Sécuriser son mac en 8 étapes

L'objectif de cet article est de donner des mesures à mettre en place pour protéger son compte utilisateur. Les mesures de prévention expliquées ici concernent uniquement la défense contre les attaques “physiques” c'est-à-dire lorsque la personne malveillante a accès à votre ordinateur. Ces mesures sont d'autant plus importantes pour l'utilisation d'un mac portable. Ce billet n'aborde pas Filevault et pourtant ce dispositif sécurise fortement les données. Alors pourquoi ne pas l'aborder ? Car la perte du simple mot de passe protégeant les données ou la simple corruption du coffre (vault) aboutit à la perte irrémmédiable des données. Dans le cas d'une corruption, il est possible de récupérer une sauvegarde (si elle est accessible) en revanche dans le cas d'une perte du mot de passe, les données sont perdues. Filevault est donc à manipuler avec précaution.

1. Désactiver l'ouverture automatique de session

Activer l'ouverture automatique de votre compte au démarrage est risquée : toute personne ayant accès à votre ordinateur peut accèder à vos données. Même verrouiller automatiquement après un certain temps, il suffit d'éteindre le mac en gardant appuyée la touche “power” et ensuite de démarrer l'ordinateur en utilisant le même bouton. Pour désactiver, cette fonction d'ouverture automatique de session, il suffit d'aller dans les préférences systèmes.

2. Cacher toutes les informations de connexion

Pourquoi faciliter la vie de l'attaquant en lui donnant la liste des comptes utilisateurs ? Pour lui compliquer la tâche, il suffit de cocher l'ouverture de session par nom et mot de passe.

3. Bien gérer les droits utilisateurs

Quotidienne, il est plus sage et plus sûr d'utiliser un compte standard sans super pouvoirs. En revanche, il faut prévoir un compte dédié à l'administration pour pouvoir gérer le système. Dans les préférences Utilisateurs et groupes, on créé un compte admin avec les droits qui vont bien en cochant la bonne case. Ensuite fermer sa session, se reconnecter avec ce nouveau compte, sélectionner le compte utiliser habituellement et décocher la case Autoriser l'administration de cet ordinateur pour réduire ses droits.

4. À peine fermé, déjà verrouillé

La sortie du mode veille d'un mac donne accès à la session ouverte lors de la mise en veille. Pour remédier à cet accès trop facile, dans l'onglet Général des préférence Sécurité et confidentialité, activer l'option Exiger le mot de passe au réveil et régler l'activation au plus rapide après suspension de l'activité. Un délai plus grand que 5 seconde est risqué.

5. Renforcer la sécurité du trousseau d'accès

Le mot de passe de session protège aussi le Trousseau d'accès : ainsi la simple ouverture de session permet à Safari d'y accèder automatiquement. Afin de séparer les droits d'accès, en faisant un clic droit sur le trousseau de session, on change le mot de passe. (autre solution, ne pas utiliser Safari comme navigateur par défaut mais Firefox).

6. Verrouiller le trousseaux d’accès

Dans le même menu, sélectionner Modifier les réglages du trousseau...

7. Vérrouiller les préférences

Pour protéger les réglages sensibles, se connecter avec un compte administrateur, ouvrir les préférences Sécurité et confidentialité, sélectionner l'ongler Général et cliquer sur le bouton Avancé... et vérifier que l'option Exiger un mot de passe d'administrateur pour accèder aux préférences.

8. Réserver les partages au strict nécessaire

Les préférences Partage permettent de se connecter ou de copier un fichier à distance. Si ces options sont nécessaires pour certains, pour d'autres il est plus sûr de tout désactiver. Ceux qui utilisent le Partage d'écran ou le Partage de fichiers, vérifieront que l'accès au Mac et à ses contenus est réservé uniquement aux comptes autorisés : plus particulièrement, l'accès ne doit pas être autoriser pour Tous les utilisateurs.

9. Protéger le firmware par mot de passe

Sans protection par mot de passe sur le firmware (programme interne), il est possible de démarrer en mode “récupération” et de modifier les mots de passe de tous les comptes. Ainsi, il est possible à toute personne ayant accès à la machine, d'accèder à toutes les données à l'exception des données du Trousseau d'accès. Pour protéger le firmware par mot de passe, on redémarre le mac en Recovery Mode (mode secours) en maintenant la combinaisaon de touches Commande + R jusqu'à l'apparition du menu du mode secours. Ensuite, via le menu Utilitaires > Utilitaire de mot de passe du programme interne, on choisit un mot de passe qu'il faut absolument retenir car il sera utile en cas de pépins : par exemple pour restaurer une sauvegarde du mac ou quand on voudra démarrer dans un mode particulier.