Suivez-nous

Système

El Capitan ne répare plus les autorisations

Arnaud

Publié le

 

Par

Capture_daEUR_TM_A_c_cran_2015-10-05_A_15-38-03.jpg

Parmi les nouveautés de El Capitan, l’une n’a pas fini d’étonner et d’interroger les utilisateurs avertis des différentes versions du système d’exploitation OS X : El Capitan intègre, au rang des nouveautés sécuritaires, une protection des autorisations sur les fichiers présents. Il n’est donc désormais plus nécessaire de recourir à cette vérification, si l’on constate des problèmes fonctionnels sur son Mac.

Permission refusée !

« À partir de El Capitan, les permissions des fichiers système sont protégées automatiquement. Il n’est plus nécessaire de réparer ou vérifier les autorisations avec l’Utilitaire de disque», prévient Apple.

Un changement d’habitude notable pour ceux qui avaient l’habitude de recourir à cette fonction au moindre problème. Elle n’avait, il est vrai, plus la même utilité depuis plusieures itérations d’OS X, alors qu’elle était cruciale dans les premières versions.

La fonctionnalité, d’ailleurs, a disparu de l’Utilitaire de Disque, mais également de la commande Terminal Diskutil, alors qu’elle restait présente dans les premières bêta de El Capitan. Avec El Capitan, les permissions des fichiers systèmes sont bloquées, et ne peuvent être modifiées. Elles sont vérifiées lors de chaque mise à jour, et uniquement à ce moment.

System Integrity Protection

El Capitan pousse la sécurité plus loin que jamais sur OS X. Au désormais (et parfois tristement) célèbre SandBoxing, Apple ajoute le SIP (System Integrity Protection), de nouvelles restrictions à l’accès, ou aux modifications des fichiers clefs d’OS X. Les répertoires

  • /bin,
  • /sbin
  • /usr
  • /System
  • les applications installées par défaut par Apple

sont ainsi protégés contre les modifications des administrateurs – y compris root – des applications ou des processus. /usr/local reste, lui, accessible.

Pour vérifier l’état du SIP sur votre machine, une commande terminal sera utile : csrutil status qui retournera la valeur “enabled” si le SIP est actif.

Une telle protection vise, évidemment, à éviter que des chevaux de Troie ne profitent d’un installeur d’apparence légitime pour se glisser dans le système. C’est désormais impossible. À moins de désactiver le SIP au démarrage de la machine, en mode Recovery. Pas nécessairement recommandé !

De même, les extensions kernel (kexts), si elles restent possibles, doivent désormais être signées par un développeur disposant d’un certificat Apple valide pour fonctionner.

C’est encore le SIP qui bloque le changement de volume de démarrage, et le conditionne à la saisie d’un mot de passe administrateur.