J’avoue, j’ai un peu hésité avant de faire ce post (et ce mauvais jeu de mot). Je trouve que le SIP (System Integrity Protection) est une nouveauté intéressante d’El Capitan et qu’il peut éviter quelques problèmes chez un utilisateur lambda. Mais j’ai d’une part la faiblesse de croire que vous n’êtes pas des utilisateurs lambda, et d’autre part j’ai dû désactiver le SIP pour diverses raisons, donc je suppose que je ne dois pas être le seul.
Le SIP, c’est quoi ? L’article d’Ars Technica l’explique bien, mais je vais simplifier rapidement (corrigez-moi si je me trompe). Jusqu’à Yosemite, un utilisateur administrateur (je passe l’utilisateur classique) pouvait élever ses droits en utilisant la commande sudo (ou en tapant son mot de passe, quand le système le proposait) et devenir ce qu’on appelle l’utilisateur root, c’est-à-dire l’utilisateur qui a tous les droits. Typiquement, écrire dans un dossier système, modifier un pilote (une méthode souvent utilisée dans les posts du blog), supprimer une application préinstallée, etc.
Avec le SIP d’El Capitan (un temps appelé rootless), cette possibilité n’existe plus. Impossible de supprimer le jeu d’échec (au hasard) ou d’aller modifier un pilote nVidia pour prendre en charge manuellement le Thunderbolt (encore au hasard). Ce n’est globalement pas trop un problème, surtout que l’avantage évident du SIP, c’est que si vous êtes incapables de modifier un fichier système… un éventuel malware sera tout aussi incapable de le faire.
L’autre fonction du SIP, franchement plus gênante, vient du fait que la signature des pilotes devient obligatoire. Avec Yosemite, une ligne de commande permettait de passer outre la signature des pilotes, ce qui permettait d’une part d’utiliser des pilotes modifié (comme des pilotes nVidia en Thunderbolt) et d’autre part d’utiliser des pilotes « officiels » qui n’étaient pas signés par les développeurs du matériel. Avec El Capitan, impossible de passer outre la signature des pilotes sans désactiver le SIP. C’est bien plus gênant que la protection des fichiers, pour la bonne et simple raison que pas mal de pilotes d’interfaces audio et de matériel en général ne sont pas signés.
Si jamais vous êtes dans ce cas-là (et pas si vous avez essayé d’économiser 3 € en commandant un adaptateur Ethernet noname), il est possible de désactiver le SIP. Franchement, je ne vais pas vous le conseiller, sauf si vous avez une bonne idée de ce que vous faites. Si le SIP ne vous bloque pas, ne le désactivez pas : c’est une nouveauté intéressante, même si elle enferme encore un peu plus OS X dans un carcan.
La méthode ? Redémarrez sur la partition de restauration (touche cmd + R au démarrage), lancez le Terminal (via le menu Utilitaires) et tapez la commande suivante.
csrutil disable
Ensuite, redémarrez OS X et tout devrait fonctionner comme avant. Attention, le SIP n’est pas lié à un disque précis, les paramètres sont stockés en NVRAM, donc il reste activé (ou désactivé) même après un changement de disque ou un formatage. De même, démarrer sur un disque externe sous El Capitan ne vous donnera pas les droits pour modifier les fichiers protégés par le SIP sur un disque interne (mais ça marche avec un disque externe sous Yosemite).
Pour terminer, le SIP pose encore quelques soucis actuellement mais on peut supposer qu’à terme, les utilitaires passeront par des méthodes « validées » par Apple pour effectuer leurs tâches, même si certains disparaîtront sûrement, au grand désespoir de leurs utilisateurs.
Utilisant XtraFinder, j’ai été obligé de virer le SIP pour le faire fonctionner.
Bonjour,
Désactiver le SIP sous Le Capitan m’a permis d’activer le TRIM sur mon SSD, sans aucun problème.
J’ai bien entendu réactivé le SIP une fois le TRIM activé.
Très bonne journée.
Dans la scène hackintosh, il y a un utilitaire qui semble permettre de modifier les différentes protections SIP indépendamment les unes des autres et de laisser les autres en place. Cet utilitaire se nomme SIPUtility.app. Je l’ai téléchargé mais pas encore testé. Il pourrait te permettre d’activer CSR_ALLOW_UNTRUSTED_KEXTS mais de laisser la protection des applications, de debugger, de dtrace…
Bien cordialement
@JC
Pourtant avec la commande à taper dans le terminal, j’ai pu le faire sans devoir désactiver le SIP :-).
sudo trimforce enable de mémoire.
BàV
@DarkAngel5666
C’est un peu surprenant, sauf -je me souviens bien- si tu avais déjà procédé de la sorte avec Yosemite…
TrimEnabler le désactive ?
Non, TrimEnabler ne peut pas techniquement le faire
Je complète mon commentaire en citant ma source: Vous et Votre Mac d’octobre précise que » l’installation que nous avions faite sous Yosemite 10.10.4 était toujours fonctionnelle après installation de la bêta Developpeur. Il n’y a donc pas à relancer la commande a priori »
Mon SSD avait le TRIM installé sous Mavericks avec Trim Enabler, El Capitan l’a désactivé et la manip avec le terminal ne pose aucun problème en prenant tranquillement son temps.
La manip officielle d’Apple est plus propre et évite de se retrouver avec un Mac planté, ça aide.
Pas mal d’utilitaires vont effectivement passer à la trappe… Personnellement j’ai désactivé SIP pour pouvoir réutiliser le vénérable mais néanmoins excellent Finderpop, mais je ne me fais guère d’illusions pour l’avenir, du propre aveu du développeur…
Si quelqu’un a une idée d’un remplaçant, fonctionnant avec le SIP, au moins pour naviguer/copier/déplacer rapidement via des menus déroulants dans mes différents DD par un clic secondaire, je suis preneur.
Lorsque je tape la commende dans Terminal, je reçois le message suivant (bash: csrutil: command not foud) quelque un peu dire me dire pourquoi. J’ai la dernière version d’El Capitan ! Merci
Après désactivation du SIP en recovery et reboot la commande csrutil status me donne : enabled (Custom Configuration).
Cela signifie que SIP est toujours activé ?
Non, normalement il doit indiquer en dessous que tout est désactivé
En effet, il indique bien en-dessous que tout est désactivé.
Merci.
Bonjour
Imac version el capitan 10.11.2 (15C150)
Desactivation du sip en recovery et redemarrage de mon appareil
Sip toujours actif avec cette derniere version el capitan
Apple verouille de plus en plus son system au fil des mises a jour
Si une parade existe je prends
Bonjour,
voulant désactiver ce sip, j’ai suivi les instructions mais voici le problème.
Je tape « csrutil disable » MAIS » csrutil disqble » s’affiche.
Le a devient q.
J’ai changé de clavier rien n’y fait.
Avez-vous une explication ?
Merci
Brianjaune
Par défaut, c’est en clavier qwerty, donc le q devient a
Merci beaucoup pour la rapidité de la réponse (et la pertinence.)
Bonjour et merci pour cet article.
Y a t-il une procédure pour désactiver le SIP à partir d’un Hackintosh ?
Merci
Aucune idée
Bonjour,
et merci pour cet article très clair.
J’ai désactivé le SIP sans problèmes de sorte à pouvoir utiliser pleinement Handbrake.
Seulement voilà, après une nuit de travail j’ai retrouvé bloquées toutes les applications système (du genre Préférences), les utilitaires (Terminal, Disk utilities) ainsi que Mail et l’apple store…
J’ai tenté toutes les manoeuvres classiques, y compris rétablir le SIP en mode recovery (puisque je n’accède plus au terminal), rétablir mes droits sur les applis en tapant mon mot de pass admin… Rien n’y fait (et le blocage à l’ouverture perdure en mode sans échec). Je subodore un problème de permissions car j’ai vu apparaître dans mes comptes utilisateurs un « root » associé au groupe « wheel » auquel j’ai donné tous les droits, sans plus de succès. Avec ou sans SIP, je suis dans l’incapacité d’ouvrir tous ces outils…
Je venais d’upgrader depuis Snow Leopard mais jusque ici El Capitan fonctionnait très bien.
Une idée ?
Avec mes remerciements
CG
Bonjour,
Je n’arrive pas à accéder au mode recovery pour désactiver le SIP même en faisant cmd + r au démarrage . Cela m’affiche un écran gris avec un signe d’interdiction. Je précise que je suis sous OS X el calpitan 10.11.6 et que c’est un mac book pro mi-2009 13 pouces.
En vous remerciant
Sur un 2009, il faut peut-être presser alt pour afficher la liste des partitions
Re-bonjour,
Si j’ai bien compris, il faut presser cmd + alt + r.
Bien cordialement