Série Fondamentaux de la sécurité sur macOS : Celui où tout le monde lit vos données parce qu’elles n’étaient pas chiffrées

Le chiffrement peut avoir un sens différent d'une personne à l'autre. Selon votre niveau d'expérience, il peut prendre une forme très simple – masquer un fichier ou un dossier – ou plus complexe, par exemple lorsque vous protégez un fichier ZIP par un mot de passe de 64 caractères parsemé d'espaces, qui tiendra les logiciels de craquage en échec pendant un millénaire. Le terme de « chiffrement » lui-même peut englober un grand nombre de possibilités et de variables : salage de la valeur de hachage, création d'un système de chiffrement unique... autant de sujets avancés qui dépassent largement le cadre de cet article.

Ici, nous allons aborder :

• Les fonctionnalités de base du chiffrement de macOS
• Comment fonctionne (et ne fonctionne pas) FileVault
• Et les avantages de l'activation de FV sur votre Mac

Machine à remonter le temps

Avant de nous pencher sur les points ci-dessus, faisons un petit voyage en 2003. Apple sortait OS X Panther, ou version 10.3, équipé pour la première fois de FileVault (FV), la technologie qui assure le chiffrement des données sur Mac. Lorsqu'il était activé, FileVault chiffrait le contenu du volume personnel d'un utilisateur. Ses identifiants suffisaient à verrouiller et déverrouiller le volume au moment où il se déconnectait ou s'authentifiait.

FileVault appliquait le chiffrement en utilisant l'image sparse d'Apple, similaire à un fichier DMG mais chiffré. Cette image abritait le contenu du volume de l'utilisateur, y compris ses répertoires Desktop et Documents, entre autres.

Mais en 2007, avec la sortie de OS X Lion (10.7), la technologie de chiffrement développée par Apple est remaniée. Sous le nom de FileVault 2 (FV2), elle intègre des fonctionnalités supplémentaires. Depuis, FV2 est la technologie de chiffrement standard disponible dans toutes les itérations d'OS X et de macOS. Nous nous pencherons plus tard sur les fonctionnalités de FV2 et son fonctionnement.

« Lustrer, frotter »

Tout comme M. Miyagi, maître des arts martiaux, enseignait le karaté à Daniel-san en simplifiant les gestes de base de la défense, Apple a adopté une approche similaire pour l'activation et la désactivation de la protection de sécurité dont nous parlons aujourd'hui.

Remarque : la version originale de FV (FileVault legacy) ayant été remplacée par FV2, toutes les discussions à venir porteront exclusivement sur FileVault 2.

Activation du chiffrement

L'activation de FV2 se fait très simplement. Qu'il soit manuel (effectué par l'utilisateur) ou automatisé (réalisé par le service informatique par le biais de la MDM), le processus consiste à :

1. S'authentifier sur un Mac avec un identifiant de niveau administrateur.
2. Lancer les préférences du système.
3. Cliquer sur le volet de préférences Sécurité et confidentialité.
4. Sélectionner l'onglet FileVault.
5. Cliquez sur Activer FileVault.

C'est tout ! FV2 est activé et entame le processus de chiffrement de vos données. Une fois cette opération terminée, vous êtes invité à redémarrer l'ordinateur pour finaliser le processus.

Désactivation du chiffrement

Maintenant que votre Mac est sécurisé, pourquoi voudriez-vous faire une chose pareille ?! Vous pouvez avoir des raisons de désactiver FV2, même temporairement. Pour ce faire :

1. Suivez les étapes 1 à 4 ci-dessus.
2. Cliquez sur Désactiver FileVault.

Là encore, il faudra à Mac un certain temps pour déchiffrer toutes vos données en arrière-plan, pendant que vous l'utilisez normalement. Notez que votre Mac doit être éveillé et branché sur le secteur au moment où vous activez ou désactivez FV2, afin de finaliser le processus de chiffrement ou de déchiffrement.

Stockage des clés de récupération FileVault

Après l'activation de FV2, l'utilisateur est invité à créer une clé de récupération et à la stocker en toute sécurité. Cet accès de secours permet à l'utilisateur de déchiffrer ses données, s'il change ou oublie le mot de passe de son compte, ou si son compte est compromis.backdoor

Il ne faut pas sous-estimer l'importance de cette clé. On recommande donc de la conserver dans un endroit sûr, hors de portée de toute personne qui ne devrait pas avoir accès aux données du disque.

Les utilisateurs disposant de comptes iCloud peuvent y stocker une copie de leur clé de récupération. Cette opération est protégée et sécurisée : même Apple ne peut pas lire la clé. Les utilisateurs peuvent ensuite la récupérer en toute sécurité et à tout moment, avec n'importe quel appareil connecté à iCloud – un gage de tranquillité supplémentaire.

Informatique + FileVault = automatisation !!

Ce dont nous venons de parler concerne aussi bien les Mac personnels que les ordinateurs de travail. Mais nous allons maintenant évoquer spécifiquement les organisations qui gèrent leur flotte de Mac à l'aide d'une solution de gestion des appareils mobiles (MDM), comme Jamf Pro.

La solution MDM ne permet pas seulement de centraliser la gestion des appareils. Elle offre aussi aux équipes informatiques la possibilité de distribuer des configurations qui vont automatiser la mise en œuvre de FV2. Elle rationalise la gestion des clés de récupération propres à chaque appareil et les stocke en toute sécurité dans l'enregistrement de chaque appareil. En cas de besoin, le service informatique n'aura aucun mal à les récupérer.

Vous voulez savoir comment utiliser Jamf Pro pour configurer et gérer FileVault 2 et les clés de récupération de votre entreprise ? Le guide d'administration fournit des informations détaillées pour renforcer la sécurité des appareils, appliquer les bonnes pratiques et respecter les cadres de sécurité et de confidentialité d'Apple.

« Tu lui pètes la jambe »

La fonctionnalité la plus importante de FileVault est le chiffrement. C'est d'ailleurs la principale raison d'activer ce contrôle de sécurité, n'est-ce pas ? C'est en effet l'algorithme de chiffrement, basé sur XTS-AES-128 et une clé de 256 bits, qui « empêche tout accès non autorisé aux informations contenues sur votre disque de démarrage », pour citer Apple.

Oui, vous avez bien lu. Il chiffre le disque de démarrage, et non le volume de l'utilisateur. Ce n'est pas une faute de frappe, mais une différence fondamentale entre FileVault 2 et l'ancien FileVault. Rappelez-vous : la première version ne protégeait que le dossier personnel de l'utilisateur qui avait activé FileVault. Chaque utilisateur devait donc activer FV pour protéger son propre dossier personnel. Les dossiers des autres utilisateurs, et surtout le système d'exploitation lui-même, restaient vulnérables aux menaces et aux attaques.

FileVault 2 corrige ce problème en chiffrant l'intégralité du disque une fois activé. Et toutes les données stockées sur le disque sont effectivement chiffrées. Dans la pratique, il faut d'abord qu'un utilisateur autorisé par FV2 se connecte au Mac pour déverrouiller le disque de stockage, avant d'autres utilisateurs puissent se connecter.

Le résultat ? Un système chiffré qui englobe l'ensemble du disque de stockage et protège toutes les données qu'il contient – et pas seulement celles des utilisateurs qui ont pensé à les sécuriser.

Des gestes fluides

Les films Karate Kid ont fait découvrir au public les techniques mémorables (et souvent imitées) du karaté de Miyagi : le tambour, le kata et, bien sûr, l'inoubliable technique de la grue – autant de mouvements que Daniel-san a appris pour se défendre dans les tournois. De la même façon, l'implémentation du chiffrement de FileVault 2 offre aux utilisateurs plusieurs avantages qui vont au-delà de la simple sécurisation des données.

• Le chiffrement de l'ensemble du disque ou du disque de démarrage sécurise également l'espace vide et inutilisé du disque système. Cela a pour effet de réduire la surface d'attaque et d'empêcher des cybercriminels de l'utiliser pour implanter des logiciels malveillants. En outre, les professionnels de la sécurité considèrent souvent le chiffrement comme le dernier rempart pour maintenir l'intégrité de vos données personnelles, professionnelles ou confidentielles, en cas de vol de votre Macbook, d'extraction du disque de stockage ou autre attaque visant spécifiquement le disque.lastif
• Quand FV2 est activé sur un appareil, il faut également qu'il le soit pour chaque compte d'utilisateur amené à l'utiliser. Les utilisateurs dépourvus de jeton de sécurité seront dans l'impossibilité de se connecter au Mac jusqu'à ce qu'un utilisateur FV s'authentifie et déverrouille le disque. Cette fonctionnalité empêche les utilisateurs non autorisés d'accéder au contenu du disque. Et cela vaut autant sur le Mac lui-même que si le disque est retiré et connecté à un autre Mac, comme c'est le cas lors d'un vol de données.
• Les deux versions de FileVault respectent le principe de confidentialité de la triade de sécurité. Autrement dit, non seulement les données sont protégées contre les menaces, mais FV respecte également les normes du National Institute of Standards and Technology (NIST). Le NIST est une agence de l'administration américaine qui, entre autres programmes de normes, fournit aux organisations des conseils pour gérer et réduire le risque de cybersécurité. La norme SP 800-179, Révision 1, notamment, fournit des conseils de niveau entreprise pour atténuer les risques grâce aux bonnes pratiques, tout en renforçant la posture de sécurité de vos terminaux Apple.
• Avec Jamf Pro, la gestion de l'accès des utilisateurs aux appareils protégés par FV est une opération triviale. Mais les administrateurs qui souhaitent le faire à la main peuvent aisément utiliser le terminal pour activer ou désactiver l'accès sécurisé par jeton de chaque compte utilisateur, et même réinitialiser les mots de passe, si nécessaire. Voici ce que renvoie la commande sysadminctl, utilisée pour gérer l'accès des comptes utilisateurs aux appareils chiffrés avec FileVault 2 :