L'iMac Pro d'Apple est livré avec une nouvelle fonctionnalité, appelée Secure Boot, qui tire parti de la puce Apple T2 intégrée, un processeur ARM similaire à celui d'un iPad ou d'un iPhone, permettant au micrologiciel de l'ordinateur de valider le chargeur de démarrage avant le chargement.
La puce T2 valide tout le processus de démarrage à la mise sous tension tout en garantissant que les niveaux de logiciel les plus bas ne sont pas altérés et que seuls le chargeur de démarrage initial et le logiciel du système d'exploitation approuvés par Apple se chargent au démarrage.
Qu'est-ce que le démarrage sécurisé?
Secure Boot est une nouvelle fonctionnalité exclusive à iMac Pro qui permet de garantir que votre ordinateur démarre toujours à partir de son disque de démarrage désigné et toujours à partir d'un système d'exploitation de confiance.
Les paramètres de démarrage sécurisé sont disponibles dans l'utilitaire de sécurité de démarrage, qui n'est accessible que via le mode de récupération de macOS.
L'utilitaire de sécurité de démarrage propose les options suivantes pour protéger votre iMac Pro contre tout accès non autorisé (nous détaillerons les trois paramètres dans cet article):
- Protection par mot de passe du firmware-Empêchez l'ordinateur de démarrer sans fournir le mot de passe de votre micrologiciel.
- Démarrage sécurisé-Ajustez le niveau de sécurité de démarrage de votre ordinateur.
- Démarrage externe-Interdire le démarrage à partir d'un support externe.
Gardez à l'esprit que iMac Pro ne prend actuellement pas en charge le démarrage à partir des volumes réseau, bien que NetBoot arrivera probablement à Secure Boot dans une future mise à jour logicielle.
Les paramètres de démarrage sécurisé n'affectent pas le mode disque cible. Ce mode, invoqué en maintenant la touche "T" clé lors du démarrage de votre ordinateur, transforme votre iMac Pro en un disque externe pour un autre Mac.
En d'autres termes, Secure Boot n'empêchera pas un mauvais acteur disposant d'un accès physique à votre ordinateur de démarrer votre ordinateur en mode disque cible et de le monter sur son Mac avec un accès complet à tous les lecteurs et volumes connectés.
L'activation du chiffrement de disque FileVault, qui lie le chiffrement SSD à votre mot de passe, permet d'atténuer ce problème car il empêche les données de votre SSD d'être déchiffrées sans le matériel approprié et votre mot de passe.
Les fonctionnalités de démarrage sécurisé ne sont pas disponibles sur les modèles non iMac Pro.
DIDACTICIEL: Toutes les façons de démarrer votre Mac
Si vous ne possédez pas d'iMac Pro, la création d'un mot de passe de micrologiciel solide empêchera d'autres personnes de démarrer votre ordinateur à partir d'un disque autre que votre disque de démarrage désigné sans le mot de passe..
Comment ajuster le niveau de sécurité de démarrage d'iMac Pro
1) Redémarrez ou allumez votre iMac Pro, puis maintenez enfoncé Commande (⌘) -R immédiatement après avoir vu le logo Apple. Cela démarrera la machine en mode de récupération de macOS.
2) Cliquez sur Utilitaires dans la barre de menus de la fenêtre Utilitaires.
3) Cliquez sur Utilitaire de sécurité de démarrage dans la fenêtre Utilitaires.
POINTE: Si l'utilitaire de sécurité au démarrage ne s'ouvre pas, vous n'avez créé aucun compte d'utilisateur sur l'ordinateur ou l'assistant de configuration n'a pas encore été exécuté.
4) Lorsque vous êtes invité à vous authentifier, cliquez sur Entrez le mot de passe macOS, puis sélectionnez un compte administrateur et entrez son mot de passe.
5) L'utilitaire de sécurité de démarrage présente trois paramètres de démarrage sécurisé:
- Sécurité totale-Le paramètre par défaut qui apporte le plus haut niveau de sécurité. Une connexion Internet active peut être requise au moment de l'installation du logiciel afin que votre iMac Pro puisse confirmer qu'il démarre une version macOS ou Windows qui n'a été altérée d'aucune façon. Laissez ce paramètre activé pour exécuter une version macOS ou Windows actuellement installée sur votre iMac Pro, ou tout système d'exploitation signé cryptographiquement approuvé par Apple.
- Sécurité moyenne-Ce paramètre vérifie la version macOS ou Windows sur le disque de démarrage uniquement pour voir si elle a été correctement signée par Apple ou Microsoft, mais ne nécessite pas de connexion Internet ni d'informations d'intégrité mises à jour d'Apple. Cela n'empêche pas la machine d'exécuter un système d'exploitation qui n'est plus approuvé par Apple. Utilisez ce paramètre pour démarrer dans les anciennes versions de macOS quel que soit le niveau de confiance d'Apple.
- Pas de sécurité-Il s'agit du paramètre de sécurité le plus bas qui n'impose aucune exigence de sécurité pour le système d'exploitation amorçable sur votre disque de démarrage. Utilisez-le pour démarrer sous Linux ou tout autre système d'exploitation pris en charge sur votre matériel, aucune signature ou vérification avec Apple n'est requise. C'est ainsi que tous les autres Mac démarrent actuellement.
Si vous utilisez Boot Camp, vous pouvez démarrer dans Windows 10 tout en restant entièrement sécurisé car la puce T2 et Secure Boot respectent tous deux le pouvoir de signature de Microsoft pour Windows 10 à partir de la mise à jour Fall Creators Update 2017..
6) Fermez la fenêtre de l'utilitaire de sécurité de démarrage.
sept) Cliquez sur Redémarrer dans le menu Apple pour redémarrer la machine avec vos paramètres de sécurité en place.
REMARQUE: Si vous avez sélectionné une sécurité complète ou moyenne et que le système d'exploitation sur votre disque de démarrage n'a pas réussi la vérification, voici ce qui se passe:
- macOS-Une alerte s'affiche pour vous informer qu'une mise à jour logicielle est requise pour utiliser le disque de démarrage. Cliquez sur Mise à jour pour ouvrir le programme d'installation de macOS, que vous pouvez utiliser pour réinstaller macOS sur le disque de démarrage (cela nécessite une connexion Internet). Si vous ne souhaitez pas mettre à niveau votre copie installée de macOS vers la dernière version disponible, choisissez Disque de démarrage à la place, puis sélectionnez un autre disque de démarrage que Secure Boot tentera de vérifier.
- les fenêtres: Une alerte vous informe que vous devez installer Windows avec Boot Camp Assistant.
REMARQUE: désactiver la sécurité totale puis la réactiver vous invitera à vous connecter.
Si vous vous interrogez sur les effets de la réinitialisation de la NVRAM sur les paramètres de démarrage sécurisé, il n'y en a pas. Lors de la réinitialisation de la NVRAM, la protection de l'intégrité du système est activée (si elle a été désactivée), vos paramètres de démarrage sécurisé restent les mêmes qu'avant la réinitialisation.
Lisez la suite pour une description détaillée des paramètres de sécurité complète et moyenne.
À propos de la sécurité totale
Un niveau de sécurité auparavant uniquement disponible sur les appareils iOS, ce paramètre garantit que seul un système d'exploitation à jour (macOS) ou un système d'exploitation signé cryptographiquement et actuellement approuvé par Apple (Microsoft Windows), peut fonctionner sur votre ordinateur. Aucun autre système d'exploitation ne sera autorisé à fonctionner sur cet iMac Pro.
Si Secure Boot trouve un système d'exploitation inconnu sur votre disque de démarrage ou n'est pas en mesure de le vérifier, l'ordinateur se connecte à Internet et télécharge les informations d'intégrité mises à jour d'Apple dont il a besoin pour vérifier le système d'exploitation. "Ces informations sont uniques à votre iMac Pro et garantissent que votre iMac Pro démarre à partir d'un système d'exploitation approuvé par Apple", selon la société..
Si vous êtes hors ligne, vous pouvez voir une alerte indiquant qu'une connexion Internet est requise. Choisissez un réseau Wi-Fi actif dans la barre de menus, puis cliquez sur Réessayer.
Si votre iMac Pro utilise le chiffrement de disque FileVault, vous pouvez être invité à entrer un mot de passe pour déverrouiller le disque avant que l'ordinateur ne tente de récupérer les informations d'intégrité mises à jour d'Apple. Saisissez votre mot de passe administrateur, puis cliquez sur Ouvrir pour terminer le téléchargement.
À propos de la sécurité moyenne
Lorsque le paramètre Moyen est activé, votre iMac Pro est autorisé à exécuter n'importe quelle version de système d'exploitation jamais approuvée par Apple, pas seulement la version actuelle. Contrairement au paramètre Complet, il ne nécessite pas de connexion Internet ni de mise à jour des informations d'intégrité d'Apple.
Ce paramètre est mieux utilisé lorsque vous devez démarrer dans une version antérieure de macOS qui n'est plus approuvée par Apple, pas nécessairement la version actuelle de macOS installée sur votre iMac Pro..
Configuration d'un mot de passe de firmware
Vous pouvez empêcher les personnes ayant un accès physique à votre machine de tenter de le démarrer à partir d'un disque autre que votre disque de démarrage désigné en créant un mot de passe de micrologiciel dans l'utilitaire de sécurité de démarrage (à ne pas confondre avec le mot de passe de votre compte d'utilisateur macOS).
1) Redémarrez ou allumez votre iMac Pro, puis maintenez enfoncé Commande (⌘) -R immédiatement après avoir vu le logo Apple pour démarrer l'ordinateur en utilisant le mode de récupération de macOS.
2) Cliquez sur Utilitaires dans la barre de menus de la fenêtre Utilitaires.
3) Cliquez sur Utilitaire de sécurité de démarrage dans la fenêtre Utilitaires.
4) Lorsque vous êtes invité à vous authentifier, cliquez sur Entrez le mot de passe macOS, puis sélectionnez un compte administrateur et entrez son mot de passe.
5) Cliquez sur Activer le mot de passe du firmware dans la fenêtre Startup Security Utility.
6) Saisissez le mot de passe du firmware souhaité dans les champs fournis, puis cliquez sur Définir le mot de passe.
REMARQUE: Notez ce mot de passe et conservez-le dans un endroit sûr. Si vous oubliez le mot de passe du micrologiciel, vous devrez planifier un rendez-vous de service avec Apple ou un fournisseur de services agréé pour déverrouiller la machine.
sept) Fermez la fenêtre de l'utilitaire de sécurité de démarrage, puis choisissez Redémarrer à partir du menu Apple pour redémarrer votre iMac Pro avec vos nouveaux paramètres de sécurité en place.
Votre Mac devrait démarrer normalement à partir de son disque de démarrage désigné.
Quiconque connaît le mot de passe de votre micrologiciel pourra démarrer votre iMac Pro à partir d'un disque sans démarrage. Pour sélectionner un périphérique de stockage à partir duquel vous souhaitez démarrer votre iMac Pro, maintenez Option (⌥) après avoir allumé l'ordinateur, puis mettez en surbrillance un disque contenant un système d'exploitation utilisable et appuyez sur Entrer.
Le champ du mot de passe du firmware apparaît: saisissez le mot de passe du firmware que vous avez créé et appuyez sur Entrer pour déverrouiller l'ordinateur et continuer à le démarrer à partir du disque désigné.
POINTE: Pour supprimer le mot de passe du micrologiciel, répétez les étapes ci-dessus, mais cliquez sur Désactiver le mot de passe du micrologiciel à l'étape 4.
La configuration d'un mot de passe de micrologiciel vous offre une autre couche de sécurité et une tranquillité d'esprit sachant que personne ne sera autorisé à démarrer votre iMac Pro à partir d'un disque dur externe, d'un CD / DVD, d'une clé USB ou de tout autre périphérique de stockage.
Vous devrez également saisir le mot de passe de votre micrologiciel avant d'accéder au mode de récupération de macOS. Cela offre une protection contre les attaques locales puisque toute personne ayant un accès physique à votre ordinateur peut démarrer en mode de récupération de macOS.
Même si les gens de votre foyer ou vos collègues connaissent le mot de passe de votre micrologiciel, vous pouvez toujours les empêcher de démarrer votre iMac Pro à partir d'un support externe en ajustant les options détaillées ci-dessous..
Empêcher le démarrage à partir d'un média externe
Les paramètres de démarrage externe vous permettent de contrôler si votre iMac Pro est autorisé à démarrer à partir d'un support externe. Par défaut, l'ordinateur est configuré pour utiliser l'option la plus sécurisée qui interdit le démarrage à partir de tous les disques durs externes, clés USB ou autres supports externes.
Pour ajuster ces paramètres à votre convenance, suivez les instructions étape par étape ci-dessous:
1) Redémarrez ou allumez votre iMac Pro, puis maintenez enfoncé Commande (⌘) -R immédiatement après avoir vu le logo Apple pour démarrer l'ordinateur en utilisant le mode de récupération de macOS.
2) Cliquez sur Utilitaires dans la barre de menus de la fenêtre Utilitaires.
3) Cliquez sur Utilitaire de sécurité de démarrage dans la fenêtre Utilitaires.
4) Lorsque vous êtes invité à vous authentifier, cliquez sur Entrez le mot de passe macOS, puis sélectionnez un compte administrateur et entrez son mot de passe.
5) Choisissez votre niveau de sécurité de démarrage souhaité juste sous le Démarrage externe dans la fenêtre Startup Security Utility:
- Interdire le démarrage à partir d'un support externe-votre iMac Pro ne peut pas être démarré à partir d'un support externe.
- Autoriser le démarrage à partir d'un support externe-Votre ordinateur peut démarrer à partir d'un support externe.
6) Quittez Startup Security Utility, puis choisissez Redémarrer à partir du menu Apple pour redémarrer votre iMac Pro avec vos nouveaux paramètres de sécurité en place.
POINTE: Si vous avez autorisé le démarrage à partir d'un support externe et que vous souhaitez sélectionner un disque de démarrage avant de redémarrer, quittez l'utilitaire de sécurité de démarrage et choisissez Disque de démarrage depuis le menu Apple.
Lorsque le paramètre «Interdire le démarrage à partir d'un support externe» est sélectionné, la sélection d'un disque non de démarrage dans Préférences système → Disque de démarrage produira un message d'avertissement disant que vos paramètres de sécurité ne permettent pas que cela se produise.
POINTE: Pour choisir votre disque de démarrage au démarrage, appelez le gestionnaire de démarrage en maintenant la touche Option (⌥) immédiatement après avoir allumé ou redémarré votre ordinateur.
Le faire lorsque le paramètre «Interdire le démarrage à partir d'un support externe» est activé entraînera le redémarrage de votre iMac Pro à un message indiquant que vos paramètres de sécurité l'empêchent de démarrer à partir d'un support externe. Vous aurez alors la possibilité de redémarrer à partir de votre disque de démarrage actuel ou de sélectionner un autre disque de démarrage.
La déconnexion, l'activation du paramètre «Interdire le démarrage à partir d'un support externe» et la configuration d'un mot de passe de micrologiciel solide sont le meilleur moyen d'empêcher les utilisateurs malveillants de démarrer votre iMac Pro sans surveillance à partir de leur clé USB.
Votre puce iMac Pro et Apple T2
Apple a commencé à décharger certaines fonctions du système Mac vers un coprocesseur dédié ARM, appelé T1, qui a fait ses débuts dans le MacBook Pro avec Touch Bar.
Son successeur, la puce Apple T2 de votre iMac Pro, prend non seulement en charge les nouvelles fonctionnalités Secure Boot pour garantir que la machine exécute un système d'exploitation légitime, mais intègre également divers contrôleurs et coprocesseurs spécialisés sur une seule puce:
- Contrôleur de gestion du système
- Processeur de signal d'image
- Contrôleur audio
- Contrôleur SSD
- Coprocesseur cryptographique Secure Enclave
Puce Apple T2 dans votre iMac Pro. Image reproduite avec l'aimable autorisation d'iFixit.
Outre les fonctionnalités de démarrage sécurisé, la puce T2 gère les tâches suivantes:
- Imagerie améliorée pour la caméra FaceTime HD frontale 1080p
- Cryptage de stockage flash basé sur le matériel sans perte de performances
Étant donné que la puce T2 intègre le processeur de signal d'image conçu par Apple, elle permet des fonctionnalités d'imagerie accélérées par le matériel pour la caméra FaceTime HD, contrairement à celles des appareils iOS:
- Contrôle amélioré de l'exposition
- Mappage de tonalité amélioré
- Exposition automatique basée sur la détection des visages
- Balance des blancs automatique basée sur la détection des visages
Enfin, le silicium T2 comprend une section protégée spéciale comme le coprocesseur cryptographique Secure Enclave intégré dans les puces mobiles d'A-series d'Apple alimentant les iPhones et iPads.
Secure Enclave de T2 conserve vos clés de chiffrement de stockage et le magasin de certificats de confiance dans sa propre mémoire protégée qui est isolée du reste du système. Il héberge également des moteurs matériels AES dédiés qui chiffrent / déchiffrent les données à la volée sans effet sur les performances du SSD, tout en gardant le processeur Xeon libre pour vos tâches de calcul.
Enfin, il fournit des fonctions cryptographiques au reste du système.
Besoin d'aide? Demandez à iDB!
Si vous aimez ce mode d'emploi, transmettez-le à vos supporteurs et laissez un commentaire ci-dessous.
Est resté coincé? Vous ne savez pas comment faire certaines choses sur votre appareil Apple? Faites-nous savoir via [email protected] et un futur tutoriel pourrait fournir une solution.
Soumettez vos suggestions de procédures via [email protected].
