Salut
Karvan.
Superbe question ! Je t'improvise ce que j'en discerne.
"
Chiffrer" (menu contextuel du
Finder) et "
Activer FileVault" (
Menu /Préférences Système/Sécurité et confidentialité/FileVault) ont exactement le même
effet terminal sur un volume-cible. À savoir, la génération préalable d'un format spécial dit
CoreStorage sur la partition de la
Table de Partition GUID (requise) à laquelle correspond le volume-cible du
chiffrement.
Un "volume" n'est jamais qu'un système de fichiers contenu dans les limites "spatiales" de la partition-disque qu'on considère à l'état "
monté". Cela étant, un format
CoreStorage "décolle" ledit système de fichiers (format
jhfs+ =
Mac OS étendu journalisé requis) du "plancher des vaches" de la partition, et glisse en intercalaires 3 instances logiques : en bas (sur la partition) : un
Physical Volume (qui émule un disque dur) ; au milieu : une
Logical Volume Family (qui contient les paramètres du volume à monter lus par le pilote) ; au sommet : un
Logical Volume (qui est le volume logique exporté) ; dans ce
Volume Logique (comme l'huître dans sa coquille) : le même système de fichiers
jhfs+ initial ; en appendice : un
Boot OS X (pilote ou driver de montage du
Volume Logique à partir du
Volume Physique par lecture des instructions de la
Famille de Volumes Logiques). Tout cet ensemble constitue un
Groupe de Volumes Logiques CoreStorage (figure-toi un énorme disque virtuel
.dmg plaqué sur la partition d'un disque et capable de monter l'image-disque d'un volume selon un protocole complexe)
C'est seulement un
Volume Logique ressortissant d'un
Groupe de Volumes Logiques CoreStorage qui peut être "
encrypted" = "
Chiffré" d'après le protocole
XTS-AES 128 bits. Ce "
chiffrement" équivaut à une espèce de découpage en bandelettes du
Volume Logique, chacune associée à un nombre. Au démontage du volume, les bandelettes sont dissociées et dispersées de façon aléatoire. Elles ne peuvent être ressoudées pour remontage que si la bonne séquence numérique des chiffres de bandelettes est renseignée. Cette fonction est gérée par une clé de déchiffrement, qui ne s'active qu'a partir de la saisie d'un mot-de-passe utilisateur
ad-hoc. Une fois le
Volume Logique reconstitué d'un seul tenant, le système de fichiers
jhfs+ y recelé n'est pas plus
chiffré qu'il n'y a de beurre en broche : il est clonable, par exemple, sans qu'aucun chiffrement n'adhère au système de fichiers, avec les données contenues, de destination.
--------------------
Je t'ai résumé le «
terminus ad quem» --> tous les chemins du
chiffrement mènent à
Rome : la ville unique bâtie sur les 3 Collines du
CoreStorage. Ce qui permet de donner une orientation spécifique à ta question inaugurale : «
quelle est la différence entre activer FileVault et l'option "chiffrer" dans le menu contextuel du Finder » ? Cette différence concerne non la fin, mais les moyens ; non le terme, mais le commencement : les "chemins" qui mènent à la
Rome du
CoreStorage Chiffré.
D'où vient qu'il y a des chemins divergents à l'origine ? C'est qu'il existe des volumes de nature divergente à l'origine. 2 grandes espèces de volumes, d'abord : les volumes dits de "
stockage" (ex. celui d'un DDE de données), dont le système de fichiers n'est pas intrinsèquement
démarrable ; et les volumes dits "
démarrables" (ex. celui d'
OS X), dont le système de fichiers recèle un Système d'Exploitation (avec un moteur logique qui peut être lancé). Et, pour ce qui concerne les volumes "
démarrables", 2 grands états possibles : «
Actuellement démarré» et «
Actuellement éteint».
«
FileVault-2», par rapport à ce ternaire, est une application qui ne concerne que le
chiffrement d'un volume
démarrable exclusivement, à l'exclusion des volumes de "
stockage" non démarrables. Les volumes "
démarrables" sont
chiffrés par un programme
UNIX spécialisé intitulé :
fdsetup (
FileVault Disk Encryption Setup). Les relations «
FileVault-2» <=>
fdesetup sont absolument comparables à celles du binôme : «
Utilitaire de Disque» <=>
diskutil. D'un côté, l'interface
graphique ; de l'autre, le binaire
exécutable. Pour le dernier binôme : il est possible d'initier un processus de partitionnement à partir de l'interface graphique : «
Utilitaire de Disque» et la commande est passée au programme exécutable
UNIX :
diskutil ; inversement, il est possible de déclencher en ligne de commande («
Terminal») le programme
diskutil, et alors l'interface graphique de l'«
Utilitaire de Disque»
reflète les effets opératoires du programme
diskutil. Il est possible enfin de lancer certaines opérations depuis une fenêtre d'infos du
Finder, qui passe une commande à
diskutil, et le processus opératoire se répercutera dans l'affichage graphique de l'«
Utilitaire de Disque».
Pareil pour le binôme : «
FileVault-2» <=>
fdesetup. Tu peux, depuis le «
Terminal», passer une commande d'activation directe à
fdesetup sur un volume démarrable démarré. Tu peux même, toujours depuis le «
Terminal», la passer en mode indirect, via le programme
diskutil qui comporte une spécificité
CoreStorage -->
diskutil, avec une commande
ad-hoc, devient un passeur d'ordre à des programmes subalternes, dont
fdesetup (on appelle un tel programme capable de déléguer des sous-actions à des programmes élémentaires un "
wrapper" : un enveloppeur <un "brasseur de services">...). Mais tu peux aussi passer par le
Finder pour demander le chiffrement d'un volume démarrable. Enfin : tu peux passer par l'interface «
FileVault» du panneau des
Préférences Système (qui va t'afficher, par exemple, l'état du chiffrement : actif / désactivé - en cours / achevé...).
Il faut savoir que le programme
fdsetup (le programme
UNIX qui fait le boulot de chiffrement / déchiffrement d'un volume démarrable) ne fonctionne que pour autant que le volume-cible est démarré. En cas de demande de chiffrement / déchiffrement depuis un autre volume démarré, la commande est enregistrée, mais ne s'active qu'au démarrage du volume en question ; et se suspend (si processus inachevé) pour toute extinction de ce volume.
--------------------
☞ ce bref aperçu (long pour un message de fil, mais désespéremment court pour cerner la problématique en question) montre, en résumé, que si tous les chemins mènent à
Rome = une même destination (un
Volume Logique chiffré) ; il y a de multiples chemins empuntables pour y parvenir.
Personnellement parlant (et uniquement en mode personnel), je ne recommande absolument pas le
chiffrement d'un
Volume Logique démarrable : c'est acheter la "sécurité" du
chiffrement au prix d'un sacré "risque" : le plantage du re-montage du
Volume Logique Chiffré. Si tu m'as suivi ci-dessus, tu t'es aperçu de la terrible complexité impliquée par le
chiffrement d'un
Volume Logique. Les organes logiques de démarrage de l'OS (
boot_loader : boot.efi +
kernelcache) sont scellés dans le système de fichiers contenu dans le coffre-fort du
Volume Logique. Comment on démarre alors, sans démarreur
(à moins d'avoir la voiture révolutionnaire sans moteur de «Tintin au pays des Soviets») ? Uniquement via le
boot_loader auxiliaire - seul disponible hors coffre-fort - de la... «
Recovery HD». Y'a pas intérêt à la planter celle-là... Ce
boot_loader auxiliaire va afficher l'écran de saisie d'un mot-de-passe utilisateur d'activation de la clé de déchiffrement. Qui va passer au pilote du
Groupe de Volume Logiques le sésame de remontage du
Volume Logique. Alors seulement, le moteur logique du système de fichiers de l'OS sera déclenchable. Ça craint ! Un vrai cauchemar logistique... Et un format
CoreStorage tout court (impliqué par le chiffrement), c'est pas du gâteau intrinsèquement...
Mais quitte à activer le
chiffrement sur un volume démarrable, je recommanderais de passer par l'interface de «
FileVault-2» (panneau "
Sécurité et confidentialité" des "
Préférences Système") qui permet de visualiser l'état des lieux, plutôt que de lancer des processus de coulisses dont on ne sait jamais où ils en sont de la tâche impliquée, à part de dégainer sans arrêt le «
Terminal»...
--------------------
