Sandboxing – Gatekeeper – SIP

Les 3 Systèmes de protection du Mac

Le Mac App Store est un fabuleux magasin virtuel qui permet de télécharger des milliers d’applications sur votre Mac.

Cependant, lorsque vous téléchargez des logiciels provenant de sources non contrôlées par Apple, tous ces téléchargements inconnues sont un danger « potentiel » pour votre Mac et peuvent donc le rendre vulnérable.

C’est pourquoi Apple avait d’abord conçu le sandboxing, ensuite Gatekeeper, et enfin SIP comme système de protection du Mac.

 

Sandboxing, premier système de protection du Mac

Apple avait déjà initié cette première protection du Mac en filtrant les applications via le mécanisme du « sandboxing » (bac à sable).

Le sandbox était alors utilisé pour tester les applications tierces « douteuses » qui risqueraient de compromettre l’intégrité et la sécurité de l’OS. Si un logiciel est non sécurisé, il sera isolé des autres dans cette zone de bac à sable.

 

Gatekeeper renforce la protection du Mac

Gatekeeper est une fonctionnalité apparue depuis Mountain Lion, et qui vous permet de bénéficier d’un contrôle accru sur ce que vous installez.

Son rôle est, avant tout, de vérifier l’identité numérique des développeurs d’applications, et ensuite, de les valider si tout est OK.

Ces développeurs doivent donc obtenir auprès d’Apple un identifiant de développeur unique. Cela permet de signer numériquement leurs applications s’ils veulent intégrer le Mac App Store. Sans ce précieux sésame, Gatekeeper pourra bloquer l’ouverture de logiciels en provenance de développeurs non identifiés.

Système de protection du Mac-Ouverture bloquéeOuverture bloquée par Gatekeeper

L’App Store constitue donc une barrière contre des logiciels pirates. C’est l’alternative la plus sûre et la plus fiable pour télécharger et installer des applications. Celles-ci sont, au préalable, examinées en amont avant d’être intégrées dans l’App Store.

Et si malgré tout, un logiciel parvient à passer cette barrière, Apple retirera cette dernière très rapidement.

Pour que Gatekeeper fonctionne efficacement sur vos machines, vous disposez de trois options :

  • L'option la plus sécurisée : n’autoriser que l’installation d’applications en provenance du Mac App Store
  • La standard : autoriser l’installation à partir du Mac App Store et des développeurs identifiés
  • Celle qui est la plus risquée : autoriser l’installation venant de « N’importe où ».

Système de protection du Mac-Fenêtre d'optionsFenêtre d’options

arrow

 

A NOTER

Apple a introduit Gatekeeper comme l'un des systèmes de protection du Mac. Mais si vous passez outre sa barrière et téléchargez quand même des applications de « n’importe où », vous courez alors le risque d’être la cible de logiciels infectés.

Lorsque vous double-cliquez sur une application téléchargée depuis Internet, vous recevrez alors le message suivant « Impossible d’ouvrir + le nom de l’application » qui vous rappellera que la source n’a pas été identifiée grâce à sa signature numérique.

Système de protection du Mac-Alerte GatekeeperAlerte de Gatekeeper

Par contre, si vous pensez que l’application en question provient d’une source sûre, sélectionnez alors l’application dans le Finder, puis faites un clic-droit pour découvrir un menu contextuel.

  • Choisissez ensuite « Ouvrir ». Vous aurez cette alerte : « … ne provient pas d’un développer identifié. Voulez-vous vraiment l’ouvrir ? ».

Système de protection du Mac-Ouvrir quand mêmeOuvrir quand même

  • Cliquez sur « Annuler » si vous avez des doutes concernant la sécurité de cette application.
  • Sinon, cliquez sur « Ouvrir ». Il vous faudra renseigner votre mot de passe Administrateur. Ensuite, l’application s’ouvrira normalement.

 

REMARQUE

Si vous possédez une application d’un développeur non identifié numériquement pour fonctionner avec Gatekeeper, vous pouvez contacter ledit développeur et vérifier s’il propose une mise à jour prenant en charge Gatekeeper.

Si vous disposez de plusieurs comptes utilisateurs et que vous avez vous-même téléchargé une application en tant qu’Administrateur de votre compte, vous pourrez l’ouvrir, tout en étant « responsable » de vos actes.

Les autres comptes utilisateurs pourront également l’ouvrir, mais le message d’alerte « Voulez-vous vraiment l’ouvrir » s’affichera lors de chaque ouverture.

Sachez cependant faire preuve de discernement et ne pas télécharger n’importe quelles applications à partir de n’importe quels sites !

Si vous voulez vraiment télécharger un logiciel, faites-le à partir du site de l'éditeur. Le risque sera moindre d’attraper un virus ou d’introduire, malgré vous, un malware au sein de vos fichiers.

 

arrow

 

MISE À JOUR POUR GATEKEEPER

Les applications non signées ne s’ouvrent plus sous macOS Sierra à cause du blocage de Gatekeeper.

Ainsi, pour que cette fonctionnalité soit possible, il faut auparavant désactiver Gatekeeper afin de réintroduire l’option « Autoriser les applications téléchargées de N’importe où » avec une commande sudo dans le Terminal.

Voici comment faire :

  • Ouvrez le Terminal et tapez la commande sudo spctl --master-disable (respectez bien les espaces)
  • Validez avec la touche Entrée (↵)
  • Il vous sera demandé votre mot de passe administrateur. Tapez-le « à l’aveugle » c’est-à-dire qu’aucun caractère ne s’affichera. Validez.

Système de protection du Mac-Avant Après sudoAvant et après la commande sudo

 

Si, pour une raison ou pour une autre, vous souhaitez revenir au niveau de sécurité initiale de macOS Sierra :

  • Rouvrez le Terminal et tapez la commande sudo spctl --master-enable (respectez bien les espaces)
  • Validez avec la touche Entrée (↵)
  • Une fois validée, l’option « N’importe où » aura à nouveau disparu des Préférences Système.

 

 

SIP, le plus important système de protection du Mac

Plusieurs cas de ransomwares (rançongiciels) touchant en majorité des ordinateurs sous Windows, et « quelques » Mac, avaient été signalés. Cela avait causé d’importants dégâts à cause de leurs programmes malveillants qui pirataient les données de l’utilisateur, et proposaient ensuite de les restituer contre rançon.

Aussi, l’une des craintes d’Apple est de voir ces pirates prendre à distance le contrôle des Mac grâce à des programmes exécutables, installés à des endroits stratégiques du système, à l’insu de l’utilisateur.

Dans ces conditions, et compte tenu que toutes les applications ne proviennent pas de l'App Store, Apple a donc conçu SIP (System Integrity Protection).

Le but est donc de renforcer davantage la protection du système macOS, avec l’interdiction de modifier certains fichiers ou processus au niveau « root », à la racine du système.

Grâce à SIP, Apple bloque ainsi l’accès de certains dossiers les plus importants pour les protéger, ces dossiers étant, à l’évidence, facilement visés et attaqués par des pirates.

De ce fait, les dossiers /System ; /bin ; /usr ; /sbin seront interdits d’accès, même à l’utilisateur root.

 

AVANTAGES DE SIP

Avec la mise en place de SIP, l’introduction d’un virus ou d’un malware au sein de macOS afin d’en modifier le comportement est désormais rendu beaucoup plus compliqué.

Même l’utilisateur « root », administrateur, qui avait jusqu’alors tous les droits sur le système de fichiers et l’exécution de processus, ne pourra plus y accéder.

Essayez de « bidouiller » sur votre machine, et le système pourra vous afficher « permission denied » (« permission refusée ») ou « Operation non permitted » (« Opération non-permise »), malgré vos droits d’administrateur.

  • En principe, l’utilisateur lambda ne travaillera pas tout le temps en tant qu’utilisateur root. Il pourra ponctuellement s’octroyer ce droit en tapant des lignes de commandes dans le Terminal via la commande sudo.
  • D’ailleurs, les applications non plus ne pourront pas accéder à « root ». De sorte que, pour finaliser leur installation, elles ne pourront plus intervenir au niveau du système afin d’injecter du code pour faire certaines modifications. Pour cette raison, ces applications vous demanderont alors de désactiver SIP afin de leur permettre de procéder à ces modifications pour rajouter leurs fichiers.

Le but d’Apple étant de protéger l’utilisateur contre des attaques éventuelles qui pourraient contrôler sa machine, la désactivation de SIP est fortement déconseillée. C'est une porte ouverte aux attaques, ce qui risquerait alors de fragiliser le système macOS.

Avec SIP, Apple cadenasse donc le système tout entier.

 

DÉSACTIVER SIP

Il existe cependant un moyen de désactiver SIP (pour les développeurs et les bidouilleurs impénitents).

Pour cela :

  • Redémarrez le Mac en mode « Recovery » en maintenant les touches cmd+r enfoncées
  • Le démarrage terminé, la fenêtre Utilitaires macOS s’affiche. Cliquez sur le menu Utilitaires, en haut à gauche, pour ouvrir le Terminal
  • Dans la fenêtre bash suivante, saisissez la commande csrutil disable
  • Validez avec la touche Entrée (↵)
  • Attendez que le Mac redémarre.

Accès au TerminalAccès au Terminal

Commande bashCommande bash

 

Une fois l’installation de vos logiciels terminée, pensez à réactiver SIP afin de protéger votre machine contre toutes attaques insidieuses.

Pour cela, refaites les mêmes étapes, mais saisissez cette fois-ci csrutil enable dans le Terminal.

 

CONCLUSION

Gardez en tête que pour protéger ses données et son matériel, il est indispensable de prendre quelques précautions. Apple l'a compris et s'en charge pour vous.

Faites-lui confiance !

 

PARTAGEZ CET ARTICLE 🙂
Vous avez aimé cet article ? Partagez-le avec vos collègues ou amis.

Merci