10 mars 2015

Aujourd’hui, les ordinateurs Apple sont de plus en plus nombreux dans l’environnement professionnel, car connu pour être moins sujets aux attaques et aux virus qu’une machine Windows.

 

Mais là où, sur un Windows, vous avez besoin d’une application tierce pour bypasser une authentification (ou écraser un mot de passe), Apple fait l’effort de vous l’offrir, nativement, dans son OS.

Si votre Mac n’est pas protégé (avec FireVault par exemple), n’importe qui, ayant physiquement accès à votre machine, peut lancer une réinitialisation de mot de passe, sans avoir besoin de connaître votre mot de passe ou votre identifiant. Tout ce qu’il faut, c’est appuyé sur deux touches lors du démarrage de la machine (CMD + R), et d’accéder à la partition « Recovery ».

 

Cette partition « Backup Recovery » permet, en cas de problème, d’utiliser le gestionnaire de disque dur, ou d’accéder au Shell (terminal) par exemple. Mais cet accès au terminal permet, grâce à la commande « resetpassword », d’afficher le programme de Réinitialisation de mot de passe. Et avec ce logiciel, vous pouvez connaître les identifiants des utilisateurs locaux du Mac, et écraser leurs mots de passe sans avoir besoin de la moindre information.

10_6_reset_password

En bref, si vous n’avez rien modifié à la configuration de base de votre machine, et si une personne peut accéder physiquement à cette dernière, il peut voir toutes vos données simplement en changeant votre mot de passe, voir, en changeant le mot de passe root. Mais je vous rassure (un peu),  votre « Trousseau d’accès », où sont stockés vos mots de passes et autres clés WiFi, ne sera pas accessible (tous les mots de passe de ce dernier vont être réclamés par le soft, après changement de mot de passe). Vous pouvez, bien sûr, supprimer le tout via iCloud en cas de vol, mais il sera peut-être déjà trop tard.

 

Il existe donc, à ma connaissance, deux solutions pour résoudre ce problème. Ces solutions peuvent cohabitées ensembles.

 

La première solution, et celle qu’Apple essaie d’ajouter en force depuis Yosemite, c’est l’activation de FireVault, la solution de chiffrement inclus nativement dans Mac OSX.  Si vous activez FireVault, le disque dur ne sera pas déchiffré tant que vous n’avez pas connecté un utilisateur sur l’ordinateur. En bref, si vous souhaitez accéder à la partition Recovery, vous y arriverez. Mais lors de l’accès au programme de Réinitialisation de mot de passe, il n’y aura pas de disque dur visible, donc aucune possibilité d’avoir la liste des utilisateurs ni de changer les mots de passe. Et si vous souhaitez accéder à la partition Recovery pour un problème de disque dur (analyse, etc…), vous pouvez toujours lancer l’utilitaire de disque et déchiffrer ce dernier avec votre mot de passe.

 

La seconde solution, c’est la possibilité de mettre un mot de passe sur l’EFI (Extensible FirmWare Interface, logiciel entre le Firmware et l’OS, disponibles depuis Mac OSX 10.4).

Grâce à cette configuration, lorsqu’il y aura une tentative d’accès à une commande de débug lors d’un boot (comme l’accès au Shell avec CMD+S ou, dans notre cas, à la partition Recovery) votre Mac vous demandera automatiquement un mot de passe (ATTENTION : Le clavier est en QWERTY) rendant impossible l’accès si vous n’avez pas le mot de passe.

En clair, c’est la protection ultime. Tellement ultime que si vous perdez ce mot de passe, vous n’avez pas d’autre solution que d’apporter votre Mac au Genius Bar le plus proche pour qu’il vous le débloque.

 

Bien sûr, rien n’empêche d’activer le FireVault et de mettre un mot de passe sur l’EFI, en supplément, pour être sûr que d’être complètement protégé.

Partager :

Auteurs