Apple a franchi un cap en légalisant une pratique longtemps secrète parmi les administrateurs Mac : le déverrouillage à distance de FileVault. Ce changement, intégrant la fonctionnalité dans le système macOS Tahoe, facilite considérablement la gestion des Mac, surtout en cas de coupure de courant ou de mise à jour. En effet, jusqu’à présent, il était nécessaire que l’administrateur se rende physiquement sur la machine pour entrer le mot de passe, limitant ainsi l’efficacité des opérations à distance.
Jeff Geerling, un développeur réputé dans le milieu, a récemment annoncé cette nouvelle qui ravit les administrateurs systèmes. Grâce à cette mise à jour, une fois la “Session à distance” activée dans les réglages de partage, il est désormais possible de se connecter en SSH avant même que l’utilisateur ne soit authentifié. Ainsi, l’administrateur peut introduire son mot de passe à distance pour démarrer la machine sans avoir à se déplacer, transformant ainsi l’expérience d’utilisation de ces serveurs en ligne.
Cette avancée simplifie la vie des administrateurs, mais soulève également des questions sur la sécurité accrue des systèmes.
Cependant, un petit hic demeure : cette fonctionnalité, censée fonctionner en WiFi, a montré des limites durant les tests de Geerling, qui n’a réussi à la faire fonctionner qu’en Ethernet. Cela pourrait s’expliquer par le fait que les clés réseau sont stockées dans le Keychain, qui lui-même est chiffré sur le volume verrouillé, rendant les connexions sans fil problématiques pour l’instant. Ainsi, les utilisateurs de Mac mini dissimulés derrière leurs téléviseurs pour faire fonctionner des serveurs Plex devront s’en tenir à des connexions filaires pour profiter de cette amélioration.
Cette mise à jour coïncide également avec une modification du stockage des Recovery Keys par FileVault, qui passe d’un stock classique dans iCloud à un stockage sécurisé dans l’iCloud Keychain avec chiffrement de bout en bout. Une avancée qui resserre la sécurité sur ce point, mais qui pourrait être paradoxalement moins protectrice dans d’autres aspects.
En dépit des avantages indéniables pour la gestion des systèmes, le déverrouillage à distance de FileVault introduit de nouvelles vulnérabilités potentielles. Alors qu’un Mac avec FileVault était considéré comme une forteresse au démarrage, l’activation du SSH à distance ouvre une nouvelle surface d’attaque. Même si le mot de passe administrateur demeure une barrière, cela remet en question la sécurité physique des dispositifs. Pour les gérants de fermes de Mac mini, cette évolution est une bénédiction, mais les puristes de la sécurité restent sur leurs gardes face à cette fonctionnalité qui présente encore des failles non négligeables.
