\nJeff Geerling qui nous annonce<\/a>
\nl\u2019air de rien qu\u2019Apple vient enfin de \u201cl\u00e9galiser\u201d la bidouille qu\u2019on utilisait tous en douce \u00e0 savoir d\u00e9verrouiller FileVault \u00e0 distance via SSH dans macOS Tahoe.<\/p>\n
Ce qui \u00e9tait donc avant une astuce d\u2019admin syst\u00e8me un peu \u00e0 la one again (script d\u2019autologin \/ d\u00e9sactiver le chiffrement\u2026etc) devient maintenant une fonctionnalit\u00e9 officielle. Sous macOS 26 Tahoe<\/strong>, si vous activez la \u201cSession \u00e0 distance<\/em>\u201d dans les r\u00e9glages de partage, vous pouvez maintenant vous connecter en SSH avant m\u00eame que l\u2019utilisateur se soit authentifi\u00e9. Un admin tape son mot de passe \u00e0 distance et hop, le Mac d\u00e9marre compl\u00e8tement. \n Par contre, petit d\u00e9tail qui tue, c\u2019est cens\u00e9 fonctionner en WiFi mais Jeff Geerling qui a test\u00e9 l\u2019astuce n\u2019a r\u00e9ussi \u00e0 se connecter qu\u2019en Ethernet. Il pense qu\u2019en Wifi, \u00e7a ne passe pas parce que les cl\u00e9s r\u00e9seau sont dans le Keychain, qui est lui-m\u00eame chiffr\u00e9 sur le volume verrouill\u00e9. C\u2019est le serpent qui se mord la queue (oui, vous le savez d\u2019exp\u00e9rience, \u00e7a fait mal de se mordre la queue)\u2026 Du coup, tous ceux qui ont des Mac mini planqu\u00e9s derri\u00e8re leur t\u00e9l\u00e9 en mode serveur Plex, vont devoir tirer un petit c\u00e2ble RJ mais bon, vrai bonhomme fait vrai r\u00e9seau en Ethernet, le Wifi c\u2019est pour les faibles, ouga-ouga !<\/p>\n Cette nouvelle fonction arrive pile poil au moment o\u00f9 Apple change aussi la fa\u00e7on dont FileVault stocke les Recovery Keys. Quoiqu\u2019il en soit, cette fonction tr\u00e8s pratique pour les admins autorise quand m\u00eame potentiellement de nouvelles attaques pre-auth sur les Mac, car avant, un Mac avec FileVault activ\u00e9 \u00e9tait une forteresse imprenable au d\u00e9marrage. Mais maintenant, si vous avez activ\u00e9 le SSH distant, il y a une nouvelle surface d\u2019attaque avec laquelle s\u2019amuser. Alors oui, faut toujours le mot de passe admin mais bon, c\u2019est moins sympa qu\u2019une vraie s\u00e9curit\u00e9 physique\u2026<\/p>\n En tout cas, tous les vieux de la vieille qui g\u00e8rent des fermes de Mac mini pour du CI\/CD ou du rendu sont aux anges ! Plus besoin de supplier le stagiaire d\u2019aller dans la salle serveur apr\u00e8s chaque reboot, par contre, les puristes de la s\u00e9curit\u00e9 font un peu la grimace car cette connexion SSH, c\u2019est du password-only pour l\u2019instant. Apple a encore fait les choses \u00e0 moiti\u00e9, comme d\u2019hab.<\/p>\n
\nLa documentation officielle<\/a>
\nexplique m\u00eame que le SSH se d\u00e9connecte bri\u00e8vement pendant le montage du volume, puis revient. C\u2019est la classe !<\/p>\n![\"\"](\"https:\/\/korben.info\/cdn-cgi\/image\/width=1200,fit=scale-down,quality=90,f=avif\/filevault-ssh-deverrouillage-distance-macos-tahoe\/filevault-ssh-deverrouillage-distance-macos-tahoe-2.png\")
\n<\/p>\n
\nSelon TidBITS<\/a>
\n, fini le stockage basique dans iCloud, maintenant c\u2019est dans l\u2019iCloud Keychain avec chiffrement de bout en bout.<\/p>\n