Forum

FileVault - Oui ou Non

SRQrws

Affiche originale
4 août 2020
  • 12 août 2020
Je suis curieux de savoir combien de personnes utilisent FileVault et si c'est vraiment nécessaire sur les Mac avec des SSD, des puces T2 et la connexion automatique désactivée. Je suppose que ma question est la suivante : si vous êtes configuré pour toujours exiger un mot de passe pour la connexion et que vous n'avez pas de disque dur pouvant être supprimé s'il est volé et consulté, FileVault est-il vraiment nécessaire ? Je chiffre mes sauvegardes Time Machine sur des disques externes et je comprends clairement pourquoi. Mais avec la puce T2, si quelqu'un volait le Mac et enlevait le SSD, pourrait-il en obtenir des données ? C'est peut-être une question triviale pour les experts ici, mais j'apprécie les pensées de chacun. H

hobowankenobi

27 août 2015


sur la ligne terrestre mr. forgeron.
  • 12 août 2020
Une question juste. Je pense que la réponse variera considérablement en fonction de nombreuses variables, y compris la configuration globale de la sécurité, le risque d'utilisation/de voyage/de vol et ce qui se trouve sur la machine (à quel point elle est sensible).

Dans le mauvais vieux temps, comme vous le soulignez à juste titre, il était assez trivial d'accéder à un lecteur via TDM ou de retirer le lecteur pour accéder aux données.
OTOH... avec les disques en rotation, les performances ainsi que le temps de cryptage initial étaient une bonne raison de NE PAS le crypter.

Tout cela a pratiquement disparu maintenant (au moins sur les Mac récents), donc... les vieilles habitudes (à la fois pour et contre) doivent être retirées.

La seule raison qui me donne envie d'utiliser filevault est sur des machines multi-utilisateurs, telles qu'un laboratoire scolaire ou un poste de travail partagé.

Cela... et la peur que certains utilisateurs oublient simplement leur PW, et cela devient une douleur pour tout le monde, d'une manière bien plus importante que de simples informations de connexion oubliées. T

TrevorR90

1 octobre 2009
  • 14 août 2020
Je ne pense pas que le porter nuira aux performances de quelque façon que ce soit. C'est une autre couche de sécurité et comme je l'ai dit, cela ne fait pas de mal de l'avoir. H

hobowankenobi

27 août 2015
sur la ligne terrestre mr. forgeron.
  • 14 août 2020
Ce n'est pas un problème de performances maintenant, à la fois à cause du SSD et de l'APFS. Ce était douloureux... il y a de nombreuses années. Certains peuvent encore avoir un mauvais goût dans la bouche du mauvais vieux temps.
Réactions :thetillyt T

thetillyt

8 avr. 2020
  • 14 août 2020
hobowankenobi a déclaré : Ce n'est pas un problème de performances maintenant, à la fois à cause du SSD et de l'APFS. Ce était douloureux... il y a de nombreuses années. Certains peuvent encore avoir un mauvais goût dans la bouche du mauvais vieux temps.
Je me souviens qu'en l'allumant, les performances étaient assez mauvaises...
Réactions :hobowankenobi

Boyd01

Modérateur
Membre du staff
21 février 2012
Tarides de pins du New Jersey
  • 14 août 2020
Je n'ai pas de GPU externe, mais il y a eu une discussion sur le mini-forum selon laquelle, avec le coffre-fort de fichiers activé, l'invite de mot de passe n'apparaîtra que sur un moniteur directement connecté. Ainsi, si vos moniteurs sont connectés à l'eGPU, vous ne voyez pas la boîte de dialogue de mot de passe au démarrage.
Réactions :Yebubbleman

Pomme_Robert

21 sept. 2012
Au milieu de plusieurs livres.
  • 14 août 2020
Avec les nouvelles machines, vous ne pouvez pas dire que FV est activé. C'est sans couture. Je recommande fortement de l'allumer.

Je suis d'accord avec les messages précédents qui parlent du bon vieux temps. Le décalage était perceptible et il faudrait des jours pour chiffrer un gros disque. Heureux que ces jours soient révolus.
Réactions :Photopooba

mj_

18 mai 2017
Austin, Texas
  • 15 août 2020
SRQrws a déclaré : Mais avec la puce T2, si quelqu'un volait le Mac et enlevait le SSD, pourrait-il en obtenir des données ?
Certes, ce ne serait plus possible. Cependant, il existe encore plusieurs façons d'accéder à vos fichiers avec FileVault2 désactivé. Par exemple, vous pouvez démarrer en mode disque cible et avoir un accès complet au lecteur. Si le démarrage à partir de sources externes est activé sur votre Mac, vous pouvez également démarrer à partir d'un lecteur USB et avoir un accès complet au lecteur. Le démarrage à partir de sources externes n'est pas activé ? Pas de problème, démarrez simplement la récupération et effectuez une copie complète à l'aide de l'utilitaire de disque ou, encore mieux, utilisez le terminal pour réinitialiser le mot de passe de l'utilisateur, puis démarrez simplement le Mac normalement et ayez un accès complet à tout ce qui se trouve sur le lecteur.

Il y a probablement d'autres moyens auxquels je n'avais pas pensé pour le moment.
Réactions :Léon1das

SRQrws

Affiche originale
4 août 2020
  • 15 août 2020
mj_ ​​a dit : Certes, ce ne serait plus possible. Cependant, il existe encore plusieurs façons d'accéder à vos fichiers avec FileVault2 désactivé. Par exemple, vous pouvez démarrer en mode disque cible et avoir un accès complet au lecteur. Si le démarrage à partir de sources externes est activé sur votre Mac, vous pouvez également démarrer à partir d'un lecteur USB et avoir un accès complet au lecteur. Le démarrage à partir de sources externes n'est pas activé ? Pas grave, démarrez simplement la récupération et effectuez une copie complète à l'aide de l'utilitaire de disque ou, encore mieux, utilisez le terminal pour réinitialiser le mot de passe de l'utilisateur, puis démarrez simplement le Mac normalement et accédez à tout ce qui se trouve sur le lecteur.

Il y a probablement d'autres moyens auxquels je n'avais pas pensé pour le moment.
Merci pour les infos détaillées. Je ne savais pas qu'il y avait plusieurs façons de contourner le mot de passe de connexion pour accéder aux données. Je viens d'activer FileVault sur tous mes Mac.

sgtaylor5

Donateur
6 août 2017
Cheney, WA, États-Unis
  • 21 août 2020
Point d'intérêt : je sais que ce fait n'est pas pertinent pour le MacBook Pro moderne avec la puce T2, mais j'ai récemment découvert que FV faisait que mon MBP fin 2013 (i5/8/256) était plus chaud de 2 ou 3 degrés (constamment sur High Sierra et Mojave, en utilisant Macs Fan Control réglé à 3000 tr/min et CPU PECI comme source temporaire)

mj_

18 mai 2017
Austin, Texas
  • 21 août 2020
En effet, le processeur de votre 2013 est si ancien qu'il ne dispose pas de la logique de déchiffrement matériel (AES-NI) requise pour un déchiffrement et un chiffrement à la volée rapides et efficaces, qui doivent donc être effectués à l'aide d'unités d'exécution ALU x86 standard. Pour autant que je sache, les anciennes implémentations d'AES-NI ne prennent pas en charge un algorithme spécifique qu'Apple utilise pour le cryptage FileVault2, mais ne me citez pas là-dessus.

Les implémentations plus récentes d'AES-NI ne devraient plus avoir ce problème.
Réactions :cool11, sgtaylor5, Weaselboy et 1 autre personne

sgtaylor5

Donateur
6 août 2017
Cheney, WA, États-Unis
  • 21 août 2020
Merci pour cette explication; les autres qui visitent ce fil voudront le voir.

Ce n'est que dans l'industrie informatique qu'un appareil de 2013 peut être considéré comme ancien. Il m'a fallu plusieurs décennies jusqu'à ce que la situation soit correcte dans ma vie et que je puisse acheter mon Mac actuel à moitié prix quand il avait cinq ans. Aimer; ça a été un bourreau de travail pour moi.
Réactions :Boyd01 À

avz

7 oct. 2018
  • 21 août 2020
sgtaylor5 a dit :                                                                                                                                                                                                                                           . les autres qui visitent ce fil voudront le voir.

Ce n'est que dans l'industrie informatique qu'un appareil de 2013 peut être considéré comme ancien. Il m'a fallu plusieurs décennies jusqu'à ce que la situation soit correcte dans ma vie et que je puisse acheter mon Mac actuel à moitié prix quand il avait cinq ans. Aimer; ça a été un bourreau de travail pour moi.

J'ai FV activé sur mon MacBook fin 2008 sur les deux disques (Mavericks sur HFS + disque dur d'origine 5400 tr/min et Mojave sur SSD APFS). Je ne remarque aucun impact sur les performances ni changement de température. Vous voudrez peut-être envisager de remplacer un composé thermique et de nettoyer la poussière à l'intérieur de la machine / de remplacer une batterie.

sgtaylor5

Donateur
6 août 2017
Cheney, WA, États-Unis
  • 21 août 2020
Merci; J'ai déjà fait les deux premières suggestions et ma batterie fonctionne bien à 368 cycles jusqu'à présent.

BuffyzMort

30 déc. 2008
  • 21 août 2020
SRQrws a déclaré : Je suis curieux de savoir combien de personnes utilisent FileVault et si c'est vraiment nécessaire sur les Mac avec des SSD, des puces T2 et la connexion automatique désactivée. Je suppose que ma question est la suivante : si vous êtes configuré pour toujours exiger un mot de passe pour la connexion et que vous n'avez pas de disque dur pouvant être supprimé s'il est volé et consulté, FileVault est-il vraiment nécessaire ? Je chiffre mes sauvegardes Time Machine sur des disques externes et je comprends clairement pourquoi. Mais avec la puce T2, si quelqu'un volait le Mac et enlevait le SSD, pourrait-il en obtenir des données ? C'est peut-être une question triviale pour les experts ici, mais j'apprécie les pensées de chacun.

Cet article opportun jettera plus de lumière pour que tous décident.

Comment FileVault et la puce de sécurité T2 fonctionnent ensemble dans les nouveaux Mac

Les Mac dotés d'une puce T2 chiffrent toujours leurs disques. Pourquoi FileVault est-il nécessaire ?
Réactions :ghanwani et svanström

Yebubbleman

20 mai 2010
Los Angeles, CA
  • 21 août 2020
SRQrws a déclaré : Je suis curieux de savoir combien de personnes utilisent FileVault et si c'est vraiment nécessaire sur les Mac avec des SSD, des puces T2 et la connexion automatique désactivée. Je suppose que ma question est la suivante : si vous êtes configuré pour toujours exiger un mot de passe pour la connexion et que vous n'avez pas de disque dur pouvant être supprimé s'il est volé et consulté, FileVault est-il vraiment nécessaire ? Je chiffre mes sauvegardes Time Machine sur des disques externes et je comprends clairement pourquoi. Mais avec la puce T2, si quelqu'un volait le Mac et enlevait le SSD, pourrait-il en obtenir des données ? C'est peut-être une question triviale pour les experts ici, mais j'apprécie les pensées de chacun.

FileVault 2 étant « nécessaire » est subjectif. Si vous êtes dans une entreprise, cela est probablement nécessaire pour les mêmes raisons que BitLocker ou un autre logiciel de cryptage de disque complet Windows. S'il n'y a que vous et que vous n'avez aucune information sensible sur votre Mac, c'est une question de préférence personnelle.

Pour répondre à votre question « si quelqu'un pouvait retirer le SSD sur un Mac T2, serait-il en mesure d'accéder aux données ? », la réponse courte est non.

Les SSD sont intégrés (lire : soudés) sur la carte logique principale des MacBook Pro, MacBook Air et Mac mini introduits à partir de 2018, ce qui n'est même pas physiquement possible. Ils sont techniquement complètement amovibles sur les Mac Pro et iMac Pro, et partiellement amovibles sur les iMac 4 To et 8 To 2020 27' (dans cette partie du lecteur se trouve sur la carte logique et une partie se trouve dans un module d'extension de 2 à 4 To) . Le T2 est le contrôleur SSD sur tous les Mac T2 et le T2 est associé au stockage en usine. Si vous retirez les modules de stockage de la carte logique du Mac T2 avec lequel il était initialement associé, les données sont effectivement perdues.

Comme indiqué ci-dessus, vous pouvez toujours utiliser le mode disque cible sur un Mac pour supprimer des fichiers sans avoir à saisir de mot de passe. Oui, vos données sont toujours cryptées sur un Mac T2, mais vous n'avez aucun mécanisme de protection en place pour empêcher le mode disque cible de rendre votre Mac T2 toujours accessible à un autre Mac.

L'activation de FileVault 2 sur un Mac T2 ne chiffre pas votre lecteur. Le lecteur est déjà chiffré par défaut (et il n'y a pas d'interrupteur d'arrêt). Tout ce qu'il fait est d'associer (et d'appliquer) la protection consistant à devoir saisir une clé ou un nom d'utilisateur et un mot de passe lors de l'accès au lecteur via quelque chose comme le mode disque cible. Vous pouvez activer fonctionnellement la même protection sur votre lecteur en définissant un mot de passe pour le micrologiciel. Dans un environnement professionnel, FileVault 2 est beaucoup plus préférable car vous pouvez déposer CHAQUE clé FileVault 2 dans une base de données centralisée à l'aide d'une clé institutionnelle FileVault 2. De plus, il élimine le besoin de changer le MOT DE PASSE DU FIRMWARE de CHAQUE Mac lorsqu'un employé informatique de haut niveau quitte l'entreprise.

Je ne suis pas le plus gros sur FileVault 2, personnellement. Je pense que c'est maladroit et qu'il y a des bizarreries inhérentes qui peuvent rendre le diagnostic d'un Mac avec des problèmes d'autant plus difficile à traiter lorsqu'il est activé. Mais, certainement, sur un Mac T2, c'est fait pour être si rapide et facile que vous n'avez pas besoin d'y penser vraiment. L'allumer et l'éteindre est instantané et n'a finalement pas le genre de ramifications que vous pourriez avoir sur un Mac non T2.

TrevorR90 a déclaré: Je ne pense pas que l'avoir allumé nuira aux performances de quelque façon que ce soit. C'est une autre couche de sécurité et comme je l'ai dit, cela ne fait pas de mal de l'avoir.

Sur un Mac T2, cela n'a aucune incidence sur les performances. L'activation de FileVault 2 sur un Mac T2 associe simplement FileVault au cryptage matériel existant.

Alors que, sur un Mac pré-T2, l'activation de FileVault 2 nécessite le cryptage du lecteur et entraînera certainement des performances de lecteur plus lentes. Cependant, la différence de performances ne sera pas perceptible sur un SSD sûr pour les flux de travail intensifs en disque. Les utilisateurs occasionnels ne devraient pas du tout remarquer de différence de performances.
Réactions :0279317 et hobowankenobi

mj_

18 mai 2017
Austin, Texas
  • 22 août 2020
Yebubbleman a déclaré :                                                                                                                                                                                                                                                                                                    Cependant, la différence de performances ne sera pas perceptible sur un SSD sûr pour les flux de travail intensifs en disque. Les utilisateurs occasionnels ne devraient pas du tout remarquer de différence de performances.
Excellent point, j'ai oublié de le mentionner. J'ai exécuté des tests sur mon Samsung 970 EVO externe dans un boîtier USB 3.2 Gen 1 sur un iMac 2017, alias un sans puce T2. Sans FileVault2, j'obtiens plus de 950 Mo/s en lecture et en écriture. Avec FileVault2 activé, j'obtiens environ 650 Mo/s en écriture et environ 750 Mo/s en lecture. Il y a donc un impact mesurable mais imperceptible sur les performances de stockage.
Réactions :hobowankenobi et Boyd01

cool11

3 sept. 2006
  • 2 déc. 2020
mj_ ​​a déclaré : C'est parce que le processeur de votre 2013 est si ancien qu'il ne dispose pas de la logique de déchiffrement matériel (AES-NI) requise pour un déchiffrement et un chiffrement à la volée rapides et efficaces, qui doivent donc être effectués à l'aide d'une exécution ALU x86 régulière unités. Pour autant que je sache, les anciennes implémentations d'AES-NI ne prennent pas en charge un algorithme spécifique qu'Apple utilise pour le cryptage FileVault2, mais ne me citez pas là-dessus.

Les implémentations plus récentes d'AES-NI ne devraient plus avoir ce problème.

Donc, ce serait pénible d'activer filevault dans mon mbp 15' fin 2013?

Je ne comprends toujours pas, pratiquement ce que filevault peut offrir à un utilisateur.

J'avais l'habitude d'avoir toutes mes données précieuses/privées, dans des images dmg cryptées.
Je les ouvre quand j'ai besoin de quelque chose de là-bas, certains rares, certains tous les jours.
Je ne dis pas que c'est le meilleur outil de cryptage possible, mais c'est mieux que rien.

Mais encore, je ne peux pas mesurer les avantages et les inconvénients, dans les macs plus anciens ou plus récents.

mj_

18 mai 2017
Austin, Texas
  • 2 déc. 2020
Le plus grand avantage de FileVault dans votre cas spécifique serait que vous n'auriez pas à vous soucier des images de disque cryptées. L'intégralité de votre disque serait cryptée, y compris l'historique de votre navigateur, votre cache local, vos vignettes, etc. Tout. Ce serait beaucoup plus sûr et, surtout, beaucoup plus indolore et plus fluide que d'avoir à traiter des images disque cryptées.
Réactions :hobowankenobi et cool11

cool11

3 sept. 2006
  • 3 déc. 2020
Concrètement, comment fonctionne Filevault ?
Je veux dire, pas beaucoup de manière technique, mais dans la base quotidienne d'une interaction utilisateur.
Outre le contrôle dans le panneau « sécurité », que dois-je faire d'autre ?
Et concrètement, qu'est-ce que je gagne ? Si mon mbp est volé ou doit être soudainement envoyé à un service de réparation, mes données sont-elles sécurisées et cryptées ? Plus que de traiter de dmg crypté ?
Ou est-ce quelque chose d'assez équivalent en termes de sécurité réelle des données ? H

hobowankenobi

27 août 2015
sur la ligne terrestre mr. forgeron.
  • 3 déc. 2020
cool11 a dit : De manière pratique, comment fonctionne Filevault ?
Je veux dire, pas beaucoup de manière technique, mais dans la base quotidienne d'une interaction utilisateur.
Outre le contrôle dans le panneau « sécurité », que dois-je faire d'autre ?
Et concrètement, qu'est-ce que je gagne ? Si mon mbp est volé ou doit être soudainement envoyé à un service de réparation, mes données sont-elles sécurisées et cryptées ? Plus que de traiter de dmg crypté ?
Ou est-ce quelque chose d'assez équivalent en termes de sécurité réelle des données ?
Oui. Comme le lecteur est crypté, aucune donnée n'est disponible tant que le PW n'est pas entré. Donc... si une machine est volée, le seul moyen facile d'y accéder était de la connecter et de la réactiver. En supposant que l'on ne désactive pas la déconnexion automatique en veille (et la fermeture du couvercle), un scénario très improbable. Même si l'on pouvait d'une manière ou d'une autre voler une machine en étant connecté et éveillé, il faudrait faire très attention à ne pas laisser la machine dormir, et ils ne pourraient pas facilement accéder ou changer le PW.

Comme mentionné, comme il est toujours allumé, rien à faire pour l'utilisateur. Toutes les données et informations sont sécurisées, 100% du temps.

Le seul inconvénient que je pouvais voir est que si une machine était piratée d'une manière ou d'une autre alors que l'utilisateur était connecté, les données pourraient éventuellement être vues ou copiées, en supposant que le pirate ait un accès complet au Mac ouvert et connecté. Les chances de cela, par rapport au vol, sont très, très faibles, étant donné qu'il n'y a eu presque aucun piratage de Mac permettant un accès administrateur à distance. Et de manière générale, la sécurité s'améliore chaque année, à mesure que le système d'exploitation et les fonctionnalités de sécurité évoluent. Au cours des 2-3 dernières mises à jour du système d'exploitation, nous avons constaté des augmentations substantielles de la sécurité Mac, de sorte que les chances qu'un attaquant distant prenne le contrôle continuent de baisser, tandis que le vol physique est plus risqué que jamais.

Et oui, si une machine est envoyée pour réparation et que le PW d'administration/déchiffrement est fourni, vos données sont disponibles pour les fouineurs. Un moyen simple de rendre les choses plus difficiles consiste simplement à créer un deuxième compte administrateur, avec un PW différent, afin qu'aucun technicien ne puisse facilement se connecter à votre compte principal. Cela empêcherait toute espionnage, et on ne pourrait accéder à vos données qu'avec un travail assez sérieux pour modifier les autorisations. Plus qu'un fouineur ne ferait... seul un piratage/vol sérieux serait tenté. Dernière modification : 3 décembre 2020
Réactions :cool11

cool11

3 sept. 2006
  • 4 déc. 2020
Le mot de passe Filevault, est-il le même que le mot de passe de connexion ?

Apple exige-t-il qu'un tel mot de passe soit donné lorsque les utilisateurs envoient leurs machines aux centres de réparation officiels Apple ? H

hobowankenobi

27 août 2015
sur la ligne terrestre mr. forgeron.
  • 4 déc. 2020
cool11 a dit : Le mot de passe Filevault, est-ce le même avec le mot de passe de connexion ?

Apple exige-t-il qu'un tel mot de passe soit donné lorsque les utilisateurs envoient leurs machines aux centres de réparation officiels Apple ?
Oui, même PW. Rien d'autre à faire ou à retenir.

Seuls les utilisateurs activés peuvent déchiffrer le lecteur et se connecter . Alors oui, si un technicien a besoin de se connecter, vous devrez donner un PW. Il pourrait s'agir d'un compte différent, s'il était activé.
Réactions :cool11

jaclu

12 janvier 2021
  • 12 janvier 2021
Apple_Robert a déclaré : Avec les nouvelles machines, vous ne pouvez pas dire que FV est activé. C'est sans couture. Je recommande fortement de l'allumer.
Pas tout à fait sûr de ce que vous voulez dire dans la première phrase. Dans le sens où vous ne remarquez aucune perte de performance, je suis d'accord. Cependant, vous pouvez savoir si FV est activé, il suffit de faire un

liste des apfs diskutil

Et pour chaque volume, son statut FileVault est répertorié

Pomme_Robert

21 sept. 2012
Au milieu de plusieurs livres.
  • 12 janvier 2021
jaclu a dit : Pas tout à fait sûr de ce que vous voulez dire dans la première phrase. Dans le sens où vous ne remarquez aucune perte de performance, je suis d'accord. Cependant, vous pouvez savoir si FV est activé, il suffit de faire un

liste des apfs diskutil

Et pour chaque volume, son statut FileVault est répertorié
Je faisais référence à la dégradation des performances, au fait de ne pas pouvoir le dire...
Réactions :jaclu
  • 1
  • 2
  • 3
  • 4
Prochain

Aller à la page

AllerProchain Durer
Comment Autre Actualités Apple Mode D'emploi Autre
L'application Pandora Apple Watch prend désormais en charge Siri
Apple lance la deuxième version bêta publique d'iOS et d'iPadOS 15.2 avec des contacts hérités, recherchez mes mises à jour et plus encore
Articles Populaires

Articles Populaires

Actualités Apple
L'application TestFlight bénéficie d'une prise en charge automatique des mises à jour
Forum
qu'arrive-t-il à une coupe qui a besoin de points de suture, mais vous ne les obtenez pas ?
Actualités Apple
Apple TV+ sécurise les droits du thriller d'espionnage israélo-iranien 'Téhéran'
Actualités Apple
Guide de l'acheteur du MacBook Pro 14 pouces et du MacBook Pro 16 pouces
Actualités Apple
Apple Executive exclut la possibilité d'un niveau Apple Music gratuit avec des publicités
Actualités Apple
Microsoft suggère aux utilisateurs de Windows 10 Mobile de passer à iOS ou Android à la fin de la prise en charge