10.13 High Sierra Mot de passe de démarrage demandé avant et après Filevault

[Benckes]

Hello,

Je repose une seconde ou troisième question dans ce forum, ça avait été fructueux la dernière fois, il me semble !
J'ai un problème, enfin une inquiétude plus qu'un problème. Mon mot de passe, au démarrage du Mac, est demandé avant le déchiffrement de la partition verrouillée par Filevault 2, et une fois que cette partition est déverrouillée, avant de me permettre d'accéder au bureau.
Cette seconde vérification, à base du même mot de passe, ne me semble avoir aucun sens, et du coup je me demande si ce ne serait pas soit un bug, soit un truc lié à mon EFI modifié.

J'ai un MBP TBless 2016, High Sierra en GM je suppose, enfin il doit être sorti maintenant, et un EFI à base de rEFINd pour patcher mon install Windows, afin que le Mantiz Venus que j'y ai branché fonctionne proprement. Enfin on dit fonctionne correctement, en français, mais ce n'est pas la question n'est-ce pas ?

Est-ce que quelqu'un d'autre, n'ayant pas touché à son EFI, et ayant Filevault 2 activé, a le même "problème" que moi ? Ce double mot de passe ?

Merci d'avance !

 

[Membre supprimé 1060554]

Salut Benckes

Je saisis clairement le problème que tu exposes.

Théoriquement > quand tu actives «FileVault» > un système de stockage CoreStorage est généré sur la partition du Système > et le volume Macintosh HD de l'OS monte désormais sur la couche supérieure de ce système de stockage : le Volume Logique [en somme, c'est un peu comme si le CoreStorage avait été glissé sous le volume Macintosh HD > lequel ne monte plus sur la partition brute du disque > mais sur un disque logique virtuel : celui du Logical Volume].

Lorsqu'en plus du CoreStorage > un chiffrement est demandé > la couche logique inférieure du CoreStorage : le Physical Volume (qui est un magasin de sockage physique inscrit dans le périmètre de la partition-Système) > se trouve chiffré byte à byte. La conséquence est que le Logical Volume qui est un disque miroir virtuel de ce Physical Volume > n'est plus automatiquement exportable en regard du Physical Volume. Il faut opérer une action de déverrouillage > ce qui permet l'exportation du Logical Volume > et donc le remontage du volume JHFS+ Macintosh HD qui réside sur le Logical Volume.

----------

Ce mécanisme logique assez sophistiqué explique la nécessité absolue d'un écran de déverrouillage d'entrée de jeu du démarrage du Mac. C'est le 1er écran dont tu parles.

Comme le mot-de-passe qui permet le déverrouillage est le même que le mot-de-passe d'ouverture de session de l'utilisateur accrédité à déverrouiller le Volume Logique > les ingénieurs de la  ont fait en sorte que ce mot-de-passe compte double : pour déverrouiller le Logique Logique > et après chargement de l'OS pour renseignement du mot-de-passe d'ouverture de session sans qu'il soit besoin d'afficher un écran de LoginWindow. Donc la session de l'utilisateur qui a déverrouillé le Volume Logique doit s'ouvrir automatiquement.

Mais un second écran de login est quand même susceptible de s'afficher (le LoginWindow classique après chargement de l'OS) > si le Système considère que le mot-de-passe de déverrouillage et le mot-de-passe d'ouverture de session de l'utilisateur ne sont plus identiques.

Normalement > si l'utilisateur change son mot-de-passe d'ouverture de session > un service du Système transmet cette modification au dispositif CoreStorage pour mettre à jour le mot-de-passe de déverrouillage (qu'il y ait synchronisation). Mais une erreur peut intervenir > qui bloque cette mise-à-jour --> il y a alors disjonction des mots-de-passe et nécessité de 2 écrans : déverrouillage vs ouverture de session.

Mais je pense aussi (comme toi) qu'un bogue est susceptible de faire revenir le LoginWindow comme écran d'ouverture de session > alors même que l'utilisateur n'a pas modifié son mot-de-passe.

Enfin > s'il y a eu création après coup d'un second compte d'utilisateur > sans que cet utilisateur ait le privilège de pouvoir déverrouiller le Volume Logique > je me demande si ça ne re-crée pas la fonction de l'écran de choix d'ouverture de session en 2è instance - cela, pour tous.

----------

Il existe 2 méthodes pour résoudre ce dédoublement d'écrans -->

- a) drastique : tu désactives dans un 1er temps «FileVault» > tu le ré-actives dans un second temps. Mais ça va prendre du temps.

- b) sournoise : tu crées un 2è utilisateur admin dans le panneau des Utilisateurs et groupes --> nom = toto > mot-de-passe = toto. Dans le panneau «FileVault» > tu accrédites toto à la capacité de déverrouiller le Volume Logique avec son mot-de-passe.

Tu te délogges de ta session > tu te relogges comme toto. Dans le panneau FileVault > tu supprimes l'utilisateur admin vrai que tu es (ton nomcourt) de la capacité à déverrouiller le Volume Logique. Dans un second temps > toujours dans la session toto > tu te ré-habilites à la capacité de déverrouiller le Volume Logique.

=> ce va-et-vient de résilisation / réhabilitation a des chances d'éliminer pour toi la survenue du 2è écran (l'utilisateur toto ayant aussi le pouvoir de déverrouillage et donc ne nécessitant pas d'écran de login).

=> si après vérification > tout marche bien désormais > tu peux supprimer l'utilisateur toto [tu peux faire le test de le démettre de la capacité à déverrouiller le Volume Logique > pour voir si ça restaure le LoginWindow en 2è instance pour tous. Évidemment, s'il y a un troisième utilisateur encore, sans droit de déverrouillage du Volume Logique > ce serait alors son statut qui pourrait créer la complication].

 

[kervanoel]

Hello,

Je repose une seconde ou troisième question dans ce forum, ça avait été fructueux la dernière fois, il me semble !
J'ai un problème, enfin une inquiétude plus qu'un problème. Mon mot de passe, au démarrage du Mac, est demandé avant le déchiffrement de la partition verrouillée par Filevault 2, et une fois que cette partition est déverrouillée, avant de me permettre d'accéder au bureau.
Cette seconde vérification, à base du même mot de passe, ne me semble avoir aucun sens, et du coup je me demande si ce ne serait pas soit un bug, soit un truc lié à mon EFI modifié.

J'ai un MBP TBless 2016, High Sierra en GM je suppose, enfin il doit être sorti maintenant, et un EFI à base de rEFINd pour patcher mon install Windows, afin que le Mantiz Venus que j'y ai branché fonctionne proprement. Enfin on dit fonctionne correctement, en français, mais ce n'est pas la question n'est-ce pas ?

Est-ce que quelqu'un d'autre, n'ayant pas touché à son EFI, et ayant Filevault 2 activé, a le même "problème" que moi ? Ce double mot de passe ?

Merci d'avance !

Je possedé un MacBook Pro début 2015 et highsierra 10.13 crypté par file vaut.
Aucun problème il me demande a chaque ouverture mon mot de passe d'utilisateur c'est tout comme s'il n'était pas crypté

 

[Benckes]

Salut Benckes

Je saisis clairement le problème que tu exposes.

Théoriquement > quand tu actives «FileVault» > un système de stockage CoreStorage est généré sur la partition du Système > et le volume Macintosh HD de l'OS monte désormais sur la couche supérieure de ce système de stockage : le Volume Logique [en somme, c'est un peu comme si le CoreStorage avait été glissé sous le volume Macintosh HD > lequel ne monte plus sur la partition brute du disque > mais sur un disque logique virtuel : celui du Logical Volume].

Lorsqu'en plus du CoreStorage > un chiffrement est demandé > la couche logique inférieure du CoreStorage : le Physical Volume (qui est un magasin de sockage physique inscrit dans le périmètre de la partition-Système) > se trouve chiffré byte à byte. La conséquence est que le Logical Volume qui est un disque miroir virtuel de ce Physical Volume > n'est plus automatiquement exportable en regard du Physical Volume. Il faut opérer une action de déverrouillage > ce qui permet l'exportation du Logical Volume > et donc le remontage du volume JHFS+ Macintosh HD qui réside sur le Logical Volume.

----------

Ce mécanisme logique assez sophistiqué explique la nécessité absolue d'un écran de déverrouillage d'entrée de jeu du démarrage du Mac. C'est le 1er écran dont tu parles.

Comme le mot-de-passe qui permet le déverrouillage est le même que le mot-de-passe d'ouverture de session de l'utilisateur accrédité à déverrouiller le Volume Logique > les ingénieurs de la  ont fait en sorte que ce mot-de-passe compte double : pour déverrouiller le Logique Logique > et après chargement de l'OS pour renseignement du mot-de-passe d'ouverture de session sans qu'il soit besoin d'afficher un écran de LoginWindow. Donc la session de l'utilisateur qui a déverrouillé le Volume Logique doit s'ouvrir automatiquement.

Mais un second écran de login est quand même susceptible de s'afficher (le LoginWindow classique après chargement de l'OS) > si le Système considère que le mot-de-passe de déverrouillage et le mot-de-passe d'ouverture de session de l'utilisateur ne sont plus identiques.

Normalement > si l'utilisateur change son mot-de-passe d'ouverture de session > un service du Système transmet cette modification au dispositif CoreStorage pour mettre à jour le mot-de-passe de déverrouillage (qu'il y ait synchronisation). Mais une erreur peut intervenir > qui bloque cette mise-à-jour --> il y a alors disjonction des mots-de-passe et nécessité de 2 écrans : déverrouillage vs ouverture de session.

Mais je pense aussi (comme toi) qu'un bogue est susceptible de faire revenir le LoginWindow comme écran d'ouverture de session > alors même que l'utilisateur n'a pas modifié son mot-de-passe.

Enfin > s'il y a eu création après coup d'un second compte d'utilisateur > sans que cet utilisateur ait le privilège de pouvoir déverrouiller le Volume Logique > je me demande si ça ne re-crée pas la fonction de l'écran de choix d'ouverture de session en 2è instance - cela, pour tous.

----------

Il existe 2 méthodes pour résoudre ce dédoublement d'écrans -->

- a) drastique : tu désactives dans un 1er temps «FileVault» > tu le ré-actives dans un second temps. Mais ça va prendre du temps.

- b) sournoise : tu crées un 2è utilisateur admin dans le panneau des Utilisateurs et groupes --> nom = toto > mot-de-passe = toto. Dans le panneau «FileVault» > tu accrédites toto à la capacité de déverrouiller le Volume Logique avec son mot-de-passe.

Tu te délogges de ta session > tu te relogges comme toto. Dans le panneau FileVault > tu supprimes l'utilisateur admin vrai que tu es (ton nomcourt) de la capacité à déverrouiller le Volume Logique. Dans un second temps > toujours dans la session toto > tu te ré-habilites à la capacité de déverrouiller le Volume Logique.

=> ce va-et-vient de résilisation / réhabilitation a des chances d'éliminer pour toi la survenue du 2è écran (l'utilisateur toto ayant aussi le pouvoir de déverrouillage et donc ne nécessitant pas d'écran de login).

=> si après vérification > tout marche bien désormais > tu peux supprimer l'utilisateur toto [tu peux faire le test de le démettre de la capacité à déverrouiller le Volume Logique > pour voir si ça restaure le LoginWindow en 2è instance pour tous. Évidemment, s'il y a un troisième utilisateur encore, sans droit de déverrouillage du Volume Logique > ce serait alors son statut qui pourrait créer la complication].

Oh mon dieu ! Merci beaucoup d’avoir pris la peine de répondre, je crois que j’avais désactivé mes notifs sur le forum.
Je posais cette question parce que je craignais une manœuvre sournoise pour obtenir mon mot de passe, du fait de cet EFI modifié dont j’ai parlé.
Seulement à la lumière de ces copieuses explications très précises, il me semble, je vois d’où viendrait le bug. J’ai effectivement créé un compte utilisateur, et c’est depuis lors que j’ai ce problème. Je tenterai une de ces options, quand j’aurai un peu de temps, et je vous dirai !

Merci encore en tout cas !

 

[Membre supprimé 1060554]

Benckes

Le problème que tu avais soumis : une duplication d'écrans de login dans le cadre d'une activation de «FileVault» --> est une occurrence rare.

Je te conseille carrément la désactivation de «FileVault» qui devrait régler l'affaire.

 

[Benckes]

Benckes

Le problème que tu avais soumis : une duplication d'écrans de login dans le cadre d'une activation de «FileVault» --> est une occurrence rare.

Je te conseille carrément la désactivation de «FileVault» qui devrait régler l'affaire.

Salut macomaniac,
Mmhhh... Mais j'ai la ferme intention d'avoir ma partition de démarrage chiffrée, ça ne m'arrangerait pas de désactiver filevault.

 

[peyret]

Salut macomaniac,
Mmhhh... Mais j'ai la ferme intention d'avoir ma partition de démarrage chiffrée, ça ne m'arrangerait pas de désactiver filevault.

elle contient des photos de nus

ou les codes de la bombe H ?

 

[Membre supprimé 1060554]

j'ai la ferme intention d'avoir ma partition de démarrage chiffrée, ça ne m'arrangerait pas de désactiver filevault.

Désactive «FileVault» dans un premier temps > vérifie si tout est rentré dans l'ordre > ré-active «FileVault» si le problème est réglé.

 

[Benckes]

elle contient des photos de nus

ou les codes de la bombe H ?

Ahahaha ! Oui.
Ce n'est pas tellement la question de ce qui est stocké sur l'ordinateur, que la faculté pour n'importe qui de voir le contenu en installant par exemple une nouvelle instance de windows par dessus celle déjà en place. Simple question de sécurité, c'est comme le chiffrement, ce n'est pas parce que j'ai rien à cacher que j'aime savoir que l'État lit par dessus mon épaule, il me suffit déjà de savoir que Palantir gère le "fichier des gens honnêtes" en France. Mais je digresse !

 

[Benckes]

Désactive «FileVault» dans un premier temps > vérifie si tout est rentré dans l'ordre > ré-active «FileVault» si le problème est réglé.

J'y ai pensé, mais je me suis dit que franchement, ça allait prendre des heures, j'ai 800Go et un processeur basse conso (une belle idée de merde, le processeur basse conso soit dit en passant).
J'ai trouvé la solution alternative en essayant celle que vous m'aviez initialement proposé, vénérable sage. (Tiens, d'ailleurs voir mon truc me rappelle que j'ai moi aussi un compte Macg, et que je ne comprends pas pourquoi je ne l'ai pas sur le côté. Mais je dois avoir deux fois le même compte). J'ai commencé par créer l'utilisateur admin, j'ai buté sur Filevault où je n'avais aucun moyen de l'accréditer pour le déverrouillage. Alors je l'ai supprimé finalement (l'utilisateur, notons l'accord), et je me suis rendu compte que j'avais une liste, sous l'utilisateur invité, de groupes de dossiers publics datant de la fois où j'ai créé ce compte utilisateur sans pouvoirs admin. Du coup, j'ai supprimé tout ça et pouf, ça s'est réglé. A priori. Je viens de redémarrer sans avoir le double mot de passe. Si ça reprend, je ferai cette longue procédure qu'est la suppression et la remise en place de Filevault.

Merci en tout cas, ça m'aura au moins permis de mettre le nez dans ce qui n'allait pas.

 

[Membre supprimé 1060554]

Bravo pour l'initiative. Je pense que ça devrait suffire à régler la question.