Chiffrement de volumes avec FileVault sous macOS
Les ordinateurs Mac proposent FileVault, une fonctionnalité de chiffrement intégrée pour sécuriser toutes les données au repos. FileVault utilise l’algorithme de chiffrement de données AES-XTS pour protéger l’intégralité des volumes sur les dispositifs de stockage internes et amovibles.
FileVault sur un Mac avec puce Apple est en fait implémenté par la classe C de protection des données au moyen d’une clé de volume. Sur un Mac doté de la puce T2 Security d’Apple ainsi que sur un Mac avec puce Apple, les dispositifs de stockage internes chiffrés qui sont directement connectés au Secure Enclave tirent profit des fonctionnalités de sécurité matérielles de ce dernier et du moteur AES. Après l’activation de FileVault sur un Mac, les informations d’identification de l’utilisateur sont requises au démarrage.
Remarque : Pour les ordinateurs Mac (1) en priorité à ceux munis de la puce T2 ou (2) avec dispositif de stockage interne qui n’était pas expédié à l’origine avec le Mac ou (3) avec dispositif de stockage externe : Lorsque FileVault est activé, tous les fichiers existants et toutes les données écrites ultérieurement sont chiffrés. Les données qui sont ajoutées, puis supprimées avant d’activer FileVault ne sont pas chiffrées et peuvent être récupérables grâce aux outils d’investigation informatique de récupération de données.
Stockage interne avec FileVault activé
Si l’utilisateur ne fournit pas les bonnes informations d’identification ou la clé de secours cryptographique, les volumes APFS internes demeurent chiffrés et protégés contre les accès non autorisés, même si le dispositif de stockage est retiré du Mac et branché à un autre ordinateur. Sous macOS 10.15, cela inclut le volume système et le volume de données. À partir de macOS 11, le volume système est protégé par la fonctionnalité de volume système signé (VSS), mais le volume de données reste protégé par la solution de chiffrement. Le chiffrement des volumes internes sur un Mac doté d’une puce Apple ou de la puce T2 est mis en œuvre par l’élaboration et la gestion d’une hiérarchie de clés, et repose sur les technologies de chiffrement matériel intégrées à la puce. Cette hiérarchie de clés est conçue pour réaliser simultanément quatre objectifs :
exiger le mot de passe de l’utilisateur pour le déchiffrement;
protéger le système contre une attaque en force visant directement des supports de stockage retirés du Mac;
fournir une méthode rapide et sécurisée pour effacer le contenu par la suppression du matériel cryptographique nécessaire;
autoriser les utilisateurs à modifier leur mot de passe (puis les clés cryptographiques utilisées pour protéger leurs fichiers) sans devoir chiffrer à nouveau l’intégralité du volume.
Sur les Mac dotés d’une puce Apple et ceux dotés d’une puce T2, toute la gestion des clés de FileVault se produit dans le Secure Enclave; les clés de chiffrement ne sont jamais directement exposées au processeur Intel. Tous les volumes APFS sont créés avec une clé de chiffrement de volume par défaut. Le contenu des volumes et des métadonnées est chiffré à l’aide de cette clé de chiffrement de volume, qui est enveloppée à l’aide de la clé de chiffrement des clés (KEK). La KEK est protégée par une combinaison du mot de passe de l’utilisateur et de l’UID de l’appareil lorsque FileVault est activé.
Stockage interne avec FileVault désactivé
Si FileVault n’est pas activé sur un Mac doté d’une puce Apple ou de la puce T2 au cours du processus initial d’Assistant réglages, le volume est quand même chiffré, mais la clé de chiffrement de volume est protégée uniquement par l’UID de l’appareil dans le Secure Enclave.
Si FileVault est activé plus tard (un processus immédiat puisque les données sont déjà chiffrées), un mécanisme antirejeu contribue à empêcher l’ancienne clé (basée uniquement sur l’UID de l’appareil) d’être utilisée pour déchiffrer le volume. Le volume est ensuite protégé par une combinaison du mot de passe de l’utilisateur et de l’UID de l’appareil conformément aux explications précédentes.
Suppression des volumes FileVault
À la suppression d’un volume, la clé de chiffrement du volume est supprimée de façon sécurisée par le Secure Enclave, ce qui contribue à empêcher cette clé d’être utilisée ultérieurement, même par le Secure Enclave. De plus, toutes les clés de chiffrement de volume sont enveloppées à l’aide d’une clé de support. Cette clé ne renforce pas la confidentialité des données. Elle est plutôt conçue pour permettre la suppression rapide et sécurisée des données. En son absence, le déchiffrement est impossible.
Sur un Mac doté d’une puce Apple ou un Mac avec la puce T2, la suppression de la clé de support est garantie par la technologie prise en charge par le Secure Enclave, par exemple au moyen de commandes de GAM à distance. Effacer la clé de support de cette manière rend impossible le déchiffrement du volume.
Dispositifs de stockage amovibles
Le chiffrement des dispositifs de stockage amovibles n’utilise pas les capacités de sécurité du Secure Enclave; il est effectué de la même façon que sur un Mac avec processeur Intel sans puce T2.