Les étapes avancées ci-dessous s’adressent principalement aux administrateurs système et aux utilisateurs maîtrisant les lignes de commande.
Créer un trousseau principal FileVault
- Ouvrez l’app Terminal sur votre Mac, puis saisissez la commande suivante :
security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
- Lorsque vous y êtes invité, saisissez le mot de passe principal du nouveau trousseau, puis entrez-le à nouveau lorsque le système vous redemande de le saisir. Le mot de passe ne s’affiche pas dans Terminal à mesure de votre saisie.
- Une paire de clés est générée et un fichier nommé FileVaultMaster.keychain est enregistré sur votre bureau. Copiez ce fichier dans un emplacement sécurisé, par exemple une image disque chiffrée sur un disque externe. Cette copie sécurisée constituera la clé de récupération privée permettant de déverrouiller le disque de démarrage de tout Mac configuré pour utiliser le trousseau principal FileVault. Elle n’est pas destinée à être distribuée.
Dans la section suivante, vous mettrez à jour le fichier FileVaultMaster.keychain qui se trouve toujours sur votre bureau. Vous pourrez ensuite déployer ce trousseau sur les ordinateurs Mac de votre organisation.
Supprimer la clé privée de votre trousseau principal
Après avoir créé le trousseau principal FileVault, procédez comme suit pour en générer une copie et préparer son déploiement :
- Cliquez deux fois sur le fichier FileVaultMaster.keychain sur votre bureau. L’app Trousseaux d’accès s’ouvre.
- Dans la barre latérale de Trousseaux d’accès, sélectionnez FileVaultMaster. Si plusieurs éléments s’affichent à droite, choisissez un autre trousseau dans la barre latérale, puis sélectionnez à nouveau FileVaultMaster pour actualiser la liste.
- Si le trousseau FileVaultMaster est verrouillé, cliquez sur
dans le coin supérieur gauche de Trousseaux d’accès, puis saisissez le mot de passe principal que vous avez créé.
- Parmi les deux éléments répertoriés à droite, sélectionnez celui désigné comme étant la « clé privée » dans la colonne Type :
- Supprimez la clé privée : sélectionnez Modifier > Supprimer dans la barre des menus, saisissez le mot de passe principal du trousseau, puis cliquez sur Supprimer lorsque vous êtes invité à confirmer.
- Fermez l’application Trousseaux d’accès.
Maintenant que le trousseau principal qui se trouve sur votre bureau ne contient plus la clé privée, il est prêt pour le déploiement.
Déployer le trousseau principal mis à jour sur chaque Mac
Après avoir supprimé la clé privée de votre trousseau, procédez comme suit sur chaque Mac que vous souhaitez pouvoir déverrouiller avec votre clé privée.
- Copiez le fichier FileVaultMaster.keychain à jour dans le dossier /Bibliothèque/Trousseaux/.
- Ouvrez l’app Terminal et saisissez les deux commandes suivantes. Ces commandes permettent de s’assurer que les autorisations du fichier sont définies sur
-rw-r--r--
, que ce dernier appartient à l’utilisateur root et qu’il est assigné au groupe dénommé « wheel ».
sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
- Si FileVault est déjà activé, saisissez la commande suivante dans Terminal :
sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
- Si FileVault est désactivé, ouvrez les préférences Sécurité et confidentialité et activez-le. Un message devrait s’afficher, indiquant que votre entreprise, établissement scolaire ou organisation a défini une clé de récupération. Cliquez sur Continuer.
Le processus est ainsi finalisé. Si un utilisateur oublie le mot de passe de son compte utilisateur macOS et ne parvient pas à se connecter à son Mac, vous pouvez utiliser la clé privée pour déverrouiller son disque.
Utiliser la clé privée pour déverrouiller le disque de démarrage d’un utilisateur
Si un utilisateur oublie le mot de passe de son compte et ne parvient pas à se connecter à son Mac, vous pouvez utiliser la clé de récupération privée pour déverrouiller son disque de démarrage et accéder à ses données chiffrées via FileVault.
- Sur le Mac client, démarrez à partir de la fonctionnalité de récupération de macOS, en appuyant sur Commande + R pendant le démarrage.
- Si vous ne connaissez pas le nom (par exemple Macintosh HD) ni le format du disque de démarrage, ouvrez Utilitaire de disque depuis la fenêtre Utilitaire macOS, puis vérifiez que les informations Utilitaire de disque associées au volume s’affichent à droite. Si vous voyez « CoreStorage Logical Volume Group » (Groupe du volume logique CoreStorage) au lieu de « APFS Volume » (Volume APFS) ou de « Mac OS Extended » (Mac OS étendu), le format est Mac OS étendu. Ces informations vous seront nécessaires à l’étape suivante. Quittez l’utilitaire de disque lorsque vous avez terminé.
- Connectez le disque externe contenant la clé de secours privée.
- Sélectionnez Utilitaire > Terminal depuis la barre des menus de Récupération macOS.
- Si vous avez stocké la clé de secours privée sur une image disque chiffrée, utilisez la commande suivante dans Terminal pour monter cette image. Remplacez /path par le chemin d’accès à l’image disque, y compris l’extension de fichier .dmg :
hdiutil attach /path
Exemple d’une image disque dénommée PrivateKey.dmg sur un volume intitulé ThumbDrive :
hdiutil attach /Volumes/ThumbDrive/PrivateKey.dmg - Utilisez la commande suivante pour déverrouiller le trousseau principal FileVault. Remplacez /path par le chemin d’accès à FileVaultMaster.keychain sur le disque externe. N’oubliez pas d’inclure le nom de cette image dans le chemin d’accès lors de cette étape et des suivantes si le trousseau est stocké dans une image disque chiffrée.
security unlock-keychain /path
Exemple d’un volume intitulé ThumbDrive :
security unlock-keychain /Volumes/ThumbDrive/FileVaultMaster.keychain
- Saisissez le mot de passe principal pour déverrouiller le disque de démarrage. Si le mot de passe est accepté, l’invite de commande réapparaît.
Poursuivez comme suit, selon le format du disque de démarrage de l’utilisateur.
APFS
Si le disque de démarrage est formaté pour APFS, procédez comme suit :
- Saisissez la commande suivante pour déverrouiller le disque de démarrage chiffré. Remplacez « name » (nom) par le nom du volume de démarrage et /path par le chemin d’accès au fichier FileVaultMaster.keychain sur le disque externe ou l’image disque :
diskutil ap unlockVolume "name" -recoveryKeychain /path
Exemple d’un volume de démarrage intitulé Macintosh HD et d’un volume de clé de récupération dénommé ThumbDrive :
diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain - Saisissez le mot de passe principal pour déverrouiller le trousseau et monter le disque de démarrage.
- Vous pouvez à présent utiliser des outils de ligne de commande tels que
ditto
pour sauvegarder les données sur le disque ou quitter Terminal et utiliser Utilitaire de disque.
Mac OS étendu (HFS Plus)
Si le disque de démarrage est formaté pour Mac OS étendu, procédez comme suit :
- Saisissez cette commande pour obtenir une liste des disques et volumes CoreStorage :
diskutil cs list
- Sélectionnez l’UUID qui s’affiche après « Logical Volume » (Volume logique), puis copiez-le pour pouvoir l’utiliser ultérieurement.
Exemple : +-> Logical Volume 2F227AED-1398-42F8-804D-882199ABA66B
- Utilisez la commande suivante pour déverrouiller le disque de démarrage chiffré. Remplacez UUID par l’UUID que vous avez copié à l’étape précédente, puis remplacez /path par le chemin d’accès au fichier FileVaultMaster.keychain sur le disque externe ou l’image disque :
diskutil cs unlockVolume UUID -recoveryKeychain /path
Exemple d’un volume de clé de récupération dénommé ThumbDrive :
diskutil cs unlockVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain - Saisissez le mot de passe principal pour déverrouiller le trousseau et monter le disque de démarrage.
- Vous pouvez à présent utiliser des outils de ligne de commande tels que
ditto
pour sauvegarder les données sur le disque ou quitter Terminal et utiliser Utilitaire de disque. Ou bien, utilisez la commande suivante pour déchiffrer le disque déverrouillé et démarrer à partir de celui-ci.
diskutil cs decryptVolume UUID -recoveryKeychain /path
Exemple d’un volume de clé de récupération dénommé ThumbDrive :
diskutil cs decryptVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain