Attention à l'installation de Big Sur qui peut faire perdre des données faute d'espace disponible, Réactions à la publication du 09/02/2021

[Lionel]

Mr. Macintosh rapporte une information que nous trouvons assez édifiante. Lors de son installation, Big Sur ne vérifie pas l'espace disponible. L'installation se lance donc et s'il manque d'espace, se bloque irrémédiablement pouvant entraîner une perte de données (on nous en a rapporté hélas).
Le problème concerne Big Sur 11.2 et 11.3 beta en versions complètes, mais aussi avec les versions delta.

Attention, la mise à jour nécessite 35,5 Go de disponible en plus des 13 Go propres aux fichiers d'installation.

[MàJ] La mise à jour 11.2.1 règle cet incroyable bug.

Lien vers le billet original

[tchek]

J'ai une petite histoire fumante qui m'a bien pris le choux pour ceux et ceusses que cela intéresse
J'ai eu le cas récemment. Un macBook Air avec FileVault d'activé. Une mise a jour en BigSur (il venait de Mojave) et BOUM, installation bloquée.
Impossible de reinstaller au démarrage car le mot de pass user n'était plus reconnu et la récupération de la clef FileVault (perdue) par iCloud impossible.
Unique possibilité, mode target thunderbolt, pour récupérer les données.
Mais non ! Ce serait trop simple
Impossible vu que le mot de pass du disque crypté n'est plus reconnu ! Donc il ne monte pas.
Seule la partition Update et Macintosh HD montaient, mais les datas niet.
Je tente de changer le mot de pass de la session user avec le terminal, ok reset fait.
je ressaie en mode target, Data qui est cryptée ne monte toujours pas car le mot de pass user bien que changé n'est pas le pass de FileVault !
Alors soyons fou je delete la partition Macintosh HD et la partition Update et ne conserve que la partition cryptée Data dans laquelle les précieuses données se trouve.
J'essaie à nouveau de monter la partition Data avec le nouveau pass user que j'avais créé auparavant et la, BOUM elle monte.
Je récupère les données, je réinstalle Catalina et c'est reparti pour un tour.
Merde, j'ai niqué FileVault ?

Ce message a été modifié par tchek - 9 Feb 2021, 19:55.

[iAPX]

...
Merde, j'ai niqué FileVault ?

De quelle façon?

Je doute que ça soit aussi facile vu le schéma de sécurité mais on a des fois des surprises avec Apple, il faut se rappeler du mot-de-passe de chiffrement stocké comme "hint" avec l'arrivée de High Sierra où pour le coup ils étaient bien "high" et sur du bon
L'équipe de QA d'Apple avait d'ailleurs encore une fois prouvé son excellence...

Ce message a été modifié par iAPX - 9 Feb 2021, 14:31.

[tchek]

... Merde, j'ai niqué FileVault ?

De quelle façon? Je doute que ça soit aussi facile vu le schéma de sécurité mais on a des fois des surprises avec Apple, il faut se rappeler du mot-de-passe de chiffrement stocké comme "hint" avec l'arrivée de High Sierra où pour le coup ils étaient bien "high" et sur du bon L'équipe de QA d'Apple avait d'ailleurs encore une fois prouvé son excellence...

De quelle façon ??
Et bien Il m'a suffit d'effacer les deux partitions Macintosh HD et Update pour pouvoir monter la partition cryptée DATA et récupérer tranquille les données en mode cible.
Je rappel que ce disque était cryptée FileVault et que je n'avais ni le pass ni la passphrase essentielle a tout décryptage filevault sans iCloud.

Auparavant depuis le macBook Air, j'avais pu booter sur une clef Mojave et changer le pass de l'user (qui n'a rien a voir avec la clef FileVault hein) puisque pour tenter de reinstaller Big, le mot de pass de l'user était rejeté.
Je crois bien que j'ai niqué FileVault

Ce message a été modifié par tchek - 9 Feb 2021, 15:12.

[iAPX]

... Merde, j'ai niqué FileVault ?

De quelle façon? Je doute que ça soit aussi facile vu le schéma de sécurité mais on a des fois des surprises avec Apple, il faut se rappeler du mot-de-passe de chiffrement stocké comme "hint" avec l'arrivée de High Sierra où pour le coup ils étaient bien "high" et sur du bon L'équipe de QA d'Apple avait d'ailleurs encore une fois prouvé son excellence...

De quelle façon ??
Et bien Il m'a suffit d'effacer les deux partitions Macintosh HD et Update pour pouvoir monter la partition cryptée DATA et récupérer tranquille les données en mode cible.
Je rappel que ce disque était cryptée FileVault et que je n'avais ni le pass ni la passphrase essentielle a tout décryptage filevault sans iCloud.

Auparavant depuis le macBook Air, j'avais pu booter sur une clef Mojave et changer le pass de l'user (qui n'a rien a voir avec la clef FileVault hein) puisque pour tenter de reinstaller Big, le mot de pass de l'user était rejeté.
Je crois bien que j'ai niqué FileVault

Si c'est cela, je doute mais dans les deux sens, c'est une putain de chierie de merde!!!

[tchek]

... Merde, j'ai niqué FileVault ?

De quelle façon? Je doute que ça soit aussi facile vu le schéma de sécurité mais on a des fois des surprises avec Apple, il faut se rappeler du mot-de-passe de chiffrement stocké comme "hint" avec l'arrivée de High Sierra où pour le coup ils étaient bien "high" et sur du bon L'équipe de QA d'Apple avait d'ailleurs encore une fois prouvé son excellence...

De quelle façon ?? Et bien Il m'a suffit d'effacer les deux partitions Macintosh HD et Update pour pouvoir monter la partition cryptée DATA et récupérer tranquille les données en mode cible. Je rappel que ce disque était cryptée FileVault et que je n'avais ni le pass ni la passphrase essentielle a tout décryptage filevault sans iCloud. Auparavant depuis le macBook Air, j'avais pu booter sur une clef Mojave et changer le pass de l'user (qui n'a rien a voir avec la clef FileVault hein) puisque pour tenter de reinstaller Big, le mot de pass de l'user était rejeté. Je crois bien que j'ai niqué FileVault

Si c'est cela, je doute mais dans les deux sens, c'est une putain de chierie de merde!!!

C'est EXACTEMENT ÇA.
Quand j'ai vu ça je me suis dit, Putain, j'y crois pas ... Ben si.
Et j'en voit des FileVault activés par hasard !
La plupart me disent, c'est quoi FileVault ??

Ce message a été modifié par tchek - 9 Feb 2021, 15:56.

[Lionel]

... Merde, j'ai niqué FileVault ?

De quelle façon? Je doute que ça soit aussi facile vu le schéma de sécurité mais on a des fois des surprises avec Apple, il faut se rappeler du mot-de-passe de chiffrement stocké comme "hint" avec l'arrivée de High Sierra où pour le coup ils étaient bien "high" et sur du bon L'équipe de QA d'Apple avait d'ailleurs encore une fois prouvé son excellence...

De quelle façon ?? Et bien Il m'a suffit d'effacer les deux partitions Macintosh HD et Update pour pouvoir monter la partition cryptée DATA et récupérer tranquille les données en mode cible. Je rappel que ce disque était cryptée FileVault et que je n'avais ni le pass ni la passphrase essentielle a tout décryptage filevault sans iCloud. Auparavant depuis le macBook Air, j'avais pu booter sur une clef Mojave et changer le pass de l'user (qui n'a rien a voir avec la clef FileVault hein) puisque pour tenter de reinstaller Big, le mot de pass de l'user était rejeté. Je crois bien que j'ai niqué FileVault

Si c'est cela, je doute mais dans les deux sens, c'est une putain de chierie de merde!!!

C'est EXACTEMENT ÇA.
Quand j'ai vu ça je me suis dit, Putain, j'y crois pas ... Ben si.
Et j'en voit des FileVault activés par hasard !
La plupart me disent, c'est quoi FileVault ??

Désolé de poser une question stupide, mais tu n'avais pas le MDP enregistré dans ton trousseau d'accès ? J'ai des disques externes chiffrés. Les basiques, le mot de passe est stocké dans le trousseau.

[tchek]

... Merde, j'ai niqué FileVault ?

De quelle façon? Je doute que ça soit aussi facile vu le schéma de sécurité mais on a des fois des surprises avec Apple, il faut se rappeler du mot-de-passe de chiffrement stocké comme "hint" avec l'arrivée de High Sierra où pour le coup ils étaient bien "high" et sur du bon L'équipe de QA d'Apple avait d'ailleurs encore une fois prouvé son excellence...

De quelle façon ?? Et bien Il m'a suffit d'effacer les deux partitions Macintosh HD et Update pour pouvoir monter la partition cryptée DATA et récupérer tranquille les données en mode cible. Je rappel que ce disque était cryptée FileVault et que je n'avais ni le pass ni la passphrase essentielle a tout décryptage filevault sans iCloud. Auparavant depuis le macBook Air, j'avais pu booter sur une clef Mojave et changer le pass de l'user (qui n'a rien a voir avec la clef FileVault hein) puisque pour tenter de reinstaller Big, le mot de pass de l'user était rejeté. Je crois bien que j'ai niqué FileVault

Si c'est cela, je doute mais dans les deux sens, c'est une putain de chierie de merde!!!

C'est EXACTEMENT ÇA. Quand j'ai vu ça je me suis dit, Putain, j'y crois pas ... Ben si. Et j'en voit des FileVault activés par hasard ! La plupart me disent, c'est quoi FileVault ??

Désolé de poser une question stupide, mais tu n'avais pas le MDP enregistré dans ton trousseau d'accès ? J'ai des disques externes chiffrés. Les basiques, le mot de passe est stocké dans le trousseau.

Non Lionel pas de mot de pass stocké, de toute façon le mac était inbootable coincé sur l'installeur de big sur ou son mode recup

Le point important est de comprendre comment FileVault fonctionne. Il y a une Clé Maître de chiffrement du volume, permettant de chiffrer en écriture et de déchiffrer en lecture, généralement en AES-128-XT (un point de détail). Cette clé n'est stockée en clair (telle que, non surchiffrée) nulle part en théorie (le point essentiel). Pour chaque compte qui y a accès, permettant de déverrouiller le volume et essentiel au démarrage, la Clé Maître est chiffrée avec un dérivé du mot-de-passe du compte et stockée chiffrée avec celui-ci, permettant alors son accès uniquement si on connaît le mot-de-passe du compte (ou attaque par force brute). Expliquant aussi pourquoi on doit rentrer le mot-de-passe d'un compte ayant accès à la Clé Maître (par déchiffrement via la copie chiffrée lié à celui-ci), pour générer la nouvelle clé chiffrée du compte modifié. Mais si il est possible de réinitialiser le mot-de-passe d'un compte, sans accès initial à la Clé Maître ni connaissance du mot-de-passe permettant de la déchiffrer sur un compte existant, alors tout le schéma de sécurité s'effondre, prouvant que cette Clé Maître est stockée de manière non-sécuritaire quelque-part, accessible et utilisable sans connaissance initiale. Une backdoor. Certes par accès physique, mais c'est exactement ce contre quoi le chiffrement FileVault devrait protéger un ordinateur et nos données. Nota bene: changer le mot-de-passe de l'utilisateur n'a rien à voir avec RESETER celui-ci, car dans le premier cas on doit entrer le mot-de-passe existant (avec déchiffrement symétrique de la Clé Maître avec l'ancien mdp puis chiffrement avec le nouveau), alors que dans le second cas on n'a pas d'entrée du mot-de-passe donc à-priori pas accès à la Clé Maître en clair.

Absolument, je connaissais le mot de pass d'origine de la session user, mais le mode recup de Big ne me laissait pas le rentrer il n'en voulait pas. J'ai dont fait un reset password de l'user au terminal sur une clé Mojave puis après monté son DD en mode cible, trashé les deux partitions Macintosh HD et Update, puis monté la partition DATA encryptée et verrouillée à l'aide du nouveau pass user ! boum ça marche

Non seulement je ne pouvais pas monter la partition encryptée DATA mais elle était verrouillée aussi
aussitôt changé le pass user et deleté les partitions, boum jai eu accès a tout
Je PRÉCISE que j'ai fait un RESET du mot de pass user, je ne me souviens pas que dan cette formule on m'ai demandé l'ancien mot de pass ....

Ce message a été modifié par tchek - 9 Feb 2021, 17:40.