Sécurité de votre Mac
muqaddar
Administrateur
Parmis vous, quels sont ceux qui:
1) ont chiffré leur disque dur avec FileVault
2) activent le coupe-feu
3) utilisent d'autres services pour la sécurité de leurs données
?
---
J'ai moi-même chiffré pour la première fois le contenu de mon SSD. Je n'ai pas remarqué de ralentissement SAUF avec ma photothèque Aperture (ouverture, affichage).
Connectez-vous ou Inscrivez-vous pour répondre.
Réponses
Voilà bien longtemps que j'utilise FileVault (depuis son existence en fait). J'utilise aussi Aperture (avec photos volumineuses tirées d'un D800), je ne constate pas de problème de lenteur (mais bon suis tellement habitué à utiliser FileVault que je ne vois peut-être pas la différence sans celui-ci).
À noter que je me suis fait voler un ordi il y a quelques années (arraché des mains), bien soulagé d'avoir FileVault d'activé.
Coupe-feu activé aussi.
Sauvegardes (c'est une sécurité aussi).
L'ouverture de ma photothèque Aperture est passé de 4 à 15 secondes...
Et en plus, je n'ai pas la main tout de suite !
Après, le chiffrement n'est peut-être pas en cause. J'ai l'impression que la restauration TimeMachine l'a peut-être corrompue... ou alors une histoire de cache... Là , si je le laisse ouvert, il prend 200% du proc et fait un "traitement"... Les aperçus des photos n'ont peut-être pas été restaurés, ce qui n'est pas très logique puisqu'il restaure tout le dossier Aperture.Library.
EDIT: je confirme qu'il est en train de me recréer tous les aperçus...
EDIT2: c'est fini mais toujours 15 secondes pour lancer l'application et autant pour avoir la main !
j'ai activé le coupe feu. J'utilise un outil indispensable: ma main gauche pour brancher-débrancher le cordon Ethernet car je me connecte peu au réseau. Et de temps en temps je passe un coup de ClamXav.
Pendant un temps j'ai utilisé LittleSnitch mais si le verrouillage est serré il devient une vraie plaie et demande sans arrêt des tas de chose.
FileVault 2, FireWall, Antivirus, je travail sur un compte utilisateur et non un compte administrateur.
D'autres questions ? ^^
Antivirus ? sérieux ?
T'es au courant que la NSA a des virus pouvant se connecter à internet sur des ordinateurs sans connexion ?
Oui :-)
Ouais, étrange... moi c'est instantané pour une bibliothèque de 200 Go là (je travaille avec plusieurs bibliothèque ce qui m'évite d'en avoir de trop volumineuses) !
La mienne ne fait que 50 Go en plus (je n'ai que le d90 et pas le d800) ;-) ahah.
- Firewall du/des mac + celui de ma box ADSL (aucune connexion entrante)
- Pour mon portable, pas de Filevault pour une question de rapidité, mais mes sources sont sur une image disque chiffrée que je dois monter au lancement de Xcode
- ClamXav deux fois par an
Je suis au courant et j'essaie d'être le plus transparent possible. Je réinstalle le système complètement tout les deux mois, j'ai piraté la NSA et chaque fois qu'ils veulent m'espionner j'explose un de leur serveur.
Plus sérieusement, il faut être conscient des problèmes de sécurité, mais il ne faut pas que cela vous empêche de travailler. Le choix des données à protéger est essentiel.
A noter que ClamXav n'a jamais rien trouvé sur mes machines (ce qui ne veut pas dire que je n'ai pas été piraté).
Sans plaisanter, Il y a un peu plus de quinze ans (il y a prescription) j'ai été habilité "secret-défense". Des stages que j'ai suivi j'ai retiré la conviction que, pour entrée sur un réseau quelconque, il suffit de téléphoner à une secrétaire bien choisie et, soit de lui faire peur (1), soit de lui faire pitié (2). A presque tous les coups elle te donne son mot de passe! J'ai vu un ou deux exemples, c'est impressionnant!!
1- faire peur:
Mme xxx? Ici le service informatique, qu'est ce que vous avez encore fait sur votre ordinateur? Il y a quelqu'un qui y a touché? Le serveur annonce qu'il va vous déconnecter du réseau ainsi que votre patron!
-- Ouh la, qu'est ce qu'il faut que je fasse?
Donnez-moi votre mot de passe, je vais rectifier ça.
2- faire pitié:
Mme xxx, Ici le service informatique, désolé de vous déranger, je viens de faire une grosse bétise, j'ai annulé par erreur les mots de passe de 11 comptes dont le vôtre. Si je ne corrige pas rapidement le problème je vais être licencié. Pourriez vous me donner votre mot de passe pour que je rétablisse votre accès et n'arrêtez pas votre machine tant que ce n'est pas fait.
Ces deux phrases montrent les principes de ce qu'il faut faire, en menaçant encore un peu plus (cas 1) ou en pleurant un peu plus (cas 2). Bien sur, l'imagination est sans limite et on peut trouver d'autre principe à appliquer. ça s'appelle le social engineering et ça marche du feu de dieu!!
Essaye avec la réceptionniste de ta banque, tu verras bien!
Pour que la réponse soit sur un post-it à l'accueil, bien en vu de tous les visiteurs ?
Non, la réponse au social engineering est complexe, mais c'est de la formation. Ce sont des procédures à apprendre aux utilisateurs. ça prend du temps mais c'est la seule solution.
Je vous invite à lire le livre The Art Of Intrusion de Kevin Mitnick sur le sujet.
Puis pour ceux que la manipulation intéresse, le fameux Petit Guide de Manipulation à l'Usage des Honnêtes Gens de Joule et Beauvois.
Concernant le social engineering, oui ça marche.
Par contre, où je suis plus sceptique, c'est concernant le sujet original.
Je pense qu'un voleur aura tôt fait de reformater l'ordinateur. S'il est pris avec un PC volé, mais avec un OS à son nom, il pourra plaider la bonne fois. A l'inverse, ce même ordi avec l'installation du propriétaire légitime, rendra inévitablement le "nouveau propriétaire" suspect de recel.
Qui a parlé d'antivol ? On a parlé de sécurité des données.
L'important, ce n'est pas que la machine ne soit pas volable, c'est que les données de ton entreprises et de tes clients ne soient pas dans la nature...
Tu fais les formations que tu veux, tu attends deux mois et tu fais un test avec quelques secrétaires! 50% se font piégées. Une secrétaire et plus généralement le personnel administratif estime que la sécurité des données est le problème du service informatique uniquement. Je vais vous donner deux exemples concrets que j'ai vu ici:
__Tous les ingénieurs de notre section de l'organisme de recherche ou je travaillais ont reçu par le courrier une feuille à remplir et à renvoyer venant d'un organisme d'enquête apparemment officiel situé à Paris. Grosso modo: qui sont vos collègues et vos chefs? Travaillez-vous sur un projet particulier?
Méfiance et, en sens inverse, information à qui de droit pour vérification de l'émetteur.
Résultat, une boà®te privé parisienne et française payée par des américains (leur gouvernement?) .
__Dans l'organisme situé à coté du notre, ils avaient trois gros ordinateurs montés en cluster (en anneau) pour gérer le réacteur à haut flux de neutrons et les manips associées. A un moment donné, l'ensemble des utilisateurs c'est retrouvé sans accès aux ordinateurs. Le responsable lance sa console personnelle, voit ce qui se passe et se précipite sur le disjoncteur général du cluster et arrête tout. Après coup nous avons eu l'explication: Lors de l'installation, le responsable informatique n'avait pas changé le mot de passe par défaut du root. Profitant de la chose quelqu'un situé dans un université Allemande est rentré dans les ordinateurs de recherche de l'organisme (facile pour avoir des résultats!). L'université a été trouvé, mais à l'intérieur on ne peut pas savoir qui a fait ça! Cette personne a fait l'erreur de lancer une appli qui exigeait une dizaine de minutes d'arrêt total pour tous les users locaux et ça c'est vu immédiatement.
Je suis désolé Tablier, mais si tu fais les choses correctement, que tu applique les bonnes procédures en expliquant les choses correctement, en montrant les faiblesses et en montrant les modes de pensées différents, tu arrive à augmenter le niveau de sécurité.
Bon après, le mon des universitaire et de la recherche, peut être pas. Ils sont particulièrement connu pour en faire qu'à leur tête et venir ensuite pleurer quand ils se sont fait voler par les équipe concurrente malgré toutes les recommandation des offices gouvernementale de sécurité.
C'est entendu, il faut faire les choses correctement! Mais ça c'est la théorie. Je ne sais pas si tu travailles pour des "grandes" entreprises, mais là ou je me trouvais je m'occupais d'un département (300 personnes) qui faisait partie d'une entité (1400 personnes) qui elle même était une division d'une entreprise de 23000 personnes. Dans une architecture de ce type (pyramidale), mettre en place des règles de sécurité relève du tour de force quand on est sur la marche du bas! Il faut convaincre le responsable sécurité de chaque marche de ce qu'il faut faire, et eux même devront convaincre le grand chef de la marche ou ils se trouvent!!!!! Dans une entreprise de ce type, l'employé de base est convaincu lors de la réunion sur la sécurité et a tout oublié après le repas!
Et de temps en temps des décisions incompréhensibles redescendent du sommet! Dur, dur! C'est mon expérience!
Nota, Je n'étais pas dans un environnement universitaire, mais dans un environnement d'étude de pré-industrialisation.
Je travail avec des gros groupes, et je t'assure que les politiques de sécurités viennent de tous les niveaux et son respectés par tout le monde.
Tout est question de manière de faire.
Filevault me fait peur. J'ai peur de perdre toutes mes données sans espoir de les récupérer
On est passé à FileVault 2 hein... On est plus sur la v1 et ses dmg chiffré bancal.
FV2 c'est le chiffrement complet du disque, qui exploite au passage la fonction native AES des i5 et i7, donc extrêmement peu de perte de performance. J'y fait même tourner des VM sur mon MacBook Air avec FV2 active.
Concernant la perte de données, tu es censé avoir des sauvegardes pour ça :-)
Surtout avec toi Ca doit filer droit !
À vrai dire, si tu veux inculquer aux gens des notions de sécurité, c'est plus dans des livres comme ceux de Joules et Beauvois que tu trouvera des éléments de réponse que dans un manuel militaire ^^
Oui, mais tu ne chiffres pas le HD des sauvegardes aussi ?
En l'occurrence je chiffre les sauvegardes elles mêmes avec Crash Plan mais l'idée est la même.
Mais ma réponse était plus large que ça en fait. FV ou pas, le risque de perte de données est le même et tu dois avoir des sauvegarde pour le gérer.