FileVault est, ce qui permet sous Mac OSX d’avoir un répertoire personnel chiffré en AES pour éviter que des vilains ne s’emparent de vos fichiers top secret… Et ouch ! Il semblerait qu’une option de debug ait accidentellement été oubliée dans FileVault, ce qui a pour conséquence de stocker en clair votre mot de passe dans un fichier de log se trouvant à l’extérieur de la zone chiffrée sur le disque dur.
N’importe qui ayant accès au disque peut lire ce fichier de log et utiliser le mot de passe ainsi récupéré pour accéder à la partie chiffrée. Ça pue.
Bon, il semblerait toutefois que ce « bug » ne touche que les utilisateurs de Lion qui ont mis à jour en 10.7.3 (update de sécurité qui date de début février) et qui surtout, ont activé l’option de chiffrement pour leur répertoire personnel uniquement (utilisant FileVault) et pas ceux qui ont activé le chiffrement complet du disque (utilisant FileVault2). Attention aussi, si vous n’avez pas chiffré votre TimeMachine (vos backups) car ce fichier de log a de fortes chances de s’y retrouver. Pensez donc à changer de mot de passe si c’est le cas.
La balle est maintenant dans le camp d’Apple pour fixer le problème rapidement…