Chiffrer les sauvegardes Time Machine

tmAfin de se prémunir contre une éventuelle panne de son disque dur, tout utilisateur d’ordinateur (PC ou Mac) doit effectuer une sauvegarde régulière de son disque système et de ses fichiers utilisateurs.

Pour permettre à cet utilisateur de mettre en place des sauvegardes d’une manière aisée et transparente, Apple a implémenté une solution intégrée au système d’exploitation (Leopard et Snow Leopard), nommée Time Machine.

Time machine permet d’utiliser un disque externe pour effectuer automatiquement une sauvegarde du système toutes les heures, tous les jours et toutes les semaines et ceci jusqu’à ce que le disque externe soit plein. A ce moment là, les sauvegardes les plus anciennes sont effacées au profit des plus récentes.

Si un fichier vient à être effacé par hasard ou si le disque subit une panne matérielle, il existe une interface qui permet à l’utilisateur de restaurer le contenu manquant et de « voyager dans le temps » pour remonter au moment où ses fichiers figuraient encore sur le disque dur. Il est par ailleurs possible de réinstaller complètement le système à partir d’une sauvegarde Time Machine.

Problématique de la sécurité des sauvegardes

Cet outil, d’une utilisation enfantine, apporte un plus considérable dans la gestion quotidienne des sauvegardes système, surtout pour l’utilisateur néophyte, non initié à la mise en place d’une politique de sauvegarde stricte.

En revanche, tous les fichiers sont sauvegardés « en clair » sur le disque dur externe. Toute personne mal intentionnée ayant un accès physique au disque dur de sauvegarde peut utiliser un autre ordinateur pour explorer les fichiers stockés sur ce disque de sauvegarde.

En terme de sécurité, ceci constitue réellement un problème. En effet, l’accès aux fichiers d’un utilisateur sur un ordinateur MAC est soumis à l’ouverture de sa session, habituellement protégée par un mot de passe.

Or, à quoi sert de protéger les fichiers sur l’ordinateur lui-même si des tiers peuvent avoir accès aux sauvegardes, régulièrement mises à jour ?

Sauvegarde dans un container sparse bundle

La solution, pour éviter un accès illégitime aux fichiers sensibles consiste à chiffrer, à la volée, les sauvegardes effectuées à l’aide du logiciel Time Machine.

Le principe réside dans la création d’un fichier container de type sparsebundle qui sera monté en tant que lecteur virtuel et qui contiendra l’intégralité des fichiers sauvegardés.

Création du container

En premier lieu, il est nécessaire de déterminer le nom du fichier container, qui doit répondre à une syntaxe particulière. Le nom doit être de la forme « NOMMACHINE_ADDRMACEN0.sparsebundle », où NOMMACHINE est le nom de la machine et ADDRMACEN0 l’adresse mac de la carte réseau filaire (RJ-45) de votre machine. C’est la condition sine qua non pour que Time Machine reconnaisse le container et soit capable de le monter automatiquement.

Les deux commandes suivantes, à taper dans le terminal (que vous trouverez dans le répertoire utilitaires de votre mac), vous permettront de déterminer le nom et l’adresse mac de la carte ethernet.

hostname -s
ifconfig en0 | grep ether | tr -d ":" | cut -d" " -f2

Par exemple, si la première commande vous retourne « monmac » et la deuxième « 64b9e8b77b54 », le nom du fichier container devra être impérativement « monmac_64b9e8b77b54.sparsebundle ».

/!\ ATTENTION A RESPECTER LA CASSE DES CARACTERES (minuscules et majuscules).

Une fois ces éléments déterminés, l’étape suivante est la création du container Sparsebundle. Pour celà il est nécessaire d’ouvrir l’utilitaire disque, présent dans les utilitaires de (Snow) Léopard.

tm_creation

Le menu « Fichier/Nouvelle/Image disque vide » permet d’afficher la fenêtre de création de l’image disque du container et de le créer avec les paramètres ci-dessous. Le container doit être crée directement sur le disque dur externe qui servira pour Time Machine. Dans cet exemple, le disque dur externe s’appellera JAZZ500.

  • Enregistrer sous : monmac_64b9e8b77b54 (ou le nom du fichier déterminé)
  • Nom : TimeMachine
  • Taille : Taille maximum de votre disque externe (> taille du disque dur du mac)
  • Format : Mac OS étendu (journalisé)
  • Chiffrement : Chiffrement AES 128 bits (suffisant pour l’usage)
  • Partitions : Aucune table de partition
  • Format d’image : image disque SparseBundle

Ceci aura pour effet de vous demander un mot de passe (que vous choisirez suffisamment complexe) qui servira à monter le container et qu’il faudra enregistrer dans le trousseau de votre MAC, en cochant la case idoine.

tm_mdp

A la fin de la création, le container est monté automatiquement par l’utiliaire et apparait sur votre bureau. Vous pouvez éjecter ce lecteur maintenant en effectuant un clic droit sur son nom et en faisant « Ejecter » ou bien par l’intermédiaire du raccourci clavier « CMD+E ».

Pour information, il est normal que le container n’occupe pas pour l’instant l’intégralité du disque dur. Le container va grossir avec les sauvegardes jusqu’à atteindre la capacité maximale du disque dur. Ceci est du au format même des containers sparsebundle.

Modification du trousseau

Vous avez maintenant un disque dur externe (JAZZ500 dans mon exemple), qui contient un fichier container unique (nommé monmac_64b9e8b77b54 dans mon exemple).

Montez le container et tapez le mot de passe que vous avez paramétré en demandant à ce que le mot de passe soit enregistré dans votre trousseau d’accès.

Vérifiez la taille du container afin de vous assurer qu’elle corresponde bien à la taille que vous vouliez lui attribuer.

Ouvrez ensuite l’application « trousseau d’accès » et recherchez la clé correspondant à l’ouverture de ce container (Il y a de fortes chance que ce soit la dernière clé crée).

Enfin, déplacez cette clé dans le trousseau système afin de permettre à Time Machine de monter automatiquement le container.

Et le tour est joué.

Paramétrage de TimeMachine

A partir de ce moment, vous pouvez configurer TimeMachine pour utiliser votre disque externe (pas le container) comme destination pour la sauvegarde. Pour celà vous pouvez lancer la configuration de Time Machine via le panneau des préférences système.

tm_config

Le bouton « Choisir un disque » permet de sélectionner le disque physique externe (JAZZ500 dans mon exemple), sur lequel est stocké le fichier container.

Le bouton options vous permet de configurer les répertoires et fichiers à exclure de la sauvegarde. Il est par ailleurs utile de cocher la case « afficher l’état de Time Machine dans la barre des menus » ce qui permet de voir Time Machine se déclencher et de s’assurer en permanence de son bon fonctionnement.

tm_bar

Vous pouvez ensuite activer Time Machine.

Conclusion

Au final, vous disposez maintenant d’un disque dur externe, sur lequel est stocké un fichier container dans lequel Time Machine effectue ses sauvegardes. Ce lecteur virtuel est monté automatiquement toutes les heures lors de la sauvegarde automatique, et démonté ensuite.

Si votre disque externe venait à tomber entre de mauvaises mains, il serait de toute façon inexploitable.

Vos sauvegardes sont effectuées automatiquement, tant que ce disque dur est connecté. Time machine est désactivé quand vous débranchez le disque dur et réactivé à chaque fois que vous le reconnectez.

La restauration diffère sensiblement du mode normal « en clair » car il est nécessaire de monter manuellement le container, de lancer ensuite Time Machine en laissant la touche ALT appuyée et de choisir le disque virtuel qui héberge vos sauvegardes.

Le fonctionnement de Time Machine est ensuite classique, le chiffrement/déchiffrement des informations étant complètement transparent. Vous pouvez voyager dans le temps, explorer vos fichiers archivés, et restaurer un fichier ou un répertoire qui serait « passé à la trappe ».

19 thoughts on “Chiffrer les sauvegardes Time Machine”

  1. A noter, si Filevault est activé (Home chiffré), la sauvegarde Time Machine est opérationnelle mais n’est possible que quand l’utilisateur concerné n’est pas loggué.
    C’est cependant plus contraignant que d’avoir des images chiffrées séparées.
    Dans les 2 cas, on perd l’interface Time Machine pour naviguer dans les dossiers à travers le temps.

  2. Merci pour ta contribution Julien.
    Tu as tout à fait raison.

    Je voudrais juste ajouter qu’il reste néanmoins possible de restaurer en totalité l’image chiffrée séparément et de l’ouvrir pour restaurer à la main les fichiers.
    C’est moins pratique pour la restauration que la navigation dans Time Machine directement mais ça reste possible de récupérer ses fichiers.
    En effet, seules les bandes qui ont changé sont mises à jour sur le disque externe à chaque sauvegarde de Time Machine.

  3. Bonjour
    J’essaye désespérément de faire ce que vous préconisez:

    Les deux commandes suivantes, à taper dans le terminal (que vous trouverez dans le répertoire utilitaires de votre mac), vous permettront de déterminer le nom et l’adresse mac de la carte ethernet.
    hostname -s
    ifconfig en0 | grep ether | tr -d « : » | cut -d »  » -f2
    Par exemple, si la première commande vous retourne « monmac » et la deuxième « 64b9e8b77b54?, le nom du fichier container devra être impérativement « monmac_64b9e8b77b54.sparsebundle ».

    hostname çà marche j’obtiens le nom de mon mac, mais pour ifconfig je trouve un nombre en ether : 00:16 etc… s’agit-il de celà? Si je saisi dans la case idoine de création de disque les deux points ne sont pas pris en compte…
    Je suis un peu perdu pouvez vous me donner un petit coup de main? Je vous remercie très chaleureusement par avance, amicalement T. Obrecht

  4. oui, effectivement, il s’agit bien de ce numéro, mais sans les caractères :
    dans votre cas, ça sera le nom de votre mac suivi de _, suivi de 0016…..
    ex: monmac_001636536263.sparsebundle

  5. Bonjour
    Merci pour votre prompte réponse…
    Malheureusement il existe des mongoliens du mac …
    Bon j’ai tout fait bien, et voila le message que j’obtiens après un assez long temps ou TimeMachine cherche à mettre à la disposition le nouveau disque:
    TimeMachine n’a pas pu terminer la sauvegarde. Impossible d’accéder à l’image disque de sauvegarde « /Volumes/Time Machine/mac-de-toto_0018azd250c9 (numéro bidon bien sûr…).sparsebundle » (erreur -1).
    Il y a certainement un sglong dans l’adresse que je dois mal libeller c’est ballot non?
    Comme vous avez l’air bien sympa sur votre photo et que vous l’êtes en aidant les gens à avoir de belles sauvegardes sécurisées aidez moi encore un peu SVP si je peux à mon tour vous aider un jour je n’y manquerai pas sûr!
    Amicalement T.

  6. Bonsoir,

    Vous essayez bien de stocker le sparsebundle sur un disque externe, pas sur un disque réseau ?
    J’ai eu le même problème (un genre de timeout) lors de la génération d’un sparsebundle time machine sur un disque réseau.
    Mais sur un disque externe, aucun souci.

  7. Bonjour
    Disque externe SilverDrive Quattro 1 Giga en FireWire bon… d’après vous l’adresse est bien libellée?
    Tant pis je m’en remettrai pas… si vous avez une idée…
    En tout cas j’essayerai encore et encore je suis plutôt du genre têtu et à la retraite j’ai le temps (j’ai mis trois semaines à lancer un CD de cartographie sur PC via BootCamp… c’était QuickTime pas à jour) je trouverai bien, en tout cas je vous ferai part des résultats çà aidera peut-être quelqu’un.
    Merci à bientôt et VIVE LE MAC!!!
    T.

  8. Une erreur dans votre tuto
    Le hostname doit OBLIGATOIREMENT être en minuscule et non pas respecter la casse.

    Exemple :
    hostname -s » -> MonMac
    ifconfig en0 | grep ether | tr -d « : » | cut -d  »  » -f2 -> 64b9e8b77b54

    Alors le container s’appelera : monmac_64b9e8b77b54

  9. Bonjour,

    Je viens de suivre votre tuto.
    Tout s’est passé correctement jusqu’à la fin de la première sauvegarde.
    Sur 185 Go les 20 derniers ont été sauvegardés à une vitesse hallucinante par rapport au reste (ont-ils vraiment été sauvegardé ?)

    Mais qu’à cela ne tienne, le lecteur virtuel « TimeMachine » (j’ai repris le même nom) étant monté j’attends la sauvegarde suivante, qui se passe bien.

    Ensuite, le lecteur virtuel est démonté comme prévu.

    Mais il ne semble pas être remonté à chaque sauvegarde, même si je clique sur « Sauvegarder maintenant ».

    Je peux monté l’image moi-même et dans ce cas ça fonctionne.

    D’où cela peut-il venir selon vous ?

    une idée, une piste, une solution… 😉

    Bonsoir,

    C.

  10. Bonjour et merci pour cet article, ça rassure de voir que des gens ne se contentent pas de la facilité et restent sensible à la sécurité.

    Pour ma part je n’utilise pas File Vault, je me contente de mettre mes données sensibles et répertoires Mail sur des lecteurs dmg cryptés que je sauvegardes manuellement après modifications.

    J’aimerais juste savoir si avec votre méthode de Time Machine vers un container Sparsebundle crypté il est toujours possible de profiter de la fonction de restauration de tout le système en cas de crash disque dur, et si oui y’a-t-il une manipulation supplémentaire à faire lors du boot CD?
    Merci pour votre réponse et bonne journée

  11. Bonjour,

    Effectivement, il n’est plus possible d’utiliser la même méthode car les données sont chiffrées.
    Il faut réinstaller un système de base pour pouvoir monter le container et extraire les données qui sont dedans.

    Bruno

  12. Bonjour,

    Merci pour votre réponse, il serait quand même temps qu’Apple prenne en considération le besoin de pouvoir crypter et sauvegarder facilement ses données et paramêtres. Il serait si facile de permettre une option au boot cd pour ouvrir un volume crypté.

    Je vais finir par penser que ma bonne vielle méthode pdumfs sur disque dur crypté et / boot cd + grub install pour la restauration sous Linux est plus facile.

    Encore merci pour votre réponse et tuto.

  13. Bonjour,

    J’ai suivi votre tuto par ailleurs très clair, mais j’ai un problème.

    Si je lance la sauvegarde manuellement tout fonctionne bien. Le sparsebundle est bien monté et la sauvegarde se déroule bien.

    Je peux la parcourir avec TimeMachine en faisant un clic droit dans le dock et en choisissant parcourir d’autre disque après avoir monté mon conteneur.

    Par contre, TimeMachine ne se déclenche pas automatiquement toutes les heures quand mon disque de sauvegarde est branché. Si je regarde dans les préférences, je vois bien la prochaine sauvegarde prévu une heure plus tard. Mais si je regarde une fois l’heure passé, la prochaine sauvegarde est décalé d’une heure et aucune sauvegarde n’a été effectué.

    Merci d’avance de votre aide

  14. Bonjour Fabien,

    Je rencontre également le même problème depuis une mise à jour de Snow Leopard.
    Je pense qu’Apple a dû changer qq chose dans TimeMachine. Je vais voir s’il est possible de rétablir la sauvegarde automatique.

    Bruno

  15. Quelqu’un a-t-il trouvé la solution à ce problème de non-automatisation des backups sous Snow Leopard ?

  16. Bonjour,

    Je me pose une question, est-ce que par hasard, la sauvegarde remarche avec lion ?

    Si c’est le cas, j’envisagerai la maj, sinon j’attendrai peut être encore un peu.

  17. Bonjour,

    Pour info, le chiffrement de la sauvegarde est désormais inclu nativement (si activé) sur Lion.
    macgeneration.com/news/voir/210402/lion-conseils-sur-le-mot-de-passe-de-chiffrement-time-machine

    Vous pouvez éventuellement ajouter cette info en début d’article.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *