Définition d’une clé de secours FileVault pour les ordinateurs de votre organisation

Une clé de récupération institutionnelle (IRK) vous permet de récupérer les données de vos utilisateurs chiffrées via FileVault lorsque ces derniers ne se rappellent plus le mot de passe de connexion à leur Mac.

Les étapes avancées ci-dessous s’adressent principalement aux administrateurs système et aux utilisateurs maîtrisant les lignes de commande.

Créer un trousseau principal FileVault

  1. Ouvrez l’app Terminal sur votre Mac, puis saisissez la commande suivante :
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
  2. Lorsque vous y êtes invité, saisissez le mot de passe principal du nouveau trousseau, puis entrez-le à nouveau lorsque le système vous redemande de le saisir. Le mot de passe ne s’affiche pas dans Terminal à mesure de votre saisie.
  3. Une paire de clés est générée et un fichier nommé FileVaultMaster.keychain est enregistré sur votre bureau. Copiez ce fichier dans un emplacement sécurisé, par exemple une image disque chiffrée sur un disque externe. Cette copie sécurisée constituera la clé de récupération privée permettant de déverrouiller le disque de démarrage de tout Mac configuré pour utiliser le trousseau principal FileVault. Elle n’est pas destinée à être distribuée. 

Dans la section suivante, vous mettrez à jour le fichier FileVaultMaster.keychain qui se trouve toujours sur votre bureau. Vous pourrez ensuite déployer ce trousseau sur les ordinateurs Mac de votre organisation.

Supprimer la clé privée de votre trousseau principal

Après avoir créé le trousseau principal FileVault, procédez comme suit pour en générer une copie et préparer son déploiement :

  1. Cliquez deux fois sur le fichier FileVaultMaster.keychain sur votre bureau. L’app Trousseaux d’accès s’ouvre.
  2. Dans la barre latérale de Trousseaux d’accès, sélectionnez FileVaultMaster. Si plusieurs éléments s’affichent à droite, choisissez un autre trousseau dans la barre latérale, puis sélectionnez à nouveau FileVaultMaster pour actualiser la liste.
  3. Si le trousseau FileVaultMaster est verrouillé, cliquez sur  dans le coin supérieur gauche de Trousseaux d’accès, puis saisissez le mot de passe principal que vous avez créé.
  4. Parmi les deux éléments répertoriés à droite, sélectionnez celui désigné comme étant la « clé privée » dans la colonne Type :
    Trousseaux d’accès, illustrant la clé de mot de passe principal FileVault Master Password Key sélectionnée
  5. Supprimez la clé privée : sélectionnez Modifier > Supprimer dans la barre des menus, saisissez le mot de passe principal du trousseau, puis cliquez sur Supprimer lorsque vous êtes invité à confirmer.
  6. Fermez l’application Trousseaux d’accès.

Maintenant que le trousseau principal qui se trouve sur votre bureau ne contient plus la clé privée, il est prêt pour le déploiement.

Déployer le trousseau principal mis à jour sur chaque Mac

Après avoir supprimé la clé privée de votre trousseau, procédez comme suit sur chaque Mac que vous souhaitez pouvoir déverrouiller avec votre clé privée.

  1. Copiez le fichier FileVaultMaster.keychain à jour dans le dossier /Bibliothèque/Trousseaux/.
  2. Ouvrez l’app Terminal et saisissez les deux commandes suivantes. Ces commandes permettent de s’assurer que les autorisations du fichier sont définies sur -rw-r--r--, que ce dernier appartient à l’utilisateur root et qu’il est assigné au groupe dénommé « wheel ».
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain

    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
  3. Si FileVault est déjà activé, saisissez la commande suivante dans Terminal :
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
  4. Si FileVault est désactivé, ouvrez les préférences Sécurité et confidentialité et activez-le. Un message devrait s’afficher, indiquant que votre entreprise, établissement scolaire ou organisation a défini une clé de récupération. Cliquez sur Continuer.
    Préférences Sécurité et confidentialité, affichant le message concernant la clé de récupération

Le processus est ainsi finalisé. Si un utilisateur oublie le mot de passe de son compte utilisateur macOS et ne parvient pas à se connecter à son Mac, vous pouvez utiliser la clé privée pour déverrouiller son disque.

 

Utiliser la clé privée pour déverrouiller le disque de démarrage d’un utilisateur

Si un utilisateur oublie le mot de passe de son compte et ne parvient pas à se connecter à son Mac, vous pouvez utiliser la clé de récupération privée pour déverrouiller son disque de démarrage et accéder à ses données chiffrées via FileVault.

  1. Sur le Mac client, démarrez à partir de la fonctionnalité de récupération de macOS, en appuyant sur Commande + R pendant le démarrage.
  2. Si vous ne connaissez pas le nom (par exemple Macintosh HD) ni le format du disque de démarrage, ouvrez Utilitaire de disque depuis la fenêtre Utilitaire macOS, puis vérifiez que les informations Utilitaire de disque associées au volume s’affichent à droite. Si vous voyez « CoreStorage Logical Volume Group » (Groupe du volume logique CoreStorage) au lieu de « APFS Volume » (Volume APFS) ou de « Mac OS Extended » (Mac OS étendu), le format est Mac OS étendu. Ces informations vous seront nécessaires à l’étape suivante. Quittez l’utilitaire de disque lorsque vous avez terminé.
  3. Connectez le disque externe contenant la clé de secours privée.
  4. Sélectionnez Utilitaire > Terminal depuis la barre des menus de Récupération macOS.
  5. Si vous avez stocké la clé de secours privée sur une image disque chiffrée, utilisez la commande suivante dans Terminal pour monter cette image. Remplacez /path par le chemin d’accès à l’image disque, y compris l’extension de fichier .dmg :
    hdiutil attach /path
    Exemple d’une image disque dénommée PrivateKey.dmg sur un volume intitulé ThumbDrive :
    hdiutil attach /Volumes/ThumbDrive/PrivateKey.dmg
  6. Utilisez la commande suivante pour déverrouiller le trousseau principal FileVault. Remplacez /path par le chemin d’accès à FileVaultMaster.keychain sur le disque externe. N’oubliez pas d’inclure le nom de cette image dans le chemin d’accès lors de cette étape et des suivantes si le trousseau est stocké dans une image disque chiffrée.
    security unlock-keychain /path
    Exemple d’un volume intitulé ThumbDrive :
    security unlock-keychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  7. Saisissez le mot de passe principal pour déverrouiller le disque de démarrage. Si le mot de passe est accepté, l’invite de commande réapparaît.

Poursuivez comme suit, selon le format du disque de démarrage de l’utilisateur.

APFS

 Si le disque de démarrage est formaté pour APFS, procédez comme suit :

  1. Saisissez la commande suivante pour déverrouiller le disque de démarrage chiffré. Remplacez « name » (nom) par le nom du volume de démarrage et /path par le chemin d’accès au fichier FileVaultMaster.keychain sur le disque externe ou l’image disque :
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    Exemple d’un volume de démarrage intitulé Macintosh HD et d’un volume de clé de récupération dénommé ThumbDrive :
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  2. Saisissez le mot de passe principal pour déverrouiller le trousseau et monter le disque de démarrage.
  3. Vous pouvez à présent utiliser des outils de ligne de commande tels que ditto pour sauvegarder les données sur le disque ou quitter Terminal et utiliser Utilitaire de disque.

Mac OS étendu (HFS Plus)

Si le disque de démarrage est formaté pour Mac OS étendu, procédez comme suit :

  1. Saisissez cette commande pour obtenir une liste des disques et volumes CoreStorage :
    diskutil cs list
  2. Sélectionnez l’UUID qui s’affiche après « Logical Volume » (Volume logique), puis copiez-le pour pouvoir l’utiliser ultérieurement.
    Exemple : +-> Logical Volume 2F227AED-1398-42F8-804D-882199ABA66B
  3. Utilisez la commande suivante pour déverrouiller le disque de démarrage chiffré. Remplacez UUID par l’UUID que vous avez copié à l’étape précédente, puis remplacez /path par le chemin d’accès au fichier FileVaultMaster.keychain sur le disque externe ou l’image disque :
    diskutil cs unlockVolume UUID -recoveryKeychain /path
    Exemple d’un volume de clé de récupération dénommé ThumbDrive :
    diskutil cs unlockVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  4. Saisissez le mot de passe principal pour déverrouiller le trousseau et monter le disque de démarrage.
  5. Vous pouvez à présent utiliser des outils de ligne de commande tels que ditto pour sauvegarder les données sur le disque ou quitter Terminal et utiliser Utilitaire de disque. Ou bien, utilisez la commande suivante pour déchiffrer le disque déverrouillé et démarrer à partir de celui-ci. 
    diskutil cs decryptVolume UUID -recoveryKeychain /path
    Exemple d’un volume de clé de récupération dénommé ThumbDrive :
    diskutil cs decryptVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
Date de publication: