SAV mac et fourniture mot de passe

Bonjour,

Gerald <voir_le_reply-to@car.cette.adresse.est.invalid> wrote:

Soit une panne hardware sur un iMac (problème sur l'alimentation), mais
la question serait extensible à tout problème mac nécessitant une
intervention en SAV :

- qu'est-ce qui est normal et qu'est-ce qui ne l'est pas en matière de
demande de mot de passe admin ?

S'agissant d'un problème matériel, alim en l'occurence, à moins que ce
soient de foutus amateurs, ils devraient pouvoir booter avec un de leurs
DD externes compatibles pour vérifier que tout marche.
Ils n'ont nul besoin d'accéder au DD ou SSD du propriétaire.
À la limite, le simple fait que le iMac s'allume et présente l'écran
d'identification est déjà en soi le test basique que les principaux
éléments fonctionnent avec l'alim réparée.

De l'utilité, aussi, de laisser un compte invité non crypté, si
toutefois cela est compatible avec Filevault ?

Cordialement
--
J. B.

Joseph-B <josephb@nowhere.invalid> wrote:

De l'utilité, aussi, de laisser un compte invité non crypté, si
toutefois cela est compatible avec Filevault ?

FileVault chiffre la totalité du disque donc ce que tu proposes n'est
pas possible. J'ai effectivement un compte que j'appelle "de passage"
pour ne pas le confondre avec le compte "invités" du système (d'une
grande inutilité !), mais c'est évidemment un compte "utilisateur" et
non administrateur et ce n'est pas cet accès dépourvu de privilèges
système que demanderont les services de maintenance...

Pour bien comprendre Filevault, il faut l'appliquer à un clône externe.
Sans chiffrage, quand on branche le clône, il monte automatiquement et
on a immédiatement accès à TOUT (le contenu de *tous* les dossiers
utilisateurs). On comprend à ce moment-là que les mots de passe
utilisateurs (et même du compte admin en l'occurence) ne servent qu'à
PERSONNALISER son environnement et non à le privatiser complètement.

Le même disque clône chiffré devra d'abord être "déverrouillé" pour être
utilisable. Sans mot de passe, il ne pourra servir qu'à caler une porte.
(il pourra naturellement être re-formaté, mais ça n'accède à aucune
donnée).

Devant l'efficacité de ce système de protection intégré au système et
chiffrant des volumes entiers non seulement à la volée mais encore
progressivement, sans gêner le travail pendant le chiffrage, quelle que
soit sa durée et ses interruptions... on ne peut que saluer un réel plus
d'efficacité par rapport aux alternatives concurrentes.
--
Gérald

Gerald <voir_le_reply-to@car.cette.adresse.est.invalid> précisa:

FileVault chiffre la totalité du disque donc ce que tu proposes n'est
pas possible. J'ai effectivement un compte que j'appelle "de passage"
pour ne pas le confondre avec le compte "invités" du système (d'une
grande inutilité !), mais c'est évidemment un compte "utilisateur" et
non administrateur et ce n'est pas cet accès dépourvu de privilèges
système que demanderont les services de maintenance...

Merci pour l'explication qui suit.
Maintenant qu'on veuille bien m'expliquer pourquoi un réparateur de
harware devrait avoir accès à ton compte Admin pour vérifier s'il a bien
réparé l'alimentation ?

Pour bien comprendre Filevault, il faut l'appliquer à un clône externe.
Sans chiffrage, quand on branche le clône, il monte automatiquement

Heu ? Si ton Mac est configuré en démarrage automatique, je le conçois,
mais tu es sûr que si tu demandes le démarrage avec MdP, le clone
bootera sans le demander ?
Ça me laisse preplexe. J'aurais bien fait le test, mais n'étant pas
parano de nature, et seul à utiliser le bestiau, je le laisse démarrer
en automatique (donc son clone aussi, évidemment)

Tel que tu décris la chose, doit-on en déduire que FileVault empêcherait
un disque externe bootable de démarrer ?
Si oui, FV est une arme à double tranchant,
sinon, ils n'ont pas besoin d'accéder à ton DD Système.

Cordialement,


--
J. B.

Joseph-B <josephb@nowhere.invalid> wrote:

Maintenant qu'on veuille bien m'expliquer pourquoi un réparateur de
harware devrait avoir accès à ton compte Admin pour vérifier s'il a bien
réparé l'alimentation ?

C'était purement spéculatif. De toutes façons, comme je vais leur
demander de réinitialiser complètement (reformater) mon disque interne
(pour résoudre mon *autre* problème de partition Recovery défectueuse),
la question ne se posera pas.

> Pour bien comprendre Filevault, il faut l'appliquer à un clône externe.
> Sans chiffrage, quand on branche le clône, il monte automatiquement

Heu ? Si ton Mac est configuré en démarrage automatique, je le conçois,
mais tu es sûr que si tu demandes le démarrage avec MdP, le clone
bootera sans le demander ?

On s'est mal compris, ou je me suis mal exprimé : je ne parlais pas de
booter sur le clône mais de le *brancher* en disque externe passif. Dans
ce cas, il monte effectivement au bureau (du système actif) et est
ouvert à toutes les investigations.

Ça me laisse preplexe. J'aurais bien fait le test, mais n'étant pas
parano de nature, et seul à utiliser le bestiau, je le laisse démarrer
en automatique (donc son clone aussi, évidemment)

Selon moi c'est moins une question de parano que de simple raison : en
cas de vol par exemple, tu n'offres pas, en plus, à tes voleurs le cul
de la crémière (pour le chiffrage comme pour l'ouverture de session
automatique.

Parti comme tu es (ne le prends pas mal), j'imagine que tu travailles
aussi dans une unique session administrateur ? Mais où sont nos unixiens
historiques qui nous expliquaient (à la sortie d'OS X) le sens des
hiérarchies "d'autorisations" et la protection fabuleuse qu'offrait le
travail en compte utilisateur contre les corruptions de fichiers
systèmes (non modifiables quand on n'a pas les autorisations !)

Tel que tu décris la chose, doit-on en déduire que FileVault empêcherait
un disque externe bootable de démarrer ?

Évidemment pas. Le pré-boot (à partir du système minimum présent sur la
Recovery et paramétré dans ce sens) donne accès à l'écran de
déverrouillage de session, et le vrai boot se fait après saisie du mdp.
Il est donc important que le clône soit bien exact et comporte
effectivement sa propre partition Recovery (Carbon Copy Cloner le fait
très bien).

--
Gérald

On 2018-07-30 07:21:26 +0000, Gerald said:

Corrolaire, ne peuvent-ils réparer le hardware sans monter le disque
et/ou sans accéder à la session admin ?

Non seulement les techniciens le peuvent mais ils doivent procéder
ainsi. En aucun cas on ne peut exiger le mot de passe de la machine.
Tous les SAV Apple sont équipés pour démarrer un Mac à partir d'un
disque externe. Dans les Apple Store il y a même des caméras pour
surveiller les techniciens et pour éviter qu'ils ne pillent des données.

FileVault est une excellente protection car elle évite qu'après un
démarrage sur une partition externe on n'aille farfouiller dans le
disque interne. Sauf, bien entendu, si l'on dispose d'un mot de passe
de session qui permet de le déverrouiller... Et peu importe que le mot
de passe soit admin ou utilisateur, le tout est de monter le disque sur
le bureau.

Patrick <patrick@nowhere.invalid> wrote:

Non seulement les techniciens le peuvent mais ils doivent procéder
ainsi. En aucun cas on ne peut exiger le mot de passe de la machine.
Tous les SAV Apple sont équipés pour démarrer un Mac à partir d'un
disque externe.

Corrolaire (si je te comprends bien) : en cas de problème système ils
laissent cela à la responsabilité de l'utilisateur (avec les indications
habituelles : réinstallation du système depuis la Recovery etc.) ou bien
ils prennent la main (sur place ou à distance via TeamViewer, il me
semble avoir déjà vu ça) mais sans voir le mdp à aucun moment et en
présence (physique ou virtuelle) du propriétaire ?

FileVault est une excellente protection car elle évite qu'après un
démarrage sur une partition externe on n'aille farfouiller dans le
disque interne.

Je pense utile de le rappeler.

En fait ma question était spéculative : je vais probablement leur
laisser mon iMac cet aprèm' pour son problème hardware d'alimentation,
ET je vais leur demander, dans le même coup, de réinitialiser le disque
interne dans l'état "sortie d'usine" pour résoudre mon problème de
partition Recovery corrompue (dont on a largement parlé sur fcom-ox il y
a quelques mois et qui n'est toujours pas résolu).

Pour mémoire, avec un disque Fusion Drive c'est loin d'être simple,
comme en témoigne cette note de SAV Apple :
<https://support.apple.com/fr-fr/HT207584> Faut pas se louper dans les
commandes Terminal et dans la copie du "Logical Volume Group. J'aime
autant que ce soit fait par eux, tant qu'ils ont la machine sous la main
! D'autant que le Terminal qu'ils utilisent là est précisément celui de
la Recovery que je veux écraser : comment faire pour ne pas se marcher
sur les pieds ?

--
Gérald

On 2018-07-31 08:16:17 +0000, Gerald said:

ET je vais leur demander, dans le même coup, de réinitialiser le disque
interne dans l'état "sortie d'usine" pour résoudre mon problème de
partition Recovery corrompue (dont on a largement parlé sur fcom-ox il y
a quelques mois et qui n'est toujours pas résolu).

Je ne connais pas le problème auquel tu es confronté.

Un formatage du Fusion Drive suivi d'une réinstallation du système
devrait suffire a priori. Sauf si le problème est plus grave. Ton
Fusion Drive n'est plus reconnu ?

Le 30/07/2018 à 09:21, Gerald a écrit :

Bonjour,

Soit une panne hardware sur un iMac (problème sur l'alimentation), mais
la question serait extensible à tout problème mac nécessitant une
intervention en SAV :

- qu'est-ce qui est normal et qu'est-ce qui ne l'est pas en matière de
demande de mot de passe admin ?

La consigne officielle d'Apple aux employés du SAV est de ne pas
demander les mots de passe. Mais beaucoup les demandent quand même pour
simplifier.

Sachant que, dans mon cas, le disque est chiffré Filevault 2 et
nécessite un mot de passe utilisateur pour être déverrouillé.

Corrolaire, ne peuvent-ils réparer le hardware sans monter le disque
et/ou sans accéder à la session admin ?

Ben, tout simplement boot sur disque externe, non ? Pour dépanner le
hardware c'est même mieux, ça élimine les problèmes éventuels liés à une
installation et une configuration logicielles particulières.


--
"...sois ouvert aux idées des autres pour peu qu'elles aillent dans le
même sens que les tiennes.", ST sur fr.bio.medecine

Patrick <patrick@nowhere.invalid> wrote:

Un formatage du Fusion Drive suivi d'une réinstallation du système
devrait suffire a priori. Sauf si le problème est plus grave. Ton
Fusion Drive n'est plus reconnu ?

Non, c'est la partition Recovery du disque interne qui est complètement
à l'ouest (et/ou son Utilitaire de disque) : voit des disques fantômes,
refuse de voir le disque interne et de le monter etc.

Le problème est que les réinstallations système, même "propres" avec
téléchargement préalable de l'installateur, ne touchent pas à la
Recovery ET que les solutions que propose Apple comme
<https://support.apple.com/fr-fr/HT207584> déjà cité se basent sur
Recovery pour agir (lancer le Terminal etc.).

Il faut donc aller plus en profondeur et je les laisse faire !
--
Gérald

On 2018-07-31 12:15:42 +0000, Gerald said:

Patrick <patrick@nowhere.invalid> wrote:

Un formatage du Fusion Drive suivi d'une réinstallation du système
devrait suffire a priori. Sauf si le problème est plus grave. Ton
Fusion Drive n'est plus reconnu ?

Non, c'est la partition Recovery du disque interne qui est complètement
à l'ouest (et/ou son Utilitaire de disque) : voit des disques fantômes,
refuse de voir le disque interne et de le monter etc.

Quand tu formates le Fusion Drive, tu effaces la partition Recovery HD.
Tu ne dois voir qu'une seule icône de disque sur le bureau.
L'installation d'un nouveau système après formatage la recréera.

Si malgré cela le problème subsiste c'est que le disque est sans doute
physiquement endommagé.

Si tu dois confier le Mac au SAV, procède de la même façon avec un mot
de passe bidon. Ton Mac démarrera mais il ne contiendra aucunes de tes
données.

J'espère que tu as de bonnes sauvegardes.