Utilisation d’une carte à puce et de FileVault dans macOS
L’ouverture d’une session depuis un Mac doté d’une puce Apple et de macOS 11 ou ultérieur avec FileVault autorise les méthodes d’authentification prises en charge par macOS, ce qui inclut l’authentification native avec des cartes à puce compatibles PIV et répondant à la norme CCID.
La connexion universelle au moyen d’une carte à puce permet également l’accès automatique au système en cas d’authentification FileVault réussie. La prise en charge des cartes à puce avec FileVault peut être gérée en utilisant l’outil de ligne de commande security.
Utiliser l’authentification avec mot de passe lors de l’ouverture d’une session avec FileVault et une carte à puce
Sur un Mac doté d’une puce de sécurité T2 d’Apple exécutant macOS 10.14 ou ultérieur, déverrouiller FileVault permet d’ouvrir une session. Toutefois, FileVault ne prend pas en charge les cartes à puce sur ces ordinateurs. Aussi, pour faciliter l’ouverture d’une session avec une carte à puce, la commande suivante doit être exécutée sur chaque ordinateur :
sudo defaults write /Library/Preferences/com.apple.loginwindow DisableFDEAutoLogin -bool YES
Au redémarrage du Mac, macOS permettra à l’utilisateur de déverrouiller FileVault à l’aide d’un mot de passe, puis l’invitera à s’authentifier avec une carte à puce sur la fenêtre d’ouverture de session. Ce réglage peut également être géré via les préférences gérées au sein d’une solution de gestion des appareils mobiles (MDM).
Utiliser le système d’exploitation de secours pour dissocier une carte à puce de FileVault
Pour les Mac dotés de macOS 11 ou ultérieur, une option de récupération de la carte à puce est offerte dans le système d’exploitation de secours (si l’option « Appliquer une carte à puce » est activée). Si la carte à puce d’un utilisateur est égarée ou endommagée, celui-ci peut outrepasser temporairement l’obligation d’utiliser une carte à puce en s’authentifiant avec le compte administrateur local. Pour ce faire, l’utilisateur doit démarrer son Mac en mode de système d’exploitation de secours, s’authentifier, puis exécuter la commande suivante :
security filevault skip-sc-enforcement <data volume UUID> <operation>
Il sera ensuite invité à saisir un mot de passe administrateur. Une fois cette étape terminée, l’obligation d’utiliser une carte à puce sera désactivée le temps d’une session. L’utilisateur peut désactiver le jumelage et jumeler une nouvelle carte à puce pour s’authentifier normalement par la suite au moyen d’une carte à puce.