Bonjour
millypam.
Un compère dans cet angle mort où tu soliloques te sera peut-être agréable - d'ajouter la rumeur de son propre monologue
(quand bien même avec macomaniac s'applique sans coup férir l'adage : «Timeo Danaos et dona ferentes» - je me méfie des Grecs, spécialement s'ils s'avancent en porteurs de présents - c'est toute l'histoire du «Cheval de Troie»...) 
.
«
FileVault-2» que tu as choisi d'activer chiffre l'ensemble du
Volume de démarrage du disque de ton Mac : celui qui supporte l'OS (en
/dev/disk0s2 dans la table des
devices ou supports d'écriture).
Il y a 2 processus, distincts mais liés, dans cette opération de 'chiffrement' : a) la mise-en-place du chiffrement comme '
Format' de volume ; b) la '
Conversion' du '
Format'' de l'état 'illisible' à l'état 'lisible' et vice-versa. a) --> imagine-toi l'espace du volume de ton disque comme une feuille de carton, et le 'chiffrement' comme un 'découpage' en morceaux d'un puzzle ; b) --> à partir de là, le 'puzzle' qui est une structure 'discrète' peut apparaître sous forme 'arrangée' (morceaux rassemblés) ou 'dérangée' (morceaux dispersés). Le 'découpage' correct d'un volume en pièces de puzzle est une opération particulièrement longue, de même la reconstitution d'une 'feuille' continue quand on choisit l'abolition du format chiffré. Par contre, l'arrangement / dérangement du puzzle une fois les pièces constituées est rapide et se fait à la volée.
Lorsque tu éteins ton Mac, il s'opère, en effet, un 'dérangement'
automatique à la volée des pièces du format chiffré. Inversement, lorsque tu allumes ton Mac, le ré-arrangement des pièces du format chiffré n'est pas automatique, mais soumise à la
condition d'une
autorisation : le renseignement du mot-de-passe d'utilisateur. Le mot-de-passe d'utilisateur est donc amené à jouer un double rôle : autoriser l'ouverture de session (rôle basique), mais d'abord autoriser le ré-arrangement des pièces du volume de départ existant au format chiffré (rôle préliminaire). Il y a donc un 'deux-en-un'.
Comme tous les comptes d'utilisateurs relevant de l'espace de l'OS contenu dans le volume chiffré sont concernés par le chiffrement, il n'y a pas qu'un mot-de-passe autorisé à enclencher au démarrage la conversion des pièces du puzzle vers l'état 'arrangé', mais autant que de comptes actifs lorsqu'il y a lieu : c'est pourquoi, lors de la première activation de «
FileVault-2», tous les mots-de-passe des comptes existants sont requis d'être renseignés pour constituer la 'feuille des autorisés' associés au privilège de pouvoir lancer le ré-arrangement du volume existant au format chiffré.
Dans l'éventualité où un utilisateur bénéficiaire du privilège de pouvoir lancer le recollement des 'morceaux' au démarrage avec son mot-de-passe de session 'oublierait' ce mot-de-passe, une clé unique, dite '
Filet-de-Sécurité', est définie comme une sorte de 'passe-partout' qui peut remplacer le renseignement du mot-de-passe d'utilisateur afin d'enclencher le ré-arrangement des pièces du puzzle au démarrage et rendre le volume 'lisible'. Cette clé est générée au terme de la mise-en-place initiale du chiffrement du volume (avant re-démarrage opérant la finalisation), sous forme d'une suite de caractères hexadécimaux qu'il s'agit de noter lorsqu'un panneau
ad-hoc les affiche. Faute de les avoir notés, la clé est perdue (côté 'usagers', pas côté 'système', mais autant dire que sans usagers qui la connaissent, elle ne sera jamais employée), et la seule solution pour en récupérer une est de lancer la suppression du '
Format' chiffré (ce qui demande longtemps : abolir le 'découpage' en pièces de puzzle) pour libérer le volume en recréant un format 'continu', puis de re-créer le '
Format' chiffré en s'arrangeant pour être en observation lors de l'affichage du panneau de la clé de sécurité.
Donc, si tu tiens à avoir l'assurance de seconde instance de la clé '
Filet-de-Sécurité', tu vois ce qui te reste à faire...
♤
Tu es en train de te dire : il est bien gentil, ce
maco, disert non sans exagérations rhétoriques (recours à la métaphore et usage de la 'forme longue' dissertatoire) et je ne vois pas pourquoi il m'avertissait de me méfier à propos de 'cadeaux empoisonnés'. Mais comme dit un autre adage : «
In cauda venenom» - traduction : c'est toujours au moment de prendre la porte que l'inspecteur
Columbo se retourne pour poser une dernière petite question...
Bon : ton Mac est éteint. Le 'puzzle' du volume au '
Format' chiffré est à l'état 'désorganisé', càd. 'illisible'. Tu appuies sur le bouton 'Power' et tu t'attends à ce que ça démarre. En fait, tu déclenches le Programme Interne de la Carte-Mère (
EFI) qui, après un bref check-up du hardware conclu par le
Chime (ou carillon), requiert un fichier 'démarreur' à exécuter pour lancer les opérations au plan logique : sur les Macs Intel, le
Boot_Loader : boot.efi qui va charger le
kernel (noyau) en lui passant la main pour la mise-en-place des infrastructures logicielles de l'OS.
Et alors : il est où, ce
Boot_Loader : boot.efi? Eh bien! C'est simple : il est
dans le volume de l'OS, à l'adresse :
/System/Library/CoreServices, et comme ce volume est au '
Format' chiffré sous la forme initiale :
désorganisée, le fichier en question est inadressable comme tel par l'
EFI et donc le Mac est in-démarrable logiquement.
Le procédé «
FileVault-2» est obligé de tabler sur un
démarreur auxiliaire. Lequel? Eh bien : celui de la partition de récupération «
Recovery HD» qui est le volume contigu non-chiffré du volume chiffré de l'OS. Car le dossier de
boot de la «
Recovery HD» (le
com.apple.recovery.boot) contient un
clone du Boot_Loader : le
boot.efi auxiliaire que l'
EFI va pouvoir exécuter et qui comporte l'instruction modifiée, quand l'option de démarrage est sur le volume au format chiffré, de requérir en préalable le mot-de-passe d'autorisation afin de convertir le volume chiffré vers l'état 'ré-organisé', de manière à ce que le
kernel soit adressable et
tutti quanti.
Voilà pourquoi il est stipulé que «
FileVault-2» ne peut être activé sur un disque qui serait dépourvu de «
Recovery HD» : car l'
EFI ne trouverait pas de
Boot_Loader : boot.efi auxiliaire à exécuter en préambule du démarrage logiciel et le Mac serait bel et bien planté.
Mais il peut justement être planté, ledit Mac : parce que la partition de récupération «
Recovery HD» peut-être effacée et/ou supprimée en tant que volume de disque. Certes, elle est graphiquement invisible par défaut, ce qui la protège. De plus, «
FileVault-2» ne peut mettre en place un '
Format' chiffré du volume de l'OS que dans le cadre d'un formatage plus global qui consiste à convertir ce volume au format :
Groupe de Volumes Logiques : CoreStorage. Ce format qui conditionne toute possibilité de 'chiffrement' greffe sur la partition propre au volume de l'OS (
/dev/disk0s2) un
Disque Physique Virtuel (sur la base seule duquel montera désormais le
Volume Logique de l'OS - version chiffrée) et le greffon de ce
Disque Physique Virtuel occulte littéralement le
Disque Physique Réel en le rendant in-sélectionnable et inadressable aussi longtemps qu'il se retrouve 'recouvert' par le greffon du
Disque Physique Virtuel --> ainsi, dans l'«
Utilitaire de Disque», cette 'sécurité' rend impossible de sélectionner le '
Disque Physique Réel' (qui a disparu de la représentation) et donc d'activer une option de '
Re-partitionner' qui le concerne directement.
Malgré ces précautions, il reste toujours possible de sélectionner le
Disque Physique Virtuel dont dépend le
Volume Logique Chiffré de l'OS en demandant un menu : '
Partitionner', ce qui affiche les volumes simples connexes de la partition chiffrée (celle de la «
Recovery HD» par exemple, voire d'autres, s'il en existe au-delà), et d'activer un processus d'
effacement à leur encontre. Il est même possible de demander une
suppression du statut de volume, auquel cas un processus de re-dimensionnement préalable du
Disque Physique Virtuel est exécuté, avant un fusionnement de l'espace de la partition supprimée au
Volume Logique Chiffré de l'OS dont la taille augmente proportionnellement.
J'ai effectué ces manipulations abstruses sur une clé où l'équivalent du volume chiffré de l'OS était un
Volume Logique Chiffré au format :
CoreStorage flanqué de 2 partitions non chiffrées. Le résultat est le maintien seul du
Volume Logique Chiffré augmenté après re-dimensionnement du
Disque Physique Virtuel tenant-lieu de support. Imaginons qu'il s'agisse du
Volume Logique Chiffré par «
FileVault-2» de l'OS : où l'
EFI au démarrage trouvera-t-elle un démarreur
boot.efi extérieur à ce volume chiffré 'désorganisé' au démarrage (et donc illisible), démarreur impliquant l'instruction de lancer la conversion vers l'état 'recomposé' du volume de l'OS, après cette destruction du volume de la «
Recovery HD» dont le
boot.efi était requis comme
démarreur auxiliaire? --> Mac planté.
Bon : il est temps que macomaniacolumbo prenne la porte. Mais pas avant de s'être retourné pour poser une 'dernière petite question' : vous ne trouvez pas ça flippant, vous, que la condition logique de démarrage d'un volume-système réside sur un autre volume indépendant de celui-ci et toujours susceptible d'avoir disparu? [ai-je parlé de la corruption possible du Format : chiffré qui a exercé ses ravages, au temps de «FileVault-1», sur les images-disques .sparsebundle des utilisateurs?]
♧
