Utilisation de clés de récupération institutionnelles avec les Mac à processeur Intel
Découvrez comment créer une clé de récupération institutionnelle (IRK) pour déverrouiller les ordinateurs Mac à processeur Intel chiffrés avec FileVault et récupérer des données.
Cet article couvre l’ancienne méthode de création d’une clé de récupération institutionnelle (IRK) pour déverrouiller les Mac à processeur Intel chiffrés avec FileVault. Si votre Mac avec puce Apple ou votre Mac doté d’un processeur Intel utilise une solution MDM, vous pouvez stocker la clé de récupération sur un serveur au lieu d’utiliser une clé IRK.
Les clés de récupération permettent de récupérer l’accès aux données chiffrées via FileVault des utilisateurs ne parvenant pas à accéder à ces données avec leur mot de passe. Sur les ordinateurs Mac à processeur Intel, vous pouvez utiliser une clé de récupération institutionnelle pour déverrouiller les Mac chiffrés avec FileVault et récupérer les données à l’aide du mode disque cible.
Créer un trousseau principal FileVault
Ouvrez l’app Terminal sur votre Mac, puis saisissez la commande suivante :
security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
Lorsque vous y êtes invité, saisissez le mot de passe principal du nouveau trousseau, puis entrez-le à nouveau lorsque le système vous redemande de le saisir. Le mot de passe ne s’affiche pas dans Terminal à mesure de votre saisie.
Une paire de clés est générée et un fichier nommé FileVaultMaster.keychain est enregistré sur votre bureau. Copiez ce fichier dans un emplacement sécurisé, par exemple une image disque chiffrée sur un disque externe. Cette copie sécurisée constituera la clé de récupération privée permettant de déverrouiller le disque de démarrage de tout Mac à processeur Intel configuré pour utiliser le trousseau principal FileVault. Elle n’est pas destinée à être distribuée.
Dans la section suivante, vous mettrez à jour le fichier FileVaultMaster.keychain qui se trouve toujours sur votre bureau. Vous pourrez ensuite déployer ce trousseau sur les ordinateurs Mac de votre organisation.
Supprimer la clé privée de votre trousseau principal
Après avoir créé le trousseau principal FileVault, procédez comme suit pour en générer une copie et préparer son déploiement :
Cliquez deux fois sur le fichier FileVaultMaster.keychain sur votre bureau. L’app Trousseaux d’accès s’ouvre.
Dans la barre latérale de Trousseaux d’accès, sélectionnez FileVaultMaster.
Si le trousseau FileVaultMaster est verrouillé, choisissez Fichier > Déverrouiller le trousseau « FileVaultMaster » dans la barre des menus, puis saisissez le mot de passe que vous avez créé.
Parmi les deux éléments répertoriés à droite, sélectionnez celui désigné comme étant la « clé privée » dans la colonne Type :
Supprimez la clé privée : sélectionnez Édition > Supprimer dans la barre des menus, saisissez le mot de passe principal du trousseau, puis cliquez sur Supprimer lorsque vous êtes invité à confirmer.
Fermez l’application Trousseaux d’accès.
Maintenant que le trousseau principal qui se trouve sur votre bureau ne contient plus la clé privée, il est prêt pour le déploiement.
Déployer le trousseau principal mis à jour sur chaque Mac
Après avoir supprimé la clé privée de votre trousseau, suivez les instructions ci-dessous sur chaque Mac à processeur Intel que vous souhaitez pouvoir déverrouiller avec votre clé privée.
Copiez le fichier FileVaultMaster.keychain à jour dans le dossier /Bibliothèque/Trousseaux/.
Ouvrez l’app Terminal et saisissez les deux commandes suivantes. Ces commandes permettent de s’assurer que les autorisations du fichier sont définies sur
-rw-r--r--
and the file is owned by root and assigned to the group named wheel.sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
Si FileVault est déjà activé, saisissez la commande suivante dans Terminal :
sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
Si FileVault est désactivé, ouvrez les préférences Sécurité et confidentialité et activez-le. Un message devrait s’afficher, indiquant que votre entreprise, établissement scolaire ou organisation a défini une clé de récupération. Cliquez sur Continuer.
Le processus est ainsi finalisé. Si un utilisateur oublie le mot de passe de son compte utilisateur macOS et ne parvient pas à se connecter à son Mac, vous pouvez utiliser la clé privée pour déverrouiller son disque.
Utiliser la clé privée pour déverrouiller le disque de démarrage d’un utilisateur
Allumez le Mac que vous souhaitez déverrouiller tout en appuyant sur la touche T.
Lorsque vous voyez le logo Thunderbolt, relâchez la touche T.
Connectez le Mac à un autre Mac (l’hôte) à l’aide d’un câble Thunderbolt 3 (USB-C).
Lorsque vous êtes invité à saisir un mot de passe pour déverrouiller le disque, cliquez sur Annuler.
Sur le Mac hôte, connectez le disque externe contenant la clé de récupération privée.
Si vous avez stocké la clé de récupération privée sur une image disque chiffrée, double-cliquez sur le fichier pour monter l’image et saisissez le mot de passe lorsque vous y êtes invité.
Si vous ne connaissez pas le nom du volume de démarrage (par exemple, Macintosh HD) sur le disque que vous souhaitez déverrouiller, ouvrez Utilitaire de disque, puis recherchez le nom du volume dans la barre latérale. Vous aurez besoin de cette information à l’étape suivante.
diskutil ap unlockVolume "name" -recoveryKeychain /path
Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:
diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
Saisissez le mot de passe principal pour déverrouiller le disque de démarrage. Si le mot de passe est accepté, le volume s’affiche sur le bureau.