Tirez profit des comptes Utilisateurs

Sur un Mac fraichement installé, il n’existe qu’un utilisateur qui, par défaut, a le statut d’Administrateur. Cet utilisateur peut pratiquement tout faire sur le système, parfois avec une demande de mot de passe supplémentaire mais pas toujours. Cela peut être pratique, mais ça n’est certainement pas idéal sur le plan de la sécurité : d’une part cela augmente le risque de commettre des erreurs comme la suppression accidentelle de fichiers nécessaires au bon fonctionnement du système, ou de modifier des réglages qu’on pourra avoir du mal à rétablir, d’autre part cela le rend beaucoup plus vulnérable en cas de prise en main de votre Mac (que ce soit physiquement ou via internet). Un malware pourrait également faire plus de dégâts en utilisant les privilèges d’un compte Administrateur.

Pour l’utilisation quotidienne, il est beaucoup plus sûr de créer un compte “Standard” et de n’utiliser le compte Administrateur que lorsque cela est nécessaire. C’est bien moins contraignant que certains le pensent : vous ne serez pas sans arrêt obligé de passer d’un compte à l’autre, même pour installer une application ! Vous devrez  fournir l’identifiant et le mot de passe de votre compte Administrateur pour réaliser certaines tâches et, parfois seulement, passer dans ce compte. Mais, pour la plupart des utilisateurs, ce devrait être une contrainte très supportable ! Dites-vous bien que la sécurité à toujours un “coût”, même minime : fermer quelques serrures, mettre une alarme en marche, la désactiver, cela prend un peu de temps… A vous de voir quels types de risques vous êtes prêt à prendre. L’objectif de ce site est de faire en sorte que vous ne les preniez qu’en connaissance de cause, après que nous vous ayons suggéré des alternatives !

Sachez aussi que beaucoup de réglages par défaut (“d’usine”) ne sont pas conformes à ce que conseille Apple en matière de sécurité, que ce soit l’activation du pare-feu ou la configuration des comptes utilisateurs. Le Mac OS X Security Configuration Guide publié par Apple, dit par exemple on ne peut plus clairement :

“Each user needing administrator access should have an administrator account in addition to a standard or managed account.
Administrator users should only use their administrator accounts for administrator purposes.”

“Never browse the web or check email while logged in to an administrator’s account.”

soit en français…

Tout utilisateur ayant besoin d’un accès administrateur devrait avoir un compte administrateur en plus d’un compte standard ou géré.
Les administrateurs ne devraient utiliser leur compte administrateur qu’à des fins d’administration.

Ne naviguez jamais sur le web et ne relevez jamais votre e-mail depuis un compte d’administrateur.

N’oublions pas que l’un des atouts ET arguments de vente majeurs d’Apple a toujours été la simplicité d’utilisation… Il ne faut donc peut être pas compter aveuglément sur Apple pour mettre en avant tout ce qui pourrait donner une impression de complexité ou de vulnérabilité. De nombreux réglages “par défaut” sont à modifier pour avoir un Mac sûr. Voyons ce que nous pouvons faire au niveau des comptes Utilisateurs.

Les différents types de comptes Utilisateur sous Mac OS X

Mac OS X propose quatre types de compte d’utilisateur, dont nous nous avons résumé les caractéristiques principales dans le tableau ci-dessous.

Notez bien que les limitations ne s’appliquent que si un non-administrateur ne dispose pas d’un identifiant & mot de passe d’administrateur ! C’est en grande partie cette méconnaissance qui peut faire dire à certains “On ne peut rien faire avec un compte standard !”. En réalité, avec un compte Standard ET la connaissance d’un identifiant/mot de passe administrateur, on peut pratiquement tout faire sans quitter sa session.

 

Administrateur Standard Géré avec
Contrôles parentaux
Partage uniquement
Modifier toutes les préférences système oui non non non
Modifier les préférences qui n’affectent que son propre compte oui oui non oui
Installer des programmes dans le dossier /Applications oui non non non
Installer des programmes dans son propre compte oui oui non non
Utiliser tous les programmes installés dans le dossier /Applications oui oui seulement les applications autorisées par un administrateur oui
Modifier les comptes Utilisateurs oui non non non

 

Créez autant de comptes que nécessaire !

Il n’est pas rare de voir un Mac utilisé par plusieurs personnes avec un seul compte… et donc des privilèges administrateur pour tous ! La question n’est pas de savoir si l’on a quelque chose à cacher à ses proches : au delà des problèmes évidents de sécurité, cela complique la vie de tout le monde (et peut être une source de pertes de données, de réglages, etc., et accessoirement de disputes…).

La création de comptes sous Mac OS X est très simple et les options de configuration sont assez nombreuses, sans être complexes :

- Allez dans Menu Pomme > Préférences Système > Utilisateurs et groupes OU Comptes si vous êtes sous une version de Mac OS X antérieure à 10.7 (Lion).
- Si le cadenas est fermé, cliquez dessus et entrez votre mot de passe administrateur.
- Cliquez sur le signe “+” juste au-dessus du cadenas
- Dans la fenêtre qui apparaît, choisissez le type de compte et renseignez les informations demandées (le nom complet et le nom du compte ne doivent pas obligatoirement être identiques. Si le nom du compte suggéré ne vous convient pas, modifiez-le à ce stade. Il est possible de le faire plus tard mais c’est beaucoup plus complexe).

N’activez FileVault que si vous savez vraiment ce que vous faites (voir l’article “Chiffrez vos données sensibles” et celui consacré à FileVault 2).

Création compte utilisateur Mac OS X

Si vous avez créé un type de compte autre qu’Administrateur, la case “Autoriser l’administration de cet ordinateur” est décochée dans la fenêtre principale des comptes.
Nous allons voir comment utiliser cette option…

Passer un compte Administrateur en Standard

Il faut au moins un compte Administrateur pour gérer votre Mac. C’est pour cela que le premier compte créé lors de sa configuration initiale est un compte Administrateur. Mais vous pouvez passer ce compte en “Standard” après avoir créé un autre compte Administrateur. Il est beaucoup plus simple de procéder ainsi, que de créer un compte Standard dans lequel vous devriez transférer vos données et réglages, comme on le voit quelquefois suggéré. Notez que s’il n’existe pas d’autre compte Administrateur, Mac OS X ne vous permet bien sûr pas de décocher la case “Autoriser l’administration de cet ordinateur”.

Mac OS X - Compte Administrateur vers Standard

- Créez donc un nouveau compte avec des privilèges Administrateur, comme indiqué plus haut.
- Ouvrez une session dans ce compte
- Passez le compte que vous utiliserez tous les jours en standard, en décochant la case “Autoriser l’administration de cet ordinateur”. C’est aussi simple que ça  et c’est beaucoup plus sûr !

Vous vous rendrez compte à l’usage que vous ne serez que rarement obligé d’ouvrir une session dans le compte Administrateur et que, la plupart du temps, vous pourrez faire ce que vous souhaitez en vous authentifiant comme administrateur depuis votre compte standard. Voici par exemple le type de message que vous obtenez quand vous faites glisser une application dans le dossier Applications avec un compte standard :

Installation application compte Standard

Il vous suffit alors de cliquer sur “Authentifier” et d’entrer le nom et le mot de passe d’un compte administrateur.

Notez toutefois que si le fichier est déjà présent dans le dossier Applications (dans le cas d’une mise à jour, par exemple), vous pourrez obtenir un message d’erreur de ce type :

Remplacement application

Pour éviter cela, supprimez manuellement le fichier à remplacer, avant de faire glisser le nouveau.

Désactivez l’ouverture de session automatique

L’ouverture de session automatique est activée par défaut sous Mac OS X. Cela vous fait gagner quelques secondes mais vous perdez beaucoup en sécurité, surtout si l’on arrive dans une session administrateur…

Si malgré nos recommandations et celles d’Apple, vous choisissez d’utiliser un compte administrateur au quotidien, nous vous recommandons vivement de désactiver l’ouverture de session automatique ! Vous pouvez le faire de deux manières :

  • Préférences Systèmes > Utilisateurs et groupes (ou Comptes si OS X < 10.7) > Options (au dessus du cadenas, sur lequel vous devrez cliquer auparavant s’il est fermé).
    Vous pouvez choisir d’afficher la liste des utilisateurs dans la fenêtre d’ouverture de session, ou d’obliger la saisie d’un nom du nom d’utilisateur et du mot de passe (c’est le plus sûr).
  • Préférences Système > Sécurité et confidentialité > Général. Dans cette fenêtre, vous pouvez également activer la demande de mot de passe après suspension d’activité ou lancement de l’économiseur d’écran, à moins que vous ne préfériez verrouiller votre écran manuellement (voir plus bas). On n’a pas toujours un œil sur sa machine et on en est parfois éloigné plus longtemps que prévu… A vous de définir le niveau de sécurité et de confidentialité dont vous avez besoin, en fonction de l’environnement dans lequel vous utilisez votre Mac.

Verrouillez votre écran manuellement

C’est une fonctionnalité assez peu connue mais bien pratique, notamment si vous ne voulez pas activer la demande de mot de passe après la mise en veille ou la mise en route de l’économiseur d’écran pour ne pas avoir à le saisir trop souvent.

- Allez dans Applications > Utilitaires > Trousseau d’accès (ou tapez “trousseau” dans Spotlight).
- Trousseau d’accès > Préférences > Général : cochez “Afficher l’état du trousseau dans la barre des menus”.

Vous pouvez maintenant verrouiller votre écran etVerrouiller l'écran Mac OS X
afficher l’économiseur d’écran, en cliquant sur le cadenas qui est venu s’ajouter aux éléments de la barre des menus.

Notez que si vous avez activé la “permutation rapide d’utilisateur” dans les options des comptes, vous pouvez aussi cliquer sur le nom ou l’icône du compte dans la barre des menus, puis sur “Fenêtre d’ouverture de session”.

Sécurisez le compte invité

Le compte “Utilisateur invité” que vous voyez dans la liste des comptes utilisateurs, vous permet de donner un accès temporaire à votre Mac à des utilisateurs ne disposant pas de leur propre compte. Les données et réglages de ce compte sont effacées à chaque fermeture de session.

Ce compte peut s’avérer pratique mais il est désactivé par défaut car il ne nécessite pas de mot de passe pour ouvrir une session, ce qui représente un risque potentiel, même si ce compte ne dispose évidemment pas de privilèges d’administration. Si vous souhaitez l’activer, nous vous conseillons vivement de limiter ce que cet utilisateur peut faire sur votre Mac, en utilisant le contrôle parental de Mac OS X, sachant que cela n’est pas une protection suffisante en soi.

Que le compte invité soit activé ou non, nous vous conseillons de décocher l’option “Autoriser les invités à se connecter à des dossiers partagés”. Dans le cas contraire, une personne malveillante pourrait facilement accéder aux dossiers partagés sans demande de mot de passe…

Notez bien que vous pouvez sécuriser le compte invité une fois pour toutes et ne l’activer que quand vous en avez besoin, d’un simple clic.

Ici encore, ça n’est pas uniquement un problème de “confiance” : sécuriser sa machine, c’est autant se protéger contre les erreurs et maladresses que contre des actions malveillantes.

Utilisez le contrôle parental de Mac OS X

Le contrôle parental est, comme son nom l’indique, destiné en premier lieu à contrôler l’activité des enfants et surtout à les protéger, notamment sur le web. Mais comme nous avons pu le constater à propos du compte invité, il n’est pas nécessaire de créer un compte de type “Géré avec contrôles parentaux” pour utiliser cette fonctionnalité qui peut s’avérer très intéressante. Vous pouvez activer le contrôle parental, soit au moment de la création d’un compte, soit a posteriori, via Préférences Système > Contrôle parental.

Vous pourrez notamment utiliser le contrôle parental sur tout type de compte non administrateur pour :

  • Définir les applications dont vous autorisez l’utilisation.Controle parental Mac
  • Limiter l’accès à certains sites web, non seulement des sites web “adultes”, mais tout site dont vous ajouterez l’adresse (en cliquant sur le signe “+” sous “Restreindre l’accès au sites web suivants”.
  • Limiter l’utilisation que l’utilisateur peut faire de Mail ou d’iChat en n’autorisant les contacts qu’avec des personnes listées.
  • Empêcher un utilisateur de changer lui-même son mot de passe (onglet “Autres” de la fenêtre Contrôle parental).

Nous ne citons ici que les principales fonctionnalités en rapport avec la sécurité. N’hésitez pas à parcourir les options de la fenêtre de contrôle parental pour plus de détails. Vous pouvez y accéder soit depuis la fenêtre des comptes, soit via Préférences Système > Système > Contrôle parental (ou Présentation > Contrôle parental si votre version de Mac OS X est antérieure à 10.7 Lion).

Mise à jour : pour plus d’informations sur le Contrôle parental de Mac OS X, vous pouvez consulter cet article.