Le mode veille est une fonction d'économie d'énergie qui met automatiquement en veille un Mac après qu'il ait été en mode veille pendant un certain temps, ce qu'il fait pour réduire davantage la consommation de la batterie. Lorsqu'un Mac utilisant le cryptage FileVault est mis en mode veille, une clé FileVault (oui, cette clé est cryptée) est stockée dans EFI (firmware) afin qu'elle puisse rapidement sortir du mode veille lorsqu'elle est réveillée d'une veille profonde.Pour 99 % des utilisateurs, cela n'a guère d'importance et ce n'est pas un problème de sécurité, mais pour ceux qui sont préoccupés par la sécurité maximale absolue et la protection d'un Mac contre certaines attaques inhabituellement agressives (c'est-à-dire le niveau d'espionnage), vous pouvez configurer OS X pour qu'il le détruise automatiquement. Clé FileVault lorsqu'elle est placée en mode veille d'économie d'énergie, empêchant cette clé stockée d'être un point faible potentiel ou une cible d'attaque. En activant ce paramètre, les utilisateurs de FileVault doivent entrer leur mot de passe FileVault lorsqu'un Mac sort du mode veille, car la touche FV n'est plus stockée pour un réveil rapide. Ce n'est pas un inconvénient, mais cela ralentit un peu le réveil du sommeil profond et oblige l'utilisateur à s'engager dans un niveau d'authentification supplémentaire au-delà des fonctions de verrouillage et de connexion standard avant que le Mac ne redevienne utilisable.

Augmentez la sécurité de FileVault en détruisant les clés FileVault en mode veille

Cette commande doit être entrée dans le Terminal, qui se trouve dans /Applications/Utilitaires/

pmset -a destroyfvkeyonstandby 1

L'indicateur -a applique le paramètre à tous les profils d'alimentation, c'est-à-dire à la fois à la batterie et au chargeur.

Si vous trouvez cette fonctionnalité inutile ou frustrante, vous pouvez facilement l'inverser en réglant le 1 sur un 0 et en utilisant à nouveau la commande comme suit :

pmset -a destroyfvkeyonstandby 0

Notez qu'en fonction des privilèges du compte utilisateur actif, vous devrez peut-être préfixer ces deux commandes avec sudo pour qu'elles s'exécutent à partir du superutilisateur, ainsi les commandes seraient les suivantes :

Activation de la destruction de clé FileVault

sudo pmset -a destroyfvkeyonstandby 1

Désactivation de la destruction de clé FileVault

sudo pmset -a destroyfvkeyonstandby 0

Vous pouvez toujours vérifier les paramètres pmset pour voir si cela est actuellement activé ou désactivé en utilisant la commande suivante :

pmset -g

Certes, c'est un peu technique et un peu extrême, et ne s'appliquera donc pas à la grande majorité des utilisateurs de Mac. Néanmoins, pour ceux qui se trouvent dans des environnements de sécurité sensibles, ceux qui ont des données très sensibles stockées sur leurs ordinateurs, ou même pour les personnes qui souhaitent le maximum en matière de sécurité personnelle, il s'agit d'une option très précieuse et doit être envisagée si le compromis d'un système plus lent le temps de réveil vaut l'avantage de sécurité supplémentaire.

Comme toujours avec FileVault, n'oubliez pas le mot de passe, sinon tout le contenu sur le Mac deviendra inaccessible de façon permanente car le niveau de cryptage est si fort que pratiquement rien ne pourrait le surmonter à une échelle de temps humaine. Si vous débutez avec FileVault et le concept de chiffrement intégral du disque, assurez-vous de le configurer correctement et ne perdez jamais la clé de récupération FileVault.

Pour plus d'informations techniques sur ce sujet, Apple propose un excellent guide de déploiement FileVault disponible au format PDF.