Une sauvegarde Time Machine chiffrée est la différence entre « j'ai perdu un disque dur » et « j'ai perdu un disque dur, les données sont irrécupérables pour celui qui les a maintenant, et mon histoire de récupération est intacte ». Pour les sauvegardes locales c'est une bonne pratique. Pour les sauvegardes réseau et cloud c'est non négociable. Ce guide couvre tout : le pas à pas de configuration, la cryptographie qui tourne réellement en dessous, où macOS garde votre mot de passe, les options (limitées) si vous l'oubliez, comment le changer, et les pièges qui transforment une sauvegarde chiffrée bien intentionnée en presse-papier.

Si vous voulez la vue stratégique plus large de comment le chiffrement Time Machine s'inscrit aux côtés de FileVault et SMB3, lisez d'abord l'explication du chiffrement des sauvegardes Mac. Cet article est le guide opérationnel approfondi pour la couche Time Machine spécifiquement.

Pourquoi Time Machine chiffré compte plus que jamais

Deux tendances ont rendu cette question plus urgente qu'elle ne l'était il y a une décennie. Premièrement, les sauvegardes hors site ne sont plus l'exception ; les destinations Time Machine cloud sont mainstream et elles mettent vos snapshots quelque part que vous ne contrôlez pas physiquement. Deuxièmement, les NAS sont devenus des cibles routinières dans les campagnes de rançongiciel opportunistes, ce qui signifie qu'un NAS contenant votre sauvegarde non chiffrée est fonctionnellement une copie de vos données posée sur une cible.

Chiffrer le volume Time Machine lui-même, par opposition à se reposer sur ce que la destination fournit, signifie que vous portez la frontière de sécurité avec vous. Le fournisseur cloud, le NAS, le SSD USB sur votre bureau : aucun d'eux ne voit jamais de texte clair.

Pas à pas de configuration

Le flux de configuration est le même quel que soit le type de destination, avec une petite ride pour les partages réseau.

Ajouter un nouveau disque de sauvegarde

  1. Ouvrez Réglages Système → Général → Time Machine. (Sur les anciennes versions de macOS c'est Préférences Système → Time Machine.)
  2. Cliquez sur Ajouter un disque de sauvegarde (ou le bouton +).
  3. Sélectionnez votre destination dans la liste. Les disques USB locaux et boîtiers Thunderbolt apparaissent sous « Disques disponibles ». Les partages réseau apparaissent sous « Disques réseau disponibles », mais seulement s'ils sont actuellement montés dans le Finder ; pour les destinations cloud, montez d'abord le partage via ⌘K dans le Finder.
  4. Crucialement, laissez le commutateur Chiffrer la sauvegarde activé. Ne le désactivez pas « juste pour faire passer la première sauvegarde plus vite ». Le chiffrement appliqué à la configuration est dramatiquement plus simple que de le rétrofitter plus tard.
  5. Définissez une phrase de passe à l'invite. Faites-la longue et aléatoire (plus là-dessus dans un instant).
  6. Fournissez optionnellement un indice de mot de passe. Traitez l'indice comme quelque chose que l'attaquant verra ; n'y mettez rien qui réduise l'espace de recherche.
  7. Cliquez sur Configurer le disque. La première sauvegarde commence immédiatement.

Convertir un disque non chiffré existant

Si vous avez déjà une destination Time Machine non chiffrée et que vous voulez ajouter le chiffrement, le chemin le plus propre est :

  1. Ajoutez une seconde destination avec chiffrement activé.
  2. Attendez que la nouvelle destination termine une sauvegarde initiale complète.
  3. Vérifiez avec un test de restauration.
  4. Retirez l'ancienne destination non chiffrée.

Vous pouvez aussi essayer l'astuce de conversion in-place sur les volumes APFS : sélectionnez le volume dans Utilitaire de disque et choisissez Chiffrer. macOS chiffre en arrière-plan pendant que Time Machine continue d'écrire. Cela fonctionne sur la plupart des versions récentes de macOS mais n'est pas officiellement documenté pour les destinations Time Machine spécifiquement ; traitez-le comme un effort au mieux.

Choisir une phrase de passe

La phrase de passe est le choix le plus important de votre configuration de sauvegarde chiffrée. Le chiffrement lui-même (AES-XTS-128) n'a pas d'attaques pratiques connues ; la cassure réaliste est le brute-force de la phrase de passe. Donc choisissez-en une qui résiste au brute-force.

Cibles :

  • Longueur : 16+ caractères minimum. 20+ c'est mieux. Le calcul est exponentiel ; chaque caractère supplémentaire double à peu près le travail pour un attaquant.
  • Source : générée par un gestionnaire de mots de passe, pas choisie par vous. Les mots de passe choisis par les humains se regroupent en motifs prévisibles et ont bien moins d'entropie qu'ils n'en ont l'air.
  • Stockage : dans votre gestionnaire de mots de passe, plus une copie imprimée dans un coffre physique (ou une enveloppe scellée gardée quelque part de confiance). Le trousseau de votre Mac est pratique mais n'est pas un médium de stockage à long terme pour le mot de passe lui-même.
  • Indice : à utiliser avec parcimonie ou à sauter entièrement. Un indice qui dit « le même que mon mot de passe email » défait tout.

Si vous vous retrouvez à mémoriser la phrase de passe, c'est un signe qu'elle est trop courte. Tout l'intérêt des clés de chiffrement, c'est que les humains ne devraient pas être dans la boucle de mémorisation.

Où macOS stocke le mot de passe

Après la configuration, le mot de passe de chiffrement est sauvegardé dans le trousseau local pour que les sauvegardes suivantes se fassent automatiquement sans demande. Spécifiquement :

  • Pour les sauvegardes configurées en usage « non surveillé », l'entrée vit dans le trousseau System (pour qu'elle soit disponible avant la connexion).
  • Pour les sauvegardes qui demandent à la connexion, l'entrée vit dans le trousseau login de l'utilisateur.

Pour l'inspecter ou la récupérer :

  1. Ouvrez Applications → Utilitaires → Trousseau d'accès.
  2. Dans la boîte de recherche, tapez le nom de votre volume de sauvegarde (ou « Time Machine » ou le nom du partage SMB).
  3. Double-cliquez sur l'entrée correspondante.
  4. Cochez Afficher le mot de passe. macOS demandera votre mot de passe de session pour autoriser.

C'est votre filet de secours si vous avez oublié le mot de passe de chiffrement mais que vous avez encore un Mac fonctionnel qui sauvegarde avec succès. Sortez-le du trousseau et écrivez-le.

Ce que fait réellement AES-XTS

L'algorithme de chiffrement qu'Apple utilise pour les volumes Time Machine chiffrés est AES-XTS-128 (XEX-based Tweaked Codebook Mode with Ciphertext Stealing). Les acronymes cachent une idée plutôt élégante : c'est de l'AES, mais appliqué par secteur avec un tweak dérivé de l'index de secteur, pour que deux secteurs identiques à des positions différentes sur le disque chiffrent vers des textes chiffrés différents.

Pourquoi XTS spécifiquement, plutôt que quelque chose comme CBC ou GCM que vous reconnaîtriez peut-être des protocoles réseau ?

  • Pas besoin d'IV par secteur. L'index de secteur sert de tweak, donc le coût de stockage est nul. Avec CBC, il faudrait stocker un IV par secteur, mangeant de l'espace.
  • Parallélisable. Chaque secteur chiffre indépendamment, donc lectures et écritures peuvent se faire dans n'importe quel ordre à pleine vitesse disque.
  • Malléabilité bornée. Un attaquant qui retourne des bits dans le texte chiffré ne peut corrompre qu'à l'intérieur d'un seul bloc, pas se propager. Combiné avec la vérification d'intégrité du système de fichiers, cela rend l'altération silencieuse très difficile.
  • Pas d'authentification. XTS ne fournit pas d'authentification MAC, mais c'est intentionnel pour le stockage ; macOS authentifie au niveau du système de fichiers (sommes de contrôle APFS) et au niveau de l'en-tête de volume. Pour la confidentialité des données au repos, XTS est le choix correct et est le standard de fait pour le chiffrement de disque complet partout.

Pratiquement : chaque secteur de 4 Ko sur le volume Time Machine chiffré est chiffré avec AES-128 en mode XTS en utilisant un tweak par secteur basé sur l'index de secteur. La clé de volume (la vraie clé AES) est dérivée de votre phrase de passe via une fonction de dérivation de clé avec un sel et un compte d'itérations élevé, puis utilisée pour dériver les clés de secteur. Aucune de ces étapes de dérivation n'est réversible sans la phrase de passe.

Ce qui est chiffré vs ce qui ne l'est pas

À l'intérieur du sparsebundle chiffré :

  • Chiffré : contenus de fichiers, noms de fichiers, structure de répertoires, métadonnées de fichiers (horodatages, permissions, attributs étendus, ACL).
  • Chiffré : le système de fichiers lui-même (structures APFS ou HFS+ à l'intérieur du volume).

À l'extérieur du sparsebundle, sur la destination :

  • Pas chiffré : le nom de dossier de l'enveloppe sparsebundle (typiquement VotreMac.sparsebundle).
  • Pas chiffré : la taille du sparsebundle et le nombre de fichiers band.
  • Pas chiffré : le fait que c'est une sauvegarde Time Machine (reconnaissable à la structure).

Pour la plupart des modèles de menace, la fuite de métadonnées au niveau de l'enveloppe est sans intérêt. Si cela compte pour votre modèle de menace (vous ne voulez pas que l'opérateur de la destination sache que vous stockez une sauvegarde du tout), enveloppez la connexion SMB dans un tunnel VPN et utilisez un nom de sparsebundle non évident.

Récupérer après une phrase de passe oubliée

La dure vérité : il n'y a pas de récupération sans la phrase de passe. La clé de volume est dérivée de la phrase de passe via une fonction à sens unique. Il n'y a pas de séquestre avec Apple, pas de clé de récupération comme FileVault en propose, pas de porte dérobée pour le support, aucun moyen pour le fournisseur cloud d'aider. Le chiffrement fonctionne en étant mathématiquement irréversible sans la clé, et cette propriété n'a pas d'exception pour l'utilisateur légitime.

Ce que vous pouvez essayer :

  • Vérifiez le trousseau sur chaque Mac qui a déjà sauvegardé vers cette destination. Le mot de passe est mis en cache localement ; si une machine fonctionnelle a encore l'entrée, récupérez-la via Trousseau d'accès.
  • Vérifiez l'historique de votre gestionnaire de mots de passe. Si vous avez utilisé 1Password, Bitwarden ou similaire, l'entrée peut encore exister même si vous ne vous souvenez pas de l'avoir saisie.
  • Vérifiez tout enregistrement imprimé. Les configurations fortes impriment la phrase de passe et la stockent physiquement.
  • Si le mot de passe était basé sur un motif dont vous vous souvenez partiellement, vous pouvez tenter un brute-force ciblé contre le sparsebundle en utilisant hdiutil dans un script. Cela ne fonctionne que si votre espace de recherche est petit (vous vous souvenez « c'était 12 caractères et commençait par X »). Pour des phrases de passe vraiment aléatoires c'est sans espoir.

Si rien de cela ne fonctionne, les données sont parties. Effacez la destination, configurez une nouvelle sauvegarde chiffrée avec une phrase de passe que vous stockez correctement cette fois, et traitez la perte comme une fonction de forçage pour une meilleure gestion des clés.

Changer la phrase de passe plus tard

Pour les destinations Time Machine chiffrées basées APFS :

  1. Montez le volume chiffré en saisissant la phrase de passe actuelle.
  2. Ouvrez Utilitaire de disque.
  3. Sélectionnez le volume Time Machine chiffré dans la barre latérale.
  4. Depuis le menu : Fichier → Modifier le mot de passe. Entrez la phrase de passe actuelle et la nouvelle.

Ou depuis le Terminal, pour les volumes APFS chiffrés :

diskutil apfs changePassphrase /dev/diskXsY -user disk

(Remplacez diskXsY par l'identifiant d'appareil affiché par diskutil list.)

Pour les sauvegardes Time Machine HFS+ utilisant le chiffrement CoreStorage, les changements de phrase de passe in-place ne sont pas pris en charge dans l'interface ; le chemin pratique est de démarrer une nouvelle sauvegarde chiffrée avec la nouvelle phrase de passe et retirer l'ancienne. Pour les sparsebundles réseau, le comportement varie selon la version macOS ; l'approche la plus sûre et prévisible est encore l'approche nouvelle-sauvegarde.

Après tout changement de phrase de passe, mettez immédiatement à jour l'entrée dans votre gestionnaire de mots de passe et toutes les copies imprimées. Un enregistrement de mot de passe périmé est pire qu'aucun enregistrement.

Sauvegardes chiffrées sur un réseau : empiler les couches

Lorsque votre destination Time Machine chiffrée est un partage réseau (NAS ou cloud), deux couches de chiffrement s'empilent :

  • Chiffrement Time Machine (AES-XTS au repos) : appliqué par votre Mac avant que les données n'atteignent le réseau. La destination ne stocke jamais que du texte chiffré.
  • Chiffrement SMB3 (AES-128-GCM en transit) : appliqué à tout le trafic SMB entre votre Mac et le serveur. Même les blocs Time Machine déjà chiffrés voyagent dans un autre tunnel chiffré.

Le résultat est réellement zero-knowledge du point de vue de l'opérateur de la destination : il détient du texte chiffré qu'il ne peut pas déchiffrer, et ne peut même pas observer le texte clair à l'arrivée parce qu'il ne reçoit jamais que du texte chiffré sur le câble. C'est le modèle utilisé par Capsule Backup et c'est la raison pour laquelle Time Machine cloud peut crédiblement revendiquer un chiffrement de bout en bout. Pour les détails au niveau protocole, voir l'explication SMB3 ; pour le contexte de sécurité plus large, voir notre page sécurité.

Pièges courants

Monter le sparsebundle sans entrer la phrase de passe

Si vous montez le sparsebundle sur un Mac différent sans entrer la phrase de passe, vous verrez l'enveloppe mais pas le contenu. Le volume chiffré à l'intérieur refuse de monter et Utilitaire de disque l'affiche comme « non monté ». La solution est d'entrer la phrase de passe via l'invite qui devrait apparaître ; si aucune invite n'apparaît, double-cliquez directement sur le fichier sparsebundle.

Utiliser le mot de passe de session comme mot de passe Time Machine

Pratique. Catastrophique. Une fuite compromet à la fois votre système vivant et votre sauvegarde. Utilisez des phrases de passe distinctes générées par un gestionnaire de mots de passe.

Partager le disque de sauvegarde entre utilisateurs

Le chiffrement Time Machine est lié à la phrase de passe, pas à un utilisateur. Si deux personnes partagent une seule destination de sauvegarde chiffrée en partageant la phrase de passe, chacune a un accès complet à toutes les données dedans. Utilisez des destinations séparées (ou des sparsebundles séparés) pour des frontières de confiance séparées.

Un indice de mot de passe trop informatif

« Pareil qu'email pro » ou « anniversaire du chat » défait le travail de choisir une phrase de passe forte. L'indice est visible à quiconque tente de monter le volume. Traitez-le comme si l'attaquant le lira.

Ne pas tester la restauration

Le chiffrement augmente le coût d'une restauration ratée : une sauvegarde que vous ne pouvez pas déchiffrer est du poids mort. Testez le chemin de restauration trimestriellement. Montez le volume chiffré sur un autre Mac, entrez la phrase de passe, restaurez un fichier au hasard. Si le test échoue, vous le découvrez maintenant au lieu d'en vraie urgence. Notre guide de restauration couvre la procédure complète.

Réutiliser des phrases de passe entre destinations de sauvegarde

Si vous avez plusieurs destinations Time Machine (USB local, cloud, second NAS), utilisez des phrases de passe distinctes pour chacune. Une fuite de l'une ne compromet alors pas les autres. La douleur marginale est une entrée de gestionnaire de mots de passe par destination.

Liste de bonnes pratiques

Imprimez ceci. Collez-le près de votre écran.

  • Chiffrement activé sur chaque destination Time Machine, sans exception.
  • Phrase de passe générée par un gestionnaire de mots de passe, 16+ caractères, entièrement aléatoire.
  • Phrase de passe stockée dans le gestionnaire de mots de passe ET dans une copie imprimée physique.
  • Phrase de passe distincte pour chaque destination.
  • Phrase de passe distincte du mot de passe FileVault, du mot de passe de session, et du mot de passe du partage SMB.
  • Indice soit sauté soit formulé de façon à ne rien dire que l'attaquant ne saurait déjà.
  • Test de restauration trimestriel sur un autre Mac pour confirmer que la phrase de passe fonctionne.
  • Entrée de trousseau confirmée sur le Mac principal pour que les sauvegardes au quotidien ne demandent rien.
  • Pour les destinations réseau, chiffrement SMB3 confirmé (lire l'explication SMB3 pour la vérification).
  • Pour les destinations cloud, la destination comprise comme zero-knowledge : le fournisseur ne détient que du texte chiffré.

Tout mettre ensemble

Time Machine chiffré est l'un de ces rares cas en informatique où la bonne réponse est aussi la réponse facile : cochez une case à la configuration, stockez la phrase de passe correctement, et vous avez une sauvegarde qui résiste à presque chaque attaquant réaliste. Le coût est essentiellement nul sur le matériel moderne. Le bénéfice, c'est que le pire jour de votre vie informatique (panne disque, vol, rançongiciel) ne devient pas aussi le deuxième pire.

Si vous configurez une nouvelle destination Time Machine aujourd'hui, faites-la chiffrée dès le départ. Si votre sauvegarde actuelle n'est pas chiffrée, programmez la migration pour cette semaine. Le chemin de « pas de sauvegarde chiffrée » à « sauvegarde chiffrée, phrase de passe stockée correctement, restauration testée » est environ une soirée de travail. Démarrez ici, ou allez directement à notre page tarifaire si vous avez besoin d'une destination cloud.

Questions fréquentes

Si j'oublie mon mot de passe Time Machine, y a-t-il un moyen de récupérer les données ?

Si le mot de passe a été enregistré dans le trousseau d'un Mac fonctionnel, oui : ouvrez Trousseau d'accès, cherchez le nom du volume de sauvegarde, et révélez le mot de passe. S'il n'est dans aucun trousseau auquel vous pouvez accéder, la réponse est non. Il n'y a pas de porte dérobée Apple, pas de séquestre de clé de récupération, et pas de contournement par le support. Le chiffrement utilise une clé dérivée du mot de passe via une fonction à sens unique ; sans le mot de passe, la clé de volume ne peut pas être recalculée. C'est une fonctionnalité, pas un bug, mais cela signifie que vous devez stocker le mot de passe quelque part de durable dès le premier jour.

Devrais-je utiliser le même mot de passe pour FileVault et Time Machine ?

Non. Utilisez des mots de passe distincts. Réutiliser la même phrase de passe signifie qu'une seule compromission casse à la fois votre protection au repos sur le Mac et sur la sauvegarde, défaisant la défense en couches. Utilisez un gestionnaire de mots de passe, générez deux phrases de passe indépendantes à haute entropie, et stockez les deux. Le léger inconvénient en vaut le gain de sécurité significatif.

Time Machine chiffré fonctionne-t-il sur un partage réseau ?

Oui, et c'est la configuration recommandée pour toute sauvegarde réseau ou cloud. macOS crée un sparsebundle chiffré sur la destination réseau, chiffre les données avec AES-XTS avant de les écrire, et stocke la clé dans le trousseau local. Lorsque la sauvegarde se fait sur SMB3, vous obtenez aussi le chiffrement en transit, ce qui signifie que l'hôte du partage réseau ne voit jamais que du texte chiffré venant de Time Machine. C'est le modèle que Capsule Backup utilise pour ses destinations Time Machine cloud.

Comment savoir si ma sauvegarde Time Machine est réellement chiffrée ?

Trois vérifications rapides. Premièrement, dans Réglages Système → Général → Time Machine, cliquez sur votre destination de sauvegarde ; les détails devraient afficher Chiffré : Oui. Deuxièmement, dans Utilitaire de disque, sélectionnez le volume de sauvegarde ; le format devrait afficher Mac OS étendu (journalisé, chiffré) ou APFS (chiffré). Troisièmement, éjectez la sauvegarde, branchez-la sur un autre Mac, et essayez de monter le sparsebundle : s'il demande un mot de passe, il est chiffré. S'il monte sans demander, il ne l'est pas.

macOS me laissera-t-il changer le mot de passe de chiffrement Time Machine sans effacer la sauvegarde ?

Pour les destinations Time Machine chiffrées basées APFS, oui, via Utilitaire de disque. Montez le volume chiffré avec le mot de passe actuel, sélectionnez-le dans Utilitaire de disque, puis Fichier → Modifier le mot de passe (ou clic-droit → Modifier le mot de passe). Pour les anciennes sauvegardes Time Machine HFS+ en chiffrement CoreStorage, la réponse est généralement non sans effacer-et-recommencer. Pour les sparsebundles réseau, l'approche la plus sûre est de démarrer une nouvelle sauvegarde chiffrée avec le nouveau mot de passe vers une destination différente, la vérifier, puis retirer l'ancienne quand vous n'avez plus besoin de son historique.

Capsule Backup n'est ni affilié à ni approuvé par Apple Inc. Time Machine, FileVault, macOS, Utilitaire de disque et Trousseau d'accès sont des marques déposées d'Apple Inc.