Méthode Cryptage disque externe

[macdonal]

Bonjour
Je sais qu'il existe différentes possibilités pour crypter un disque externe.
Personnellement, j'ai déjà utilisé le fait de créer un image disque (sur clé usb ou sur HDD) de la taille du disque en question et qui demande ensuite un mot de passe lorsqu'on la monte.
Je viens d'utiliser une autre méthode: un simple click droit sur le HDD et choisi l'option: "Crypter ce disque". A chaque montage, il demande un mot de passe, ce que je souhaitais.

En fait, je voudrais savoir la différence entre ces procédés et le fameux "FileVault"? Peut-être FileVault est-il nécessaire uniquement dans le cas du chiffrement du disque système? Chez moi, il n'est pas activé. Dans le cas où je ne souhaite que crypter mon HDD externe, cela pose-t-il un problème que je n'aie pas activé FileVault? Ma méthode de chiffrement est-elle "correcte", "suffisante"?

Merci

 

[Membre supprimé 1060554]

Salut macdonal.

Ton message concis aborde un des aspects les plus ésotériques (et les plus passionnants) du mode de partitionnement logique des disques physiques sous OS X [autant te prévenir d'entrée que ton interlocuteur dans ce fil a pour trait distinctif ce qu'on pourrait nommer : la prose_spéculative]

Le mode de partitionnement logique 'standard' des disques physiques sous OS X (version Intel) est la Table de partition GUID : c'est une 'couche' (layer) qui définit les 'contenants logiques' (containers) des systèmes de fichiers (filesystems) pouvant être écrits sur le disque selon un 'format' particulier (comme HFS+ par exemple : Mac OS étendu journalisé). Ces 'contenants' sont les 'volumes' servant de 'périmètres logiques' aux systèmes de fichiers. Une des caractéristiques du mode de partitionnement qu'est la Table de partition GUID consiste dans une carte d'amorçage intiale dénommée : EFI qui est prise en charge par l'EFI_Firmware (ROM intel) au démarrage et qui constitue le volume logique de départ, invisible graphiquement et inmontable, mais conditionnant le montage des volumes logiques conséquents supportant les systèmes de fichiers, dont celui de l'OS sur le disque interne d'un Mac flanqué de sa partition de récupération.

Illustration :

/dev/disk0
   #:            TYPE NAME                      SIZE       IDENTIFIER
   0:            GUID_partition_scheme          xxx MB     disk0
   1:            EFI EFI                        209.7 MB   disk0s1
   2:            Apple_HFS Macintosh HD         xxx GB     disk0s2
   3:            Apple_Boot Recovery HD         1.0 GB     disk0s3

Mais voici qu'Apple, à partir de l'OS «Lion 10.7», a introduit de manière complètement 'silencieuse' un mode de partitionnement additionnel capable de se 'sur-ajouter' à la Table de partition GUID : il s'agit donc d'une 'couche logique secondaire' (d'une espèce de 'sur-couche') capable de s'intercaler entre la 'couche primaire' de la Table de partition GUID (préservée intacte) et certains systèmes de fichiers (filesystems). Cette structure inédite porte le nom de Groupe de Volumes Logiques (Logical Volume Group) et est gérée par un Gestionnaire dédié, introduit à partir de «Lion» et inconnu sous l'OS antérieur «Snow Léopard 10.6» : le CoreStorage Manager.

Lorsque le CoreStorage Manager est invoqué pour générer la couche logique intermédiaire d'un Logical Volume Group, la couche primaire d'une Table de partition GUID est toujours requise sur le disque concerné, et la couche secondaire en question est toujours supportée exclusivement par un des Volumes (containers) suivants la carte d'amorçage EFI et pré-définis de la Table de partition GUID.

Illustration sur une clé USB :

/dev/disk1
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID_partition_scheme                        *4.1 GB     disk1
   1:                        EFI EFI                     209.7 MB   disk1s1
   2:          Apple_CoreStorage                         3.8 GB     disk1s2
   3:                 Apple_Boot Boot OS X               134.2 MB   disk1s3
/dev/disk2
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:                  Apple_HFS CLE                    3.5 GB     disk2

Comme on peut le voir, la couche GUID constituant la structure logique primaire de la clé a été 'implémentée' localement par le CoreStorage Manager qui a 'greffé' sur le volume logique de base (disk1s2) une définition nouvelle de Apple_CoreStorage tout en 'interpolant' un volume annexe nouveau : le Apple_Boot Boot OS X 134.2 MB disk1s3 qui est la Carte d'Amorçage spécifique du Groupe de Volumes Logiques ; mais, bien plus, un nouvel 'étage' logique se trouve créé, sous l'identification de /dev/disk2 : le Apple_HFS CLE 3.5 GB disk2.

Décodage de cette structure abstruse : 'sur' le volume logique primaire disk1s2 de la couche GUID, le CoreStorage Manager a 'plaqué' une définition logique nouvelle : celle de 'disque dur virtuel' (sic) - lequel 'disque dur virtuel' se trouve à son tour 'partitionné' logiquement comme supportant un Volume Logique' = le /dev/disk2 : Apple_HFS CLE 3.5 GB disk2 qui va servir de container à un système de fichier.


De manière plus détaillé, voici ce que cela donne :

CoreStorage logical volume groups (1 found)
|
+-- Logical Volume Group 44D27A6B-B10C-474A-A664-A388B8ECCD5E
    =========================================================
    Name:         CLE
    Status:       Online
    Size:         3799998464 B (3.8 GB)
    Free Space:   16777216 B (16.8 MB)
    |
    +-< Physical Volume 0E586E73-F322-4174-8E4F-19CBD2674595
    |   ----------------------------------------------------
    |   Index:    0
    |   Disk:     disk1s2
    |   Status:   Online
    |   Size:     3799998464 B (3.8 GB)
    |
    +-> Logical Volume Family AD61AF12-312C-4A99-90D3-736BB333D69E
        ----------------------------------------------------------
        Encryption Status:       Unlocked
        Encryption Type:         None
        Conversion Status:       NoConversion
        Conversion Direction:    -none-
        Has Encrypted Extents:   No
        Fully Secure:            No
        Passphrase Required:     No
        |
        +-> Logical Volume 8427D678-C0C6-42A3-BDB0-17873172B57B
            ---------------------------------------------------
            Disk:                  disk2
            Status:                Online
            Size (Total):          3464450048 B (3.5 GB)
            Conversion Progress:   -none-
            Revertible:            Yes (no decryption required)
            LV Name:               CLE
            Volume Name:           CLE
            Content Hint:          Apple_HFS

Le Groupe de Volumes Logiques (Logical Volume Group) est la désignation de la structure globale générée par le CoreStorage Manager ; le Physical Volume est la définition additionnelle que le CoreStorage Manager a greffée sur le volume logique /dev/disk1s2 de la Table de partition GUID : celle de Disque Physique Virtuel ; le Logical Volume Family (Famille de volume logique) est une sorte d'annexe informative décrivant comment ce Disque Physique Virtuel se trouve logiquement défini : s'il supporte ou non un volume crypté, s'il y a un mot-de-passe, etc. ; enfin, le Logical Volume (Volume Logique) est le /dev/disk2 : le container du système de fichiers, qui monte à partir du disque physique virtuel conformément aux paramètres du Logical Volume Family.

Le CoreStorage Manager s'invoque directement, en ligne de commande dans le «Terminal», comme fonctionnalité seconde de la commande diskutil qui invoque le binaire_unix du même nom : à savoir, la fonction coreStorage. Mais il s'invoque indirectement, en mode graphique, dans la GUI de l'«Utilitaire de Disque», lorsqu'on demande la création d'un Volume Chiffré décryptable grâce à un mot-de-passe ; et tout aussi indirectement, lorsque dans les Préférences Système, on active la protection FileVault-2 qui revient à imposer au volume de l'OS (/dev/disk0s2) un chiffrement. En dernier lieu, le procédé du Fusion_Drive invoque lui aussi les services du même CoreStorage Manager.

Dans tous ces cas de figure, ce sont les services du CoreStorage Manager qui sont invoquées, avec cette différence qu'en ligne de commande, il est possible de créer un Groupe de Volumes Logiques non chiffré greffé sur un volume partitulier de la Table de partition GUID d'un disque physique ; alors que, en mode graphique, le CoreStorage Manager n'est invoqué qu'en liaison avec une option de chiffrement. La différence, enfin, entre FileVault-2 et l'«Utilitaire de Disque» se résumant pour l'essentiel à l'identité du disque crypté et au mode de son déchiffrement requis des services du CoreStorage Manager : volume de l'OS + déchiffrement automatique lié au renseignement du mot-de-passe utilisateur à l'écran d'ouverture de session (FileVault-2) vs volume indépendant + déchiffrement requis à la commande volontaire de montage (Utilitaire de Disque).

Ces considérations abstruses (©macomaniac ) répondent peut-ête à certaines de tes interrogations.

 

[macdonal]

Merci pour ta contribution, mais j'ai juste un problème de compréhension concernant le passage suivant :

"
Le mode de partitionnement logique 'standard' des disques physiques sous OS X (version Intel) est la Table de partition GUID : c'est une 'couche' (layer) qui définit les 'contenants logiques' (containers) des systèmes de fichiers (filesystems) pouvant être écrits sur le disque selon un 'format' particulier (comme HFS+ par exemple : Mac OS étendu journalisé). Ces 'contenants' sont les 'volumes' servant de 'périmètres logiques' aux systèmes de fichiers. Une des caractéristiques du mode de partitionnement qu'est la Table de partition GUID consiste dans une carte d'amorçage intiale dénommée : EFI qui est prise en charge par l'EFI_Firmware (ROM intel) au démarrage et qui constitue le volume logique de départ, invisible graphiquement et inmontable, mais conditionnant le montage des volumes logiques conséquents supportant les systèmes de fichiers, dont celui de l'OS sur le disque interne d'un Mac flanqué de sa partition de récupération.

Illustration :

Code:
/dev/disk0
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme xxx MB disk0
1: EFI EFI 209.7 MB disk0s1
2: Apple_HFS Macintosh HD xxx GB disk0s2
3: Apple_Boot Recovery HD 1.0 GB disk0s3

Mais voici qu'Apple, à partir de l'OS «Lion 10.7», a introduit de manière complètement 'silencieuse' un mode de partitionnement additionnel capable de se 'sur-ajouter' à la Table de partition GUID : il s'agit donc d'une 'couche logique secondaire' (d'une espèce de 'sur-couche') capable de s'intercaler entre la 'couche primaire' de la Table de partition GUID (préservée intacte) et certains systèmes de fichiers (filesystems). Cette structure inédite porte le nom de Groupe de Volumes Logiques (Logical Volume Group) et est gérée par un Gestionnaire dédié, introduit à partir de «Lion» et inconnu sous l'OS antérieur «Snow Léopard 10.6» : le CoreStorage Manager.

Lorsque le CoreStorage Manager est invoqué pour générer la couche logique intermédiaire d'un Logical Volume Group, la couche primaire d'une Table de partition GUID est toujours requise sur le disque concerné, et la couche secondaire en question est toujours supportée exclusivement par un des Volumes (containers) suivants la carte d'amorçage EFI et pré-définis de la Table de partition GUID.

Illustration sur une clé USB :

Code:
/dev/disk1
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme *4.1 GB disk1
1: EFI EFI 209.7 MB disk1s1
2: Apple_CoreStorage 3.8 GB disk1s2
3: Apple_Boot Boot OS X 134.2 MB disk1s3
/dev/disk2
#: TYPE NAME SIZE IDENTIFIER
0: Apple_HFS CLE 3.5 GB disk2

Comme on peut le voir, la couche GUID constituant la structure logique primaire de la clé a été 'implémentée' localement par le CoreStorage Manager qui a 'greffé' sur le volume logique de base (disk1s2) une définition nouvelle de Apple_CoreStorage tout en 'interpolant' un volume annexe nouveau : le Apple_Boot Boot OS X 134.2 MB disk1s3 qui est la Carte d'Amorçage spécifique du Groupe de Volumes Logiques ; mais, bien plus, un nouvel 'étage' logique se trouve créé, sous l'identification de /dev/disk2 : le Apple_HFS CLE 3.5 GB disk2.

Décodage de cette structure abstruse : 'sur' le volume logique primaire disk1s2 de la couche GUID, le CoreStorage Manager a 'plaqué' une définition logique nouvelle : celle de 'disque dur virtuel' (sic) - lequel 'disque dur virtuel' se trouve à son tour 'partitionné' logiquement comme supportant un Volume Logique' = le /dev/disk2 : Apple_HFS CLE 3.5 GB disk2 qui va servir de container à un système de fichier.


De manière plus détaillé, voici ce que cela donne :

Code:
CoreStorage logical volume groups (1 found)
|
+-- Logical Volume Group 44D27A6B-B10C-474A-A664-A388B8ECCD5E
=========================================================
Name: CLE
Status: Online
Size: 3799998464 B (3.8 GB)
Free Space: 16777216 B (16.8 MB)
|
+-< Physical Volume 0E586E73-F322-4174-8E4F-19CBD2674595
| ----------------------------------------------------
| Index: 0
| Disk: disk1s2
| Status: Online
| Size: 3799998464 B (3.8 GB)
|
+-> Logical Volume Family AD61AF12-312C-4A99-90D3-736BB333D69E
----------------------------------------------------------
Encryption Status: Unlocked
Encryption Type: None
Conversion Status: NoConversion
Conversion Direction: -none-
Has Encrypted Extents: No
Fully Secure: No
Passphrase Required: No
|
+-> Logical Volume 8427D678-C0C6-42A3-BDB0-17873172B57B
---------------------------------------------------
Disk: disk2
Status: Online
Size (Total): 3464450048 B (3.5 GB)
Conversion Progress: -none-
Revertible: Yes (no decryption required)
LV Name: CLE
Volume Name: CLE
Content Hint: Apple_HFS

Le Groupe de Volumes Logiques (Logical Volume Group) est la désignation de la structure globale générée par le CoreStorage Manager ; le Physical Volume est la définition additionnelle que le CoreStorage Manager a greffée sur le volume logique /dev/disk1s2 de la Table de partition GUID : celle de Disque Physique Virtuel ; le Logical Volume Family (Famille de volume logique) est une sorte d'annexe informative décrivant comment ce Disque Physique Virtuel se trouve logiquement défini : s'il supporte ou non un volume crypté, s'il y a un mot-de-passe, etc. ; enfin, le Logical Volume (Volume Logique) est le /dev/disk2 : le container du système de fichiers, qui monte à partir du disque physique virtuel conformément aux paramètres du Logical Volume Family.

Le CoreStorage Manager s'invoque directement, en ligne de commande dans le «Terminal», comme fonctionnalité seconde de la commande diskutil qui invoque le binaire_unix du même nom : à savoir, la fonction coreStorage. Mais il s'invoque indirectement, en mode graphique, dans la GUI de l'«Utilitaire de Disque», lorsqu'on demande la création d'un Volume Chiffré décryptable grâce à un mot-de-passe ; et tout aussi indirectement, lorsque dans les Préférences Système, on active la protection FileVault-2 qui revient à imposer au volume de l'OS (/dev/disk0s2) un chiffrement. En dernier lieu, le procédé du Fusion_Drive invoque lui aussi les services du même CoreStorage Manager.

Dans tous ces cas de figure, ce sont les services du CoreStorage Manager qui sont invoquées, avec cette différence qu'en ligne de commande, il est possible de créer un Groupe de Volumes Logiques non chiffré greffé sur un volume partitulier de la Table de partition GUID d'un disque physique ; alors que, en mode graphique, le CoreStorage Manager n'est invoqué qu'en liaison avec une option de chiffrement. La différence, enfin, entre FileVault-2 et l'«Utilitaire de Disque» se résumant pour l'essentiel à l'identité du disque crypté et au mode de son déchiffrement requis des services du CoreStorage Manager : volume de l'OS + déchiffrement automatique lié au renseignement du mot-de-passe utilisateur à l'écran d'ouverture de session (FileVault-2) vs volume indépendant + déchiffrement requis à la commande volontaire de montage (Utilitaire de Disque).
"


Non, je déconne. Mais j'aimerais savoir, en terme de sécurité, quelle "identité de disque crypté" (pour reprendre l'expression) est la plus sûre, celle créer par filevault2 ou par l'utilitaire de disque? Y'a-t-il une différence de niveau de sécurité déjà? Parce que, même si l'on comprend le mécanisme de la couche GUID, c'est difficile de se faire une idée exacte de son niveau de perméabilité. D'ailleurs, existe-t-il au monde un système imperméable, il parait que non...?

 

[Membre supprimé 1060554]

j'aimerais savoir, en terme de sécurité, quelle "identité de disque crypté" (pour reprendre l'expression) est la plus sûre, celle créer par filevault2 ou par l'utilitaire de disque? Y'a-t-il une différence de niveau de sécurité déjà? Parce que, même si l'on comprend le mécanisme de la couche GUID, c'est difficile de se faire une idée exacte de son niveau de perméabilité. D'ailleurs, existe-t-il au monde un système imperméable, il parait que non...?

À ma connaissance (mais je suis le contraire de 'pointu' - façon détournée de dire : 'obtus' - sur les questions de chiffrement de données et sollicite un relai de la part de camarades mieux affûtés sur la question) les 2 utilitaires («Utilitaire de Disque» et «Filevault-2») utilisent le même algorithme de chiffrement : XTS-AES 128 bit avec clé de 256 bit qui défie le décryptage à l'aveugle (le point faible étant la définition d'un mot-de-passe associé à la clé de déchiffrement 'prévisible' psychologiquement et de faible complexité alphanumérique, genre un Mr Dupont dans la vie - attention! avec un 'T' - qui va choisir comme mot-de-passe associé à la clé de déchiffrement 'Dupond' - avec un 'D' -, voire 'Tintin', 'Haddock', 'Hergé' etc. ). Donc les résultats me paraissent identiques, en vertu de la règle : «les mêmes causes produisent les mêmes effets» et la faiblesse réside dans le choix du mot-de-passe qui lance le déchiffrement.

Je rappelle (ce qui se déduit de mes considérations abstruses du message précédent) que, dans les 2 cas de figure également, le CoreStorage Manager se trouve invoqué par les 2 utilitaires, dans la mesure où c'est un volume qui se trouve chiffré : il y a donc génération d'un Groupe de Volume Logiques enté sur le volume de la Table de Partition GUID choisi comme cible du chiffrement. Ledit volume logique de la Table de Partition GUID se trouve alors 'décrit' comme égale à un 'disque physique' (disque virtuel) supportant à son tour un partitionnement logique qui lui greffe 1 (ou plusieurs!) volume(s) logique(s).

[Lorsque l'«Utilitaire de Disque» est employé pour créer un .dmg chiffré, on peut remarquer qu'il s'agit d'une structure assez analogue finalement au Groupe de Volumes Logiques généré par le CoreStorage Manager = un 'disque physique virtuel' supportant un volume logique qui monte sous forme d'image-disque - sauf qu'il s'agit ici d'un sous-ensemble du 'volume Logique' d'un disque dur qui le contient, alors que le couple : 'Disque Physique Virtuel_Volume Logique' créé par le CoreStorage Manager est un ensemble égal au volume entier de la Table de partition GUID auquel il est associé (c'est une autre façon de le décrire, si j'ose dire).].

La différence étant que l'utilitaire «Filevault-2» a pour volume-cible dédié celui de l'OS du disque de démarrage d'un Mac (avec une condition annexe, qui est la présence requise de la partition de récupération Recovery HD en annexe du volume logique Macintosh HD) ; tandis que l'«Utilitaire de Disque» a toute latitude de manipuler en vue de chiffrement des volumes logiques ne supportant que des données, comme tu l'as utilisé pour ton DDE.​

 

[FrançoisMacG]

macomaniac

J'ai cru pouvoir prosaïquement comprendre que c'est la même technologie FileVault 2 qui s'applique au disque interne protégé par le FileVault des Préférences Système et au disque externe chiffré par l'intermédiaire d'Utilitaire de Disque,

et qu'il n'y a donc que la cible et l'outil qui varient : l'AES 128 bit est l'âme de la protection dans les deux cas.

 

[bompi]

C'est aussi le souvenir que j'en ai (j'ai chiffré un disque externe, un jour, pour voir, et c'était bien un fonctionnement similaire à celui de Filevault).

 

[macdonal]

Ok, merci pour vos contributions.
Par contre, depuis que j'ai lancé le cryptage sur mon disque externe, ça fait 2 jours qu'il tourne quasi en continu. 3To de données demande peut-être beaucoup de temps pour le cryptage? Pourtant, il est utilisable comme tel et je peux tout à fait éteindre l'ordi sans que ça ne pose problème (d'où j'imagine qu'il poste-pose le cryptage et qu'il peut le faire en plusieurs étapes...) ?

 

[FrançoisMacG]

Sous Lion, on parlait de 24 heures pour 1 To : ça n'aurait donc pas changé.

 

[macdonal]

Sous Lion, on parlait de 24 heures pour 1 To : ça n'aurait donc pas changé.

Ah oui, carrément! Bon, ben c'est normal alors... merci

 

[Hakton]

Bonjour,
vous êtes sûr qu'il n'y a aucun problème à éteindre l'ordinateur ?
Car chez moi, depuis que j'ai fait click droit, chiffrer (le disque dur externe), il a disparu de mon bureau et est entrain de mouliner.
Quand je vais dans "utilitaire de disque" ça me met "chargement des disques" avec une barre de chargement mais rien ne vient.

 

[Membre supprimé 1060554]

Salut Hakton

Depuis ta session actuellement ouverte et (je le suppose) ton DDE attaché à ton Mac > va à : Applications > Utilitaires > lance le «Terminal». Tu va voir s'ouvrir une fenêtre > dans laquelle tu peux passer des commandes en mode texte (informatives ou effectuatrices). Là où l'«Utilitaire de Disque» (logiciel graphique) mouline > le «Terminal», lui, saura retourner des informations textuelles explicites sur la situation actuelle du disque de ton DDE. Ce qui prouve la chose suivante (s'il en était besoin) : aucun logiciel graphique ne l'emporte sur le «Terminal» (et aucune présentation en image n'est supérieure à une présentation en mode texte).

Dans la fenêtre du «Terminal» > saisis (l'une après l'autre) les 2 commandes simplement informatives :

diskutil list
diskutil cs list

et ↩︎ (presse la touche "Entrée" du clavier après chaque commande pour l'activer)

• la 1ère va retourner le tableau des disques attachés à ton Mac (en interne / externe) > avec leurs paramètres logiques de tables de partition et de partitions.

• la 2è > le tableau du (ou des) système(s) de stockage CoreStorage actuellement existant sur toute partition de disque.

• Le chiffrement d'un volume générant logiquement un système de stockage CoreStorage sur la partition concernée comme condition nécessaire du chiffrement > va donc se trouver affiché le tableau du CoreStorage Chiffré de la partition de ton DDE.

• Parmi les rubriques de ce tableau CoreStorage > à celle du Logical Volume (tout en bas) qui est le disque virtuel exporté par ce système de stockage > se trouve mentionné le % d'avancement d'un processus de chiffrement qui serait en cours.

Tu n'as qu'à poster ces 2 tableaux ici en copier-coller > mais attention ! avant de faire ton coller > presse le bouton ⌹ (4è avant la fin à droite) dans la barre de menus au-dessus du champ de saisie d'un message > menu : </> Code > par ⌘V colle dans la fenêtre Code > presse le bouton Insérer (ce procédé permet un affichage fenêtré qui économise l'espace de page en respectant la mise en forme des tableaux du «Terminal» --> d'où une plus grande lisibilité).

=> grâce à ces informations > il sera possible de savoir exactement où en sont les choses.

NB. pour répondre à ta question spécifique :

vous êtes sûr qu'il n'y a aucun problème à éteindre l'ordinateur ?

oui : la suspension d'une opération de chiffrement CoreStorage par extinction du Mac et sa reprise au point quitté après rallumage du Mac et ré-ouverture de la session d'utilisateur est parfaitement gérée par le kernel (noyau du Système).

 

[Moonwalker]

C'est de l'AES-XTS dans tous les cas.

https://eprint.iacr.org/2012/374.pdf