Comment utiliser les clés de récupération institutionnelles avec les Mac dotés d’un processeur Intel

Découvrez comment créer une clé de récupération institutionnelle (IRK) pour déverrouiller les ordinateurs Mac dotés d’un processeur Intel et chiffrés par FileVault, et comment récupérer des données.

Vous pouvez utiliser une clé de récupération afin de récupérer l’accès aux données chiffrées par FileVault pour les utilisateurs qui ne parviennent pas à accéder aux données avec leur mot de passe. Sur les ordinateurs Mac dotés d’un processeur Intel, vous pouvez utiliser une clé de récupération institutionnelle pour déverrouiller les ordinateurs Mac chiffrés par FileVault et récupérer des données en utilisant le Mode disque cible.

Créer un trousseau principal FileVault

1. Ouvrez l’app Terminal sur votre Mac, puis entrez la commande suivante :

   security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain

2. Lorsque vous y êtes invité, entrez le mot de passe principal du nouveau trousseau, puis entrez-le de nouveau lorsque le système vous le demande. Le mot de passe ne s’affiche pas dans Terminal au fur et à mesure de votre saisie.

3. Une paire de clés est générée, et un fichier nommé FileVaultMaster.keychain est enregistré sur votre bureau. Copiez ce fichier dans un emplacement sécurisé, par exemple une image disque chiffrée sur un disque externe. Cette copie sécurisée constituera la clé de récupération privée permettant de déverrouiller le disque de démarrage de tout Mac doté d’un processeur Intel configuré pour utiliser le trousseau principal FileVault. Elle n’est pas destinée à être distribuée.

Dans la section suivante, vous mettrez à jour le fichier FileVaultMaster.keychain qui se trouve toujours sur votre bureau. Vous pourrez ensuite déployer ce trousseau sur les ordinateurs Mac de votre organisation.

Supprimer la clé privée du trousseau principal

Après avoir créé le trousseau principal FileVault, procédez comme suit pour en générer une copie et préparer son déploiement :

1. Cliquez deux fois sur le fichier FileVaultMaster.keychain sur votre bureau. L’app Trousseaux d’accès s’ouvre.

2. Dans la barre latérale de Trousseaux d’accès, sélectionnez FileVaultMaster.

3. Si le trousseau FileVaultMaster est verrouillé, sélectionnez Fichier > Déverrouiller le trousseau « FileVaultMaster » dans la barre des menus, puis entrez le mot de passe principal que vous avez créé.

4. Parmi les deux éléments répertoriés à droite, sélectionnez celui désigné comme étant la « clé privée » dans la colonne Type :

   

5. Supprimer la clé privée : sélectionnez Modifier > Supprimer dans la barre des menus, entrez le mot de passe principal du trousseau, puis cliquez sur Supprimer lorsque vous êtes invité à confirmer.

6. Fermez l’app Trousseaux d’accès.

Maintenant que le trousseau principal qui se trouve sur votre bureau ne contient plus la clé privée, il est prêt pour le déploiement.

Déployer le trousseau principal mis à jour sur chaque Mac

Après avoir supprimé la clé privée de votre trousseau, procédez comme suit sur chaque Mac doté d’un processeur Intel que vous souhaitez pouvoir déverrouiller avec votre clé privée.

1. Copiez le fichier FileVaultMaster.keychain mis à jour dans le dossier /Bibliothèque/Trousseaux/.

2. Ouvrez l’app Terminal et entrez les deux commandes suivantes. Ces commandes permettent de s’assurer que les autorisations du fichier sont définies sur-rw-r--r-- and the file is owned by root and assigned to the group named wheel.

   sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain

   sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain

3. Si FileVault est déjà activé, entrez la commande suivante dans Terminal :

   sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain

4. Si FileVault est désactivé, ouvrez les préférences Sécurité et confidentialité, puis activez-le. Un message devrait s’afficher, indiquant que votre entreprise, votre établissement scolaire ou votre organisation a défini une clé de récupération. Cliquez sur Continuer.

   

Le processus est ainsi conclu. Si un utilisateur oublie le mot de passe de son compte utilisateur macOS et qu’il ne parvient pas à se connecter à son Mac, vous pouvez utiliser la clé privée pour déverrouiller son disque.

Utiliser la clé privée pour déverrouiller le disque de démarrage d’un utilisateur

1. Sur le Mac que vous souhaitez déverrouiller, allumez l’ordinateur tout en maintenant la touche T enfoncée.

2. Lorsque le logo Thunderbolt s’affiche, relâchez la touche T.

3. Connectez le Mac à un autre Mac (l’hôte) à l’aide d’un câble Thunderbolt 3 (USB-C).

4. Lorsque vous êtes invité à entrer un mot de passe pour déverrouiller le disque, cliquez sur Annuler.

5. Sur le Mac hôte, connectez le disque externe qui contient la clé de récupération privée.

6. Si vous avez stocké la clé de récupération privée dans une image disque chiffrée, double-cliquez sur le fichier pour monter l’image, puis entrez le mot de passe lorsque vous y êtes invité.

7. Si vous ne connaissez pas le nom du volume de démarrage (comme Macintosh HD) sur le disque que vous souhaitez déverrouiller, ouvrez l’Utilitaire de disque, puis recherchez le nom du volume dans la barre latérale. Vous aurez besoin de ces informations à l’étape suivante.

8. diskutil ap unlockVolume "name" -recoveryKeychain /path

   • Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:

   diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain

9. Entrez le mot de passe principal pour déverrouiller le disque de démarrage. Si le mot de passe est accepté, le volume est monté sur le bureau.