Maximiser la sécurité de FileVault en détruisant le stockage des clés en mode veille

Le mode veille est une fonction d'économie d'énergie qui met automatiquement en hibernation un Mac après qu'il ait été en mode veille pendant un certain temps, ce qu'il fait pour réduire davantage la consommation de la batterie. Lorsqu'un Mac utilisant le cryptage FileVault est placé en mode veille, une clé FileVault (oui, cette clé est cryptée) est stockée dans EFI (firmware) afin qu'il puisse rapidement sortir du mode veille lorsqu'il est réveillé d'un sommeil profond. Pour 99 % des utilisateurs, cela n'a pas d'importance et ne pose pas de problème de sécurité, mais pour ceux qui se soucient d'une sécurité maximale absolue et de la protection d'un Mac contre certaines attaques inhabituellement agressives (c'est-à-dire au niveau de l'espionnage), vous pouvez configurer OS X pour qu'il détruise automatiquement cette clé FileVault lorsqu'il est placé en mode veille d'économie d'énergie, empêchant ainsi que cette clé stockée ne soit un point faible potentiel ou une cible d'attaque.

En activant ce paramètre, les utilisateurs de FileVault doivent entrer leur mot de passe FileVault lorsqu'un Mac est réveillé du mode veille, car la touche FV n'est plus stockée pour un réveil rapide. Ce n'est pas vraiment un inconvénient, mais cela ralentit un peu le réveil du sommeil profond, et cela nécessite que l'utilisateur s'engage dans un niveau d'authentification supplémentaire au-delà des fonctions standard de verrouillage et de connexion avant que le Mac ne redevienne utilisable.

Augmenter la sécurité de FileVault en détruisant les clés de FileVault en mode veille

Cette commande doit être entrée dans le Terminal, qui se trouve dans /Applications/Utilitaires/

pmset -a destroyfvkeyonstandby 1

Le drapeau -a applique le réglage à tous les profils de puissance, c'est-à-dire à la fois à la batterie et au chargeur.

Si vous trouvez cette fonction inutile ou frustrante, vous pouvez facilement l'inverser en mettant le 1 à 0 et en utilisant à nouveau la commande comme suit :

pmset -a destroyfvkeyonstandby 0

Notez que selon les privilèges du compte d'utilisateur actif, vous devrez peut-être préfixer ces deux commandes avec sudo pour qu'elles soient exécutées depuis le super-utilisateur, donc les commandes seraient les suivantes :

Activation de la destruction des clés FileVault

sudo pmset -a destroyfvkeyonstandby 1

Désactivation de la destruction des clés FileVault

sudo pmset -a destroyfvkeyonstandby 0

Vous pouvez toujours vérifier les paramètres pmset pour voir si cela est actuellement activé ou désactivé en utilisant la commande suivante :

pmset -g

Certes, c'est un peu technique et un peu extrême, et cela ne s'appliquera donc pas à la grande majorité des utilisateurs de Mac. Néanmoins, pour ceux qui se trouvent dans des environnements de sécurité sensibles, ceux qui ont des données très sensibles stockées sur leurs ordinateurs, ou même pour les personnes qui souhaitent le maximum de sécurité personnelle, c'est une option très précieuse et devrait être envisagée si le compromis d'un temps de veille plus lent vaut le bénéfice supplémentaire en matière de sécurité.

Comme toujours avec FileVault, n'oubliez pas le mot de passe, sinon tout le contenu du Mac deviendra définitivement inaccessible car le niveau de cryptage est si fort que pratiquement rien ne pourrait le surmonter à l'échelle humaine. Si vous êtes nouveau à FileVault et au concept de cryptage complet du disque, assurez-vous de le configurer correctement, et ne perdez jamais la clé de récupération de FileVault.

Pour de plus amples informations techniques sur ce sujet, Apple dispose d'un excellent guide de déploiement FileVault disponible au format PDF .

Click to rate this post!
[Total: 1 Average: 4]

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *