode sûre pour supprimer les données des utilisateurs et rétablir les réglages d'origine d'un ordinateur.