Gestion de FileVault sous macOS
Sous macOS, les organisations peuvent gérer FileVault au moyen de jetons sécurisés ou d’amorçage.
Utilisation de jetons sécurisés
Le système de fichiers d’Apple (APFS) sous macOS 10.13 et les versions ultérieures change la façon dont les clés de chiffrement FileVault sont générées. Sous les versions précédentes de macOS sur les volumes Core Storage, les clés utilisées dans le processus de chiffrement FileVault étaient créées lorsqu’un utilisateur ou une entreprise activait FileVault sur un Mac. Sous macOS sur les volumes APFS, les clés sont générées soit lors de la création de l’utilisateur, en configurant le mot de passe du premier utilisateur, soit lors de la première connexion d’un utilisateur du Mac. Cette implémentation des clés de chiffrement, le moment où elles sont générées et la façon dont elles sont stockées font partie d’une fonctionnalité appelée jeton sécurisé. Plus précisément, un jeton sécurisé est une version enveloppée d’une clé de chiffrement de clés (KEK) protégée par le mot de passe d’un utilisateur.
Lors du déploiement de FileVault dans l’APFS, l’utilisateur peut continuer à :
utiliser les outils et les processus existants, comme une clé de secours personnelle qui peut être stockée dans une solution de gestion des appareils mobiles (GAM) pour l’autorité de séquestre;
reporter l’activation de FileVault jusqu’à la connexion ou la déconnexion d’un utilisateur du Mac;
créer et utiliser une clé de secours institutionnelle.
Sous macOS 11, la configuration initiale du mot de passe du premier utilisateur d’un Mac entraîne l’attribution à cet utilisateur d’un jeton sécurisé. Dans certains cas, ce processus pourrait ne pas être souhaité, car l’attribution du premier jeton de sécurité requiert la connexion au compte utilisateur. Pour empêcher ce cas de figure, ajoutez ;DisabledTags;SecureToken à l’attribut AuthenticationAuthority de l’utilisateur qui a été créé de façon programmée avant de configurer le mot de passe de l’utilisateur, comme indiqué ci-dessous :
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Utilisation du jeton d’amorçage
macOS 10.15 a introduit une nouvelle fonctionnalité, le jeton d’amorçage, pour faciliter l’attribution d’un jeton sécurisé aux comptes mobiles et au compte administrateur facultatif créé par l’inscription de l’appareil (« administrateur géré »). Dans macOS 11, un jeton d’amorçage peut attribuer un jeton sécurisé à tout utilisateur se connectant à l’ordinateur Mac, y compris à des comptes utilisateur locaux. L’utilisation de la fonctionnalité du jeton d’amorçage de macOS 10.15 ou version ultérieure requiert :
l’inscription du Mac à la solution de GAM par l’entremise d’Apple School Manager ou d’Apple Business Manager, ce qui rend le Mac supervisé;
le soutien du fournisseur de solution de GAM.
Sous macOS 10.15.4 et les versions ultérieures, un jeton d’amorçage est généré et envoyé à l’autorité de séquestre dans la solution de GAM lors de la première connexion de tout utilisateur pour lequel le jeton sécurisé est activé, si cette fonctionnalité est prise en charge par la solution de GAM. Un jeton d’amorçage peut être généré et envoyé à l’autorité de séquestre dans la solution de GAM à l’aide de l’outil de ligne de commande profiles, au besoin.
Sous macOS 11, un jeton d’amorçage peut également être utilisé dans d’autres cas de figure, et non pas seulement pour attribuer des jetons sécurisés aux comptes utilisateur. Sur un Mac avec puce Apple, un jeton d’amorçage, si disponible, peut être utilisé pour autoriser l’installation d’extensions de noyau et de mises à jour logicielles lorsque les Mac sont gérés au moyen de la solution de GAM.
Clés de secours institutionnelles ou personnelles
FileVault prend en charge, tant sur le volume CoreStorage qu’APFS, l’utilisation d’une clé de secours institutionnelle (précédemment connue sous le nom FileVault Master identity) pour déverrouiller le volume. Bien qu’une clé de secours institutionnelle soit utile pour les opérations de ligne de commande visant à déverrouiller un volume ou à désactiver FileVault, son utilité pour les organisations est limitée, en particulier dans les versions récentes de macOS. Et sur un Mac avec puce Apple, les clés de secours institutionnelles n’ont aucune valeur fonctionnelle, pour deux raisons principales. Premièrement, les clés de secours institutionnelles ne peuvent pas être utilisées pour accéder à recoveryOS. Deuxièmement, le mode disque cible n’étant plus pris en charge, le volume ne peut pas être déverrouillé en le connectant à un autre Mac. Pour ces raisons notamment, l’utilisation d’une clé de secours institutionnelle n’est plus recommandée pour la gestion institutionnelle de FileVault sur des ordinateurs Mac. Une clé de secours personnelle doit plutôt être utilisée.