Gestion de FileVault sous macOS
Sur les appareils sous macOS, les organisations peuvent gérer FileVault au moyen de jetons sécurisés ou d’amorçage.
Utilisation de jetons sécurisés
Apple File System (APFS) sous macOS 10.13 ou les versions ultérieures change la façon dont les clés de chiffrement FileVault sont générées. Sous les versions précédentes de macOS sur les volumes Core Storage, les clés utilisées dans le processus de chiffrement FileVault étaient créées lorsqu’un utilisateur ou une entreprise activait FileVault sur un Mac. Sur les appareils sous macOS sur les volumes APFS, les clés sont générées soit lors de la création de l’utilisateur, en configurant le mot de passe du premier utilisateur, soit lors de la première connexion d’un utilisateur du Mac. Cette implémentation des clés de chiffrement, le moment où elles sont générées et la façon dont elles sont stockées font partie d’une fonctionnalité appelée jeton sécurisé. Plus précisément, un jeton sécurisé est une version enveloppée d’une clé de chiffrement de clés (KEK) protégée par le mot de passe d’un utilisateur.
Lors du déploiement de FileVault dans l’APFS, l’utilisateur peut continuer à :
utiliser les outils et les processus existants, comme une clé de secours personnelle qui peut être stockée dans un service de gestion des appareils pour l’autorité de séquestre;
reporter l’activation de FileVault jusqu’à la connexion ou la déconnexion d’un utilisateur du Mac;
créer et utiliser une clé de secours institutionnelle.
Sous macOS 11, la configuration initiale du mot de passe du premier utilisateur d’un Mac entraîne l’attribution à cet utilisateur d’un jeton sécurisé. Dans certains cas, ce processus pourrait ne pas être souhaité, car l’attribution du premier jeton de sécurité requiert la connexion au compte utilisateur. Pour empêcher ce cas de figure, ajoutez ;DisabledTags;SecureToken à l’attribut AuthenticationAuthority de l’utilisateur qui a été créé de façon programmée avant de configurer le mot de passe de l’utilisateur, comme indiqué ci-dessous :
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Utilisation du jeton d’amorçage
macOS 10.15 a introduit le jeton d’amorçage, pour faciliter l’attribution d’un jeton sécurisé aux comptes mobiles et au compte administrateur facultatif créé par l’inscription de l’appareil (« administrateur géré »). L’utilisation de la fonctionnalité du jeton d’amorçage de macOS 10.15 ou les versions ultérieures requiert :
l’inscription du Mac à un service de gestion des appareils par l’entremise d’Apple School Manager ou d’Apple Business Manager, ce qui rend le Mac supervisé;
le soutien aux développeurs du service de gestion des appareils.
Sous macOS 10.15.4 ou les versions ultérieures, un jeton d’amorçage est généré et stocké sous séquestre dans un service de gestion des appareils lors de la première connexion de tout utilisateur pour lequel le jeton sécurisé est activé, si cette fonctionnalité est prise en charge par le service de gestion des appareils. Un jeton d’amorçage peut être généré et stocké sous séquestre dans un service de gestion des appareils à l’aide de l’outil de ligne de commande profiles, au besoin.
Sous macOS 11 ou les versions ultérieures, un jeton d’amorçage peut :
attribuer un jeton sécurisé à tout utilisateur se connectant à l’ordinateur Mac, y compris à des comptes utilisateur locaux;
être utilisé, sur un Mac avec puce Apple, pour autoriser l’installation d’extensions de noyau et de mises à jour logicielles lorsque l’appareil est géré au moyen d’un service de gestion des appareils.
Clés de secours institutionnelles ou personnelles
FileVault prend en charge, tant sur le volume CoreStorage qu’APFS, l’utilisation d’une clé de secours institutionnelle (autrefois appelée identité maître FileVault) pour déverrouiller le volume. Bien qu’une clé de secours institutionnelle soit utile pour les opérations de ligne de commande visant à déverrouiller un volume ou à désactiver FileVault, son utilité pour les organisations est limitée, en particulier dans les versions récentes de macOS. Et sur un Mac avec puce Apple, les clés de secours institutionnelles n’ont aucune valeur fonctionnelle, pour deux raisons principales : Elles ne peuvent pas être utilisées pour accéder à recoveryOS et le mode disque cible n’étant plus pris en charge, le volume ne peut pas être déverrouillé en le connectant à un autre Mac.
Important : Pour ces raisons notamment, l’utilisation d’une clé de secours institutionnelle n’est plus recommandée pour la gestion institutionnelle de FileVault sur des ordinateurs Mac. Une clé de secours personnelle doit plutôt être utilisée.
Déverrouillage de FileVault par protocole SSH
Sur les Mac avec puce Apple sous macOS 26 ou les versions ultérieures, FileVault peut être déverrouillé par protocole SSH après un redémarrage si la fonctionnalité de session à distance est activée et qu’une connexion réseau est disponible.