Apple utilise le nom FileVault pour couvrir le chiffrement complet du disque (souvent abrégé FDE) depuis Mac OS X 10.7 Lion en 2011. Pendant des années, FileVault a utilisé une méthode de chiffrement intensive en lecture/écriture qui prenait beaucoup de temps pour chiffrer d'abord votre disque, puis qui freinait légèrement les performances par la suite, bien que peu perceptible.
En échange, FileVault offrait trois protections importantes contre l'accès physique à votre ordinateur, jusqu'à et y compris quelqu'un qui s'enfuit avec votre Mac et qui a tout le temps du monde pour gagner accéder.
Premièrement, au repos (lorsqu’il est éteint), le disque de votre Mac était complètement crypté. Sans disposer des clés de chiffrement, protégées par le mot de passe de votre compte, un attaquant pourrait tenter de entrez directement ou extrayez un disque dur (ou plus tard, Fusion Drives et SSD), mais ils seraient complètement verrouillés dehors.
L'activation de FileVault ajoute un niveau de protection supplémentaire au démarrage de votre Mac.
Fonderie
Deuxièmement, macOS ne déverrouillerait pas votre lecteur pour y accéder au démarrage sans un mot de passe de compte valide ou une clé de récupération associée. Un vecteur qui peut encore être exploité est que si vous utilisez l’option d’Apple pour stocker votre clé de récupération sous séquestre dans votre identifiant Apple. compte, quelqu'un qui pirate votre compte Apple ID pourrait potentiellement également accéder à la clé de récupération et déverrouiller celui de votre Mac. conduire. (Techniquement, avec FileVault actif, votre Mac démarre en utilisant recoveryOS, la petite partition qui vous aide également à réinstaller macOS ou à récupérer de gros problèmes.)
[Vous ne trouvez pas votre clé de récupération? Voir "Comment trouver votre clé de récupération FileVault sous macOS.» Vous ne savez pas si vous disposez d'une copie à jour de la clé de récupération? “Votre clé de récupération macOS FileVault est-elle à jour? Voici comment vérifier.”]
Troisièmement, même après avoir déverrouillé avec succès le lecteur et démarré sous macOS proprement dit, quelqu'un dispose toujours de la sécurité Mac normale: il a besoin d'un mot de passe de compte pour se connecter. Bien que des failles permettant aux attaquants de contourner l'écran de connexion aient été découvertes occasionnellement, elles sont généralement de courte durée, car ils ont de la valeur sur le marché gris, puis découverts et corrigés par Apple, et ne peuvent pas être déclenchés. à distance en tout cas. Un bon à rien doit avoir un tel exploit, et votre ordinateur verrouillé mais démarré sur macOS devant eux.
À partir des Mac Intel dotés de la puce de sécurité T2, Apple a intégré le cryptage au niveau inférieur de macOS: votre volume interne de démarrage est toujours crypté et vous ne pouvez pas le désactiver. C’est la même chose avec tous les Mac Apple Silicon de la série M. (Si vous utilisez un volume externe, l'activation de FileVault chiffre également le volume, ce qui peut être assez rapide avec un SSD moderne.)
Pour les Mac Intel équipés de T2 et tous les Mac de la série M, FileVault ajoute une protection à la deuxième étape uniquement. Avec FileVault désactivé sur ces Mac, lorsque vous démarrez votre ordinateur, le lecteur est automatiquement déverrouillé et prêt à être utilisé avec une connexion.
Les gens ont des besoins de sécurité variés. Si vous ne craignez jamais que votre ordinateur soit volé par quiconque pourrait employer un haut niveau de compétences en matière de pirate informatique, y compris une agence gouvernementale, alors vous n'avez peut-être pas besoin d'activer FileVault. FileVault ajoute un niveau de risque car si les données du compte sont corrompues d'une manière ou d'une autre sur recoveryOS, vous devez disposer de votre clé de récupération pour revenir sur votre Mac. (Voir "Comment déverrouiller votre Mac avec sa clé de récupération et FileVault actif.") Je reçois régulièrement des e-mails de personnes qui ne trouvent pas leur clé de récupération et qui n'ont pas utilisé le dépôt iCloud d'Apple pour des raisons de sécurité.
Cependant, si vous êtes sûr de pouvoir conserver de bons enregistrements (ou faire confiance au dépôt iCloud) et que vous voulez être sûr qu'un objet volé ou Le Mac auquel vous accédez n'abandonnera jamais vos données privées et autres secrets, l'activation de FileVault fournit juste une couche supplémentaire de protection.
Cet article sur Mac 911 répond à une question soumise par Derek, lecteur de Macworld.
Demandez à Mac 911
Nous avons compilé une liste des questions qui nous sont le plus fréquemment posées, ainsi que des réponses et des liens vers les colonnes: lisez notre super FAQ pour voir si votre question est couverte. Sinon, nous sommes toujours à la recherche de nouveaux problèmes à résoudre! Envoyez le vôtre à [email protected], y compris les captures d'écran le cas échéant et si vous souhaitez que votre nom complet soit utilisé. Nous ne répondrons pas à toutes les questions, nous ne répondons pas aux e-mails et nous ne pouvons pas fournir de conseils de dépannage directs.