macOS Sierra, le prochain OS d’Apple, devrait renforcer la sécurité de Gatekeeper (introduit avec Mountain Lion et porté sous Lion) en empêchant de lancer une application non signée. Mais il est possible (avec la bêta) de revenir à l’ancien comportement.
Actuellement – et depuis Lion 10.7.5 -, trois choix existent : limiter aux applications du Mac App Store, limiter aux applications signées ou ne pas limiter. Avec macOS Sierra, dans la majorité des cas, le dernier choix disparaît.
Ca implique une chose : les applications qui ne sont pas signées ne peuvent pas être lancé. Il s’agit typiquement des anciens logiciels, parfois utiles, mais aussi (c’est important de s’en rendre compte) de certains malware ou programmes modifiés. Dans l’absolu, ça ne pose pas réellement de soucis : les logiciels de ce type deviennent rares.
Truc à savoir, le choix ne disparaît dans tous les cas : il reste actif dans un cas précis. Si vous aviez coché ce choix sous un ancien système et que vous effectuez une mise à jour vers macOS Sierra, il reste actif.
Donc, sous macOS Sierra, il suffit de lancer cette commande pour activer le choix « N’importe où ». La commande active directement l’option, pas besoin de redémarrer.
sudo spctl --master-disable
Avant
Après
Attention quand même, je suppose que Sierra – comme Yosemite et El Capitan – va modifier la valeur automatiquement tous les mois.
S’il reste possible de faire un clic-droit > ouvrir pour court-circuiter Gatekeeper alors peu importe la disparition de l’option dans les préférences, non ?
C’est pas très pratique quand on a un logiciel qui nécessite ça a chaque fois, même si c’est plus sûr question sécurité.
La manipulation clic droit > ouvrir n’est nécessaire qu’à la première ouverture d’une application, le système se rappelle que l’application est autorisée. C’est stocké dans un attribut HFS+ étendu appelé com.apple.quarantine. CF http://www.bu.edu/infosec/howtos/bypass-gatekeeper-safely/
Que les options de ce type – plutôt pour devs et power users – passent du GUI à la CLI pour macOS, ça va — il faudrait tout de même un bouton ‘Power user mode’. Qu’Apple fasse passer la pilule du bridage proprio sous le costard d’une sécurité bidon* [depuis OS X Mountain Lion avec Gatekeeper jusqu’à macOS avec ça en passant par El Capitan avec la SIP], ça suffit. Je prends le risque de ne plus mettre à jour l’OS sauf s’il y a une faille de sécurité monstrueuse.
Gatekeeper et la SIP, à la rigueur, pourquoi pas ? Android a un ‘Unknown sources’ switch et BlackBerry bien plus drastique que la SIP. C’est suffisant, étant déjà bidon dans la mesure où un OS bien sécurisé et dont cette sécurité est bien implémentée n’aurait pas besoin de ces switches rébarbatifs [pas toujours désactivables avec un simple shell script de configuration, manque de docu].
macOS est loin d’être le pire OS niveau sécurité mais tout aussi loin d’être le meilleur. On a eu plus d’implémentation de nouveaux services proprios d’Apple que de fixes concrets (c’est-à-dire au-delà des simples bug fixes ou changes d’un GUI vendu à l’état de prototype et de fixes de sécurité de dernière minute) depuis 2011, ça soulève quand même quelques questions. La sécurité obscurantiste par bridage et lockdown se transforme en prison de vulnérabilité pour l’user dès le moment où il y a le moindre exploit. Quand on voit des tpwn (https://github.com/kpwn/tpwn) fleurir çà et là sur Internet, c’est à se faire dans le froc. D’autant que ça ne tend qu’à empirer avec l’explosion de l’informatique accessible [Raspberry Pi, Kali Linux etc] et la population humaine croissante.
Disons que pour l’instant, on peut désactiver rootless et Gatekeeper. L’avenir nous dira si Apple tente le coup de la grenouille dans la marmite mais éthiquement parlant, ils se foutent de la gueule du monde.
* Il suffit de voir le nombre de patches d’exploits filant des kernel privileges. https://support.apple.com/en-us/HT206903
Svp j’ai une question à poser
je voudrais juste savoir avant d’effectuer la mise à jour macOs Sierra, est ce que je vais perdre les logiciels que j’ai installé avec crack ou keygen auparavant?