Utilisation de clés de récupération institutionnelles avec les Mac à processeur Intel

Découvrez comment créer une clé de récupération institutionnelle (IRK) pour déverrouiller les ordinateurs Mac à processeur Intel chiffrés avec FileVault et récupérer des données.

Cet article couvre l’ancienne méthode de création d’une clé de récupération institutionnelle (IRK) pour déverrouiller les Mac à processeur Intel chiffrés avec FileVault. Si votre Mac doté de la puce Apple ou votre Mac à processeur Intel utilise une solution MDM, vous pouvez stocker la clé de récupération sur un serveur au lieu d’utiliser une clé IRK.

Les clés de récupération permettent de récupérer l’accès aux données chiffrées via FileVault des utilisateurs ne parvenant pas à accéder à ces données avec leur mot de passe. Sur les ordinateurs Mac à processeur Intel, vous pouvez utiliser une clé de récupération institutionnelle pour déverrouiller les Mac chiffrés avec FileVault et récupérer les données à l’aide du mode disque cible.

Créer un trousseau principal FileVault

  1. Ouvrez l’app Terminal sur votre Mac, puis saisissez la commande suivante :
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. Lorsque vous y êtes invité, saisissez le mot de passe principal du nouveau trousseau, puis entrez-le à nouveau lorsque le système vous redemande de le saisir. Le mot de passe ne s’affiche pas dans Terminal à mesure de votre saisie.
  3. Une paire de clés est générée et un fichier nommé FileVaultMaster.keychain est enregistré sur votre bureau. Copiez ce fichier dans un emplacement sécurisé, par exemple une image disque chiffrée sur un disque externe. Cette copie sécurisée constituera la clé de récupération privée permettant de déverrouiller le disque de démarrage de tout Mac à processeur Intel configuré pour utiliser le trousseau principal FileVault. Elle n’est pas destinée à être distribuée. 

Dans la section suivante, vous mettrez à jour le fichier FileVaultMaster.keychain qui se trouve toujours sur votre bureau. Vous pourrez ensuite déployer ce trousseau sur les ordinateurs Mac de votre organisation.


Supprimer la clé privée de votre trousseau principal

Après avoir créé le trousseau principal FileVault, procédez comme suit pour en générer une copie et préparer son déploiement :

  1. Cliquez deux fois sur le fichier FileVaultMaster.keychain sur votre bureau. L’app Trousseaux d’accès s’ouvre.
  2. Dans la barre latérale de Trousseaux d’accès, sélectionnez FileVaultMaster.
  3. Si le trousseau FileVaultMaster est verrouillé, choisissez Fichier > Déverrouiller le trousseau « FileVaultMaster » dans la barre de menus, puis saisissez le mot de passe que vous avez créé.
  4. Parmi les deux éléments répertoriés à droite, sélectionnez celui désigné comme étant la « clé privée » dans la colonne Type :
    Trousseaux d’accès, avec la clé FileVault Master Password Key sélectionnée
  5. Supprimez la clé privée : sélectionnez Modifier > Supprimer dans la barre des menus, saisissez le mot de passe principal du trousseau, puis cliquez sur Supprimer lorsque vous êtes invité à confirmer.
  6. Fermez l’app Trousseaux d’accès.

Maintenant que le trousseau principal qui se trouve sur votre bureau ne contient plus la clé privée, il est prêt pour le déploiement.


Déployer le trousseau principal mis à jour sur chaque Mac

Après avoir supprimé la clé privée de votre trousseau, suivez les instructions ci-dessous sur chaque Mac à processeur Intel que vous souhaitez pouvoir déverrouiller avec votre clé privée.

  1. Copiez le fichier FileVaultMaster.keychain à jour dans le dossier /Bibliothèque/Trousseaux/.
  2. Ouvrez l’app Terminal et saisissez les deux commandes suivantes. Ces commandes permettent de s’assurer que les autorisations du fichier sont définies sur -rw-r--r--, que ce dernier appartient à l’utilisateur root et qu’il est assigné au groupe dénommé « wheel ».
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. Si FileVault est déjà activé, saisissez la commande suivante dans Terminal :
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. Si FileVault est désactivé, ouvrez les préférences Sécurité et confidentialité et activez-le. Un message devrait s’afficher, indiquant que votre entreprise, établissement scolaire ou organisation a défini une clé de récupération. Cliquez sur Continuer.
    Préférences Sécurité et confidentialité, affichant le message concernant la clé de récupération

Le processus est ainsi finalisé. Si un utilisateur oublie le mot de passe de son compte utilisateur macOS et ne parvient pas à se connecter à son Mac, vous pouvez utiliser la clé privée pour déverrouiller son disque.


Utiliser la clé privée pour déverrouiller le disque de démarrage d’un utilisateur

  1. Allumez le Mac que vous souhaitez déverrouiller tout en appuyant sur la touche T.
  2. Lorsque vous voyez le logo Thunderbolt, relâchez la touche T. 
  3. Connectez le Mac à un autre Mac (l’hôte) à l’aide d’un câble Thunderbolt 3 (USB-C).
  4. Lorsque vous êtes invité à saisir un mot de passe pour déverrouiller le disque, cliquez sur Annuler.
  5. Sur le Mac hôte, connectez le disque externe contenant la clé de récupération privée.
  6. Si vous avez stocké la clé de récupération privée sur une image disque chiffrée, double-cliquez sur le fichier pour monter l’image et saisissez le mot de passe lorsque vous y êtes invité.
  7. Si vous ne connaissez pas le nom du volume de démarrage (par exemple, Macintosh HD) sur le disque que vous souhaitez déverrouiller, ouvrez Utilitaire de disque, puis recherchez le nom du volume dans la barre latérale. Vous aurez besoin de cette information à l’étape suivante.
  8. Ouvrez Terminal, puis saisissez la commande ci-dessous pour déverrouiller le disque de démarrage chiffré. Remplacez « name » par le nom du volume de démarrage, et remplacez /path par le chemin d’accès au fichier FileVaultMaster.keychain sur le disque externe ou l’image disque :
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    Exemple pour un volume de démarrage intitulé Macintosh HD et un volume de clé de récupération dénommé ThumbDrive :
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  9. Saisissez le mot de passe principal pour déverrouiller le disque de démarrage. Si le mot de passe est accepté, le volume s’affiche sur le bureau.
Date de publication: