macOS trop protégé ? Désactivez les protections
05/11/16
Avec macOS 10.12 Sierra, Apple ne propose plus d'installer les logiciels en provenance de " n'importe où ".
Ce fonctionnement a été décidé afin d'obtenir une plus grande sécurité pour le système d'exploitation. Seuls les logiciels qui sont passés par la vérification d'Apple (AppStore) ou les développeurs certifiés par Apple (développeurs identifiés ayant une signature sous forme de clé cryptée) sont autorisés à lancer un logiciel sur la machine. Sur le papier, c'est bien. Mais si un ami travaille sur un projet et veut vous le faire essayer ? Si un logiciel Open-Source n'est pas signé ? Si la dernière release candidate de Libre Office n'est pas signée ? He bien, même si votre Mac vous appartient, même si vous identifiez le développeur, vous ne pourrez pas lancer l'application… C'est quand même dommage, regrettable, ballot, inadmissible, chacun mettra le qualificatif qu'il voudra.
Alors que faire ?
Solution ponctuelle :
Prenons un exemple : il y a quelques jours j'ai téléchargé la dernière version de l'excellent Onyx afin de mettre un peu d'ordre dans une de mes machines. Ça n'a pas raté : bien que Onyx soit connu comme le loup blanc, j'ai eu droit au message suivant :
La solution la plus rapide est d'aller dans le dossier Applications et faire un clic contextuel (clic droit ou ctrl clic) sur l'application pour choisir "ouvrir" :
On a encore une fenêtre nous prévenant que ce que l'on fait est particulièrement dangereux, mais, au moins, le bouton ouvrir est présent :
Et là, après une ultime vérification, le logiciel peut enfin se lancer. Les démarrages ultérieurs de feront normalement; seul le premier démarrage est aussi fastidieux.
Solution définitive mais réversible :
Il existe un moyen de désactiver définitivement le degré de protection et d'autoriser "n'importe où" dans les préférences système quant au type de logiciels installés. Il suffit de saisir dans le terminal la commande suivante suivie de votre mot de passe administrateur :
sudo spctl --master-disable
Les Préférences Système font apparaître enfin la case " n'importe où" :
Pour revenir au fonctionnement classique :
sudo spctl --master-enable
A utiliser avec modération. Mais, au moins, la liberté est là. Cependant, on peut se poser la question : qu'en est-il des débutants ? Si personne ne peut installer des logiciels spécifiques, alors les développeurs continueront-ils à les développer ? N'est-ce pas un appauvrissement pour tous ? Les utilisateurs avancés sont-ils assez nombreux pour faire bouger les choses ?
Le cas SIP:
Sistem integrity protection
Depuis macOS 10.11 El Capitan, Apple n'autorise plus un vrai root sur ces machines. Ce n'est pas ici l'endroit pour expliquer ce qu'est un root; disons cependant pour simplifier qu'il s'agit d'un droit d'administrateur suprême, de vie ou de mort sur la machine, celui qui permet de tout faire y compris le fameux effacement total !
Ce n'est plus possible : macOS ne donne plus au root les privilèges les plus hauts. Les fichiers système sont protégés : si un malware, virus ou crapware est lancé avec les privilèges administrateurs, l'accès aux fichiers système lui sera interdit.
Mais si un développeur veut avoir accès à ces répertoires ou ces fichiers, si un utilisateur avancé veut faire une modification, ou si l'on veut "bricoler son mac" alors, ce n'est pas possible.
Heureusement, il existe une méthode:
J'ai utilisé mon MacBook plusieurs mois avec le SIP désactivé sans soucis. Après les modifications que j'ai voulu effectuer, je l'ai quand même réactivé par mesure de sécurité.
Ce fonctionnement a été décidé afin d'obtenir une plus grande sécurité pour le système d'exploitation. Seuls les logiciels qui sont passés par la vérification d'Apple (AppStore) ou les développeurs certifiés par Apple (développeurs identifiés ayant une signature sous forme de clé cryptée) sont autorisés à lancer un logiciel sur la machine. Sur le papier, c'est bien. Mais si un ami travaille sur un projet et veut vous le faire essayer ? Si un logiciel Open-Source n'est pas signé ? Si la dernière release candidate de Libre Office n'est pas signée ? He bien, même si votre Mac vous appartient, même si vous identifiez le développeur, vous ne pourrez pas lancer l'application… C'est quand même dommage, regrettable, ballot, inadmissible, chacun mettra le qualificatif qu'il voudra.
Alors que faire ?
Solution ponctuelle :
Prenons un exemple : il y a quelques jours j'ai téléchargé la dernière version de l'excellent Onyx afin de mettre un peu d'ordre dans une de mes machines. Ça n'a pas raté : bien que Onyx soit connu comme le loup blanc, j'ai eu droit au message suivant :
La solution la plus rapide est d'aller dans le dossier Applications et faire un clic contextuel (clic droit ou ctrl clic) sur l'application pour choisir "ouvrir" :
On a encore une fenêtre nous prévenant que ce que l'on fait est particulièrement dangereux, mais, au moins, le bouton ouvrir est présent :
Et là, après une ultime vérification, le logiciel peut enfin se lancer. Les démarrages ultérieurs de feront normalement; seul le premier démarrage est aussi fastidieux.
Solution définitive mais réversible :
Il existe un moyen de désactiver définitivement le degré de protection et d'autoriser "n'importe où" dans les préférences système quant au type de logiciels installés. Il suffit de saisir dans le terminal la commande suivante suivie de votre mot de passe administrateur :
sudo spctl --master-disable
Les Préférences Système font apparaître enfin la case " n'importe où" :
Pour revenir au fonctionnement classique :
sudo spctl --master-enable
A utiliser avec modération. Mais, au moins, la liberté est là. Cependant, on peut se poser la question : qu'en est-il des débutants ? Si personne ne peut installer des logiciels spécifiques, alors les développeurs continueront-ils à les développer ? N'est-ce pas un appauvrissement pour tous ? Les utilisateurs avancés sont-ils assez nombreux pour faire bouger les choses ?
Le cas SIP:
Sistem integrity protection
Depuis macOS 10.11 El Capitan, Apple n'autorise plus un vrai root sur ces machines. Ce n'est pas ici l'endroit pour expliquer ce qu'est un root; disons cependant pour simplifier qu'il s'agit d'un droit d'administrateur suprême, de vie ou de mort sur la machine, celui qui permet de tout faire y compris le fameux effacement total !
Ce n'est plus possible : macOS ne donne plus au root les privilèges les plus hauts. Les fichiers système sont protégés : si un malware, virus ou crapware est lancé avec les privilèges administrateurs, l'accès aux fichiers système lui sera interdit.
Mais si un développeur veut avoir accès à ces répertoires ou ces fichiers, si un utilisateur avancé veut faire une modification, ou si l'on veut "bricoler son mac" alors, ce n'est pas possible.
Heureusement, il existe une méthode:
- Il faut redémarrer le mac et au démarrage maintenez les touches CMD + R pour démarrer en mode Recovery ; Puis, lancer le Terminal depuis le menu Outils ;
- Saisissez la commande : "csrutil disable" ;
- Redémarrez votre ordinateur ;
- Si vous voulez réactiver le système de protection SIP, il suffit de refaire la manipulation précédente avec cette fois-ci la commande : "csrutil enable"
J'ai utilisé mon MacBook plusieurs mois avec le SIP désactivé sans soucis. Après les modifications que j'ai voulu effectuer, je l'ai quand même réactivé par mesure de sécurité.