Maximiser la sécurité FileVault en détruisant le stockage des clés en mode veille

Le mode veille est une fonction d'économie d'énergie qui hiberne automatiquement un Mac après un certain temps en mode veille, ce qui permet de réduire davantage la consommation de batterie. Lorsqu'un Mac utilisant le chiffrement FileVault est placé en mode veille, une clé FileVault (oui, cette clé est chiffrée) est stockée dans EFI (microprogramme) afin qu'elle puisse sortir rapidement du mode veille lorsqu'elle est réveillée en mode veille prolongée. Pour 99% des utilisateurs, cela importe peu et ce n'est pas une question de sécurité, mais pour ceux qui sont préoccupés par une sécurité maximale absolue et qui protègent un Mac de certaines attaques inhabituellement agressives (niveau d'espionnage), vous pouvez configurer OS X pour détruire automatiquement Clé FileVault lorsqu'elle est placée en mode d'économie d'énergie en veille, empêchant cette clé stockée d'être un point faible potentiel ou une cible d'attaque.

En activant ce paramètre, les utilisateurs de FileVault doivent entrer leur mot de passe FileVault lorsqu'un Mac est sorti du mode veille, car la touche FV n'est plus stockée pour un réveil rapide. Cela ne constitue pas un inconvénient, mais il ralentit un peu le réveil, et l'utilisateur doit s'engager dans un niveau d'authentification supplémentaire au-delà des fonctions de verrouillage et de connexion standard avant que le Mac ne redevienne utilisable.

Augmenter la sécurité FileVault en détruisant les clés FileVault en mode veille

Cette commande doit être entrée dans le terminal, dans / Applications / Utilities /

pmset -a destroyfvkeyonstandby 1

L'indicateur -a applique le paramètre à tous les profils de puissance, c'est-à-dire à la fois la batterie et le chargeur.

Si vous trouvez cette fonction inutile ou frustrante, vous pouvez l'inverser facilement en réglant le 1 sur 0 et en utilisant à nouveau la commande comme suit:

pmset -a destroyfvkeyonstandby 0

Notez que selon les privilèges du compte d'utilisateur actif, vous devrez peut-être préfixer ces deux commandes avec sudo pour qu'elles s'exécutent depuis le superutilisateur, ainsi les commandes seront les suivantes:

Activation de la destruction de clé FileVault

sudo pmset -a destroyfvkeyonstandby 1

Désactivation de la destruction de clé FileVault

sudo pmset -a destroyfvkeyonstandby 0

Vous pouvez toujours vérifier les paramètres de pmset pour voir si cela est actuellement activé ou désactivé en utilisant la commande suivante:

pmset -g

Certes, c'est un peu technique et un peu extrême, et ne s'appliquera donc pas à la grande majorité des utilisateurs de Mac. Néanmoins, pour ceux qui sont dans des environnements de sécurité sensibles, ceux qui ont des données très sensibles stockées sur leurs ordinateurs, ou même pour ceux qui désirent la plus grande sécurité personnelle, ceci est une option très précieuse et devrait être envisagée si le compromis est plus lent. l'heure de réveil vaut l'avantage de sécurité supplémentaire.

Comme toujours avec FileVault, n'oubliez pas le mot de passe, sinon tout le contenu du Mac deviendra inaccessible en permanence car le niveau de cryptage est si fort que pratiquement rien ne pourrait le surmonter à l'échelle humaine. Si vous débutez avec FileVault et le concept de cryptage complet du disque, veillez à le configurer correctement et ne perdez jamais la clé de récupération FileVault.

Pour plus d'informations techniques sur ce sujet, Apple a un excellent guide de déploiement FileVault disponible en format PDF.