J'ai déjà posé une question sur les ransomwares sur OS X en général. Mais je n'ai pas obtenu de réponse concernant si FileVault le protège. C'est ce que cette question concerne. Je voudrais aussi savoir si les sauvegardes Time Machine cryptées sont à l'abri des ransomwares.
Ici, le ransomware est défini comme un logiciel malveillant qui chiffre les données de l'utilisateur contre leur gré/connaissance et demande une rançon en échange de la clé de chiffrement.
Nous examinerons trois exemples :
-
Le logiciel malveillant s'exécute sans privilèges superutilisateur. L'utilisateur inattentif a peut-être simplement exécuté une application compromise/malveillante qu'il pensait être autre chose, puis l'a laissée s'exécuter en arrière-plan suffisamment longtemps pour causer des dommages.
-
Le logiciel malveillant s'exécute avec des privilèges superutilisateur. L'utilisateur, croyant que le logiciel est autre chose, lui a accordé l'accès root en lui donnant le mot de passe root. L'utilisateur aurait même pu installer le logiciel en donnant le mot de passe root.
-
L'utilisateur n'a lancé aucune application, le logiciel malveillant a réussi à s'exécuter d'une autre manière. (Est-ce même possible sur OS X ?)
Dans les cas 1 et 2, l'utilisateur aurait désactivé le paramètre "sources de confiance uniquement" d'OS X. (Question annexe : Est-il possible d'être affecté par un ransomware lorsque ce paramètre est activé ?)
En examinant 1., 2. et 3. séparément, le logiciel malveillant peut-il :
A : Accéder aux données protégées par FileVault ?
B : Modifier/Supprimer les données protégées par FileVault ?
C : (Une combinaison de A et B) Chiffrer les données protégées par FileVault et écraser (supprimer de manière sécurisée) les données de FileVault originales ?
Y a-t-il une différence entre les données protégées par FileVault stockées localement et les sauvegardes Time Machine cryptées stockées sur un autre disque ? Je suis également intéressé par la réponse à ce sujet.