Empêcher la réinitialisation manuelle des mots de passe sur un Mac en utilisant FileVault Security
Presque tous les utilisateurs de Mac ont un identifiant et un mot de passe requis pour accéder au Mac au démarrage (et si vous n'en avez pas, vous devriez !), ce qui fournit une couche raisonnable de protection par mot de passe pour éviter la plupart des regards indiscrets. Cependant, les utilisateurs ayant des besoins de sécurité plus avancés peuvent avoir besoin d'aller plus loin pour protéger leur Mac contre les accès non autorisés, et parce qu'il existe des moyens de réinitialiser un mot de passe administrateur Mac en utilisant diverses astuces, les protections de connexion utilisateur plus simples ne sont pas nécessairement adéquates pour chaque utilisateur dans des situations de sécurité plus élevée et des environnements à risque.
En fin de compte, il s'agit d'empêcher les options standard et avancées de réinitialisation du mot de passe pour Mac OS X qui sont réalisables par le biais du mode utilisateur unique et en utilisant des disques de démarrage. Il existe plusieurs façons d'y parvenir, mais la méthode la plus simple pour empêcher des tentatives de contournement de connexion encore plus avancées est peut-être d'activer le cryptage intégral du disque, connu sous le nom de FileVault, qui non seulement crypte toutes les données sur le disque, mais aussi place une connexion obligatoire plus tôt dans les étapes de démarrage d'OS X. Les exigences de connexion précoce qui en résultent empêchent l'accès non autorisé au Mac par le biais du mode utilisateur unique et des volumes de démarrage externes, ce qui peut contribuer à éviter même les astuces les plus avancées consistant à contourner les connexions des utilisateurs et des administrateurs ou à réinitialiser les mots de passe par la ligne de commande.
Pour simplifier grandement les choses, une simple comparaison avant et après montre les étapes du démarrage, l'avant représentant les méthodes de contournement théoriques qui peuvent être utilisées par des personnes bien informées pour accéder à des machines avec une simple protection par mot de passe, et l'après avec la connexion Filevault formant effectivement un blocage de connexion plus tôt dans le processus de démarrage, ce qui annule la plupart des tentatives de contournement :
- Avant : Démarrage> Mode utilisateur unique> Contournement du mot de passe avancé> Connexion avec accès complet
- Après : Démarrage> Login de sécurité FileVault requis pour un accès complet
FileVault est extrêmement facile à configurer pour presque tout le monde et peut être fait rapidement dans le panneau de préférences "Sécurité" d'OS X. Nous avons déjà couvert le cryptage de FileVault de manière approfondie, et pour ceux qui ne le connaissent pas, c'est une fonction de sécurité avancée qui offre une protection incroyable des données sur les Macs en cryptant l'intégralité du disque. Assurez-vous simplement de bien comprendre les risques et les limites associés à l'utilisation du cryptage intégral du disque - la version Speed Reader est essentiellement la suivante : si vous oubliez le mot de passe FileVault et que vous perdez la clé de récupération, vos données sont définitivement verrouillées et inaccessibles à presque tout le monde. Ainsi, il n'est peut-être pas pratique pour tous les utilisateurs de Mac, mais pour les utilisateurs ayant des exigences de sécurité plus strictes, il peut être fortement recommandé d'utiliser Filevault en plus d'une bonne habitude d'utiliser régulièrement un écran verrouillé pour aider à prévenir l'accès non autorisé.
Pour des raisons de performances, la protection FileVault est mieux utilisée sur un disque de stockage flash SSD, mais elle fonctionne également sur les disques durs ordinaires, bien que certains utilisateurs puissent remarquer une légère dégradation occasionnelle des performances.
Merci à Pavol pour l'idée et la question du conseil ! Vous avez une question, un commentaire ou une idée de conseil ? Faites-le nous savoir !