macOS a considérablement changé avec la sortie de 10.11 El Capitan et l'introduction de la protection de l'intégrité du système, ou SIP en abrégé. C'est une mesure de sécurité qui a eu des implications assez importantes pour le système d'exploitation en 2015.
De nos jours, la plupart d'entre nous se sont adaptés à un macOS post-SIP. Mais vous vous demandez peut-être encore ce que c'est, ce qu'il fait exactement et pourquoi il vaut mieux le laisser tranquille.
Jetons donc un coup d'œil à SIP, à quoi il sert et pourquoi il a vu le jour en premier lieu.
En termes simples, la protection de l'intégrité du système est une mesure de sécurité introduite par Apple pour protéger certaines parties de votre installation macOS et de vos processus de base, et pour vérifier les extensions de noyau tierces. Il protège activement certaines parties de votre système contre les modifications et bloque l'installation d'extensions non sécurisées.
Bien que SIP soit activé, certaines zones sont entièrement interdites au nom (sans surprise) de la protection de l'intégrité de votre système. Vous pouvez obtenir certains privilèges via le programme de développement d'Apple, permettant aux logiciels signés d'effectuer des actions telles que l'installation de pilotes.
SIP est invisible et fonctionne entièrement en arrière-plan. Ce n'est pas la même chose que Gatekeeper, l'autre fonctionnalité de sécurité d'Apple qui bloque l'installation de logiciels tiers non signés. Mais cela fait certainement partie de la tendance soucieuse de la sécurité qui a vu Apple introduire la technologie, anciennement connue sous le nom de File Quarantine.
SIP protège votre Mac des ingérences indésirables. C'est une fonctionnalité de sécurité qui est apparue face à une menace croissante de malware macOS. Fini le temps des slogans marketing d'Apple "Je suis un PC" qui prétendent que le système est pratiquement à l'épreuve des balles.
Les logiciels malveillants Mac existent ; il y a eu de nombreux cas documentés allant du simple "ransomware" JavaScript aux logiciels malveillants omniprésents qui tentent de voler votre mot de passe administrateur. SIP et Gatekeeper ne vont pas plus loin dans la protection contre ces menaces. Les dangers du Mac sont un vrai problème, en particulier lorsqu'il s'agit de technologies de navigateur telles que le plug-in Java et Adobe Flash.
Apple a noté qu'une grande partie de la menace pour macOS (alors OS X) provenait du fait que la plupart des ordinateurs Apple utilisent un seul compte d'utilisateur avec des privilèges d'administrateur. Avoir un accès administrateur (root) à votre ordinateur offre une autonomie, mais avant SIP, cela conduisait certains utilisateurs à approuver involontairement l'installation de logiciels malveillants.
En bref :votre Mac n'est pas à l'abri, même de vous-même. En limitant ce que l'accès root peut faire, Apple construit efficacement une barrière entre vous et les parties les plus sensibles de votre système. L'effet secondaire de cette approche est que vous n'avez plus le contrôle total, en particulier en ce qui concerne l'apparence et le comportement de l'application.
Ce resserrement de l'emprise d'Apple sur macOS a conduit certains utilisateurs à se plaindre que la plate-forme suit de trop près les traces de la plate-forme mobile d'Apple, iOS. En revanche, iOS est la plate-forme mobile la plus sécurisée du marché. L'approche a donc un certain mérite.
SIP affecte les répertoires, les processus et les extensions du noyau. Cela signifie que vous ne pouvez pas modifier les répertoires suivants :
La plupart de ces répertoires ne sont même pas visibles, donc la protection vise principalement à empêcher les programmes tiers d'écrire dans ces zones. Cela inclut également la possibilité d'apporter des modifications aux fichiers système principaux, ce qui signifie moins de personnalisation que macOS pré-SIP.
Les utilisateurs et les applications tierces peuvent toujours apporter des modifications aux répertoires suivants :
SIP protège également la plupart des applications installées avec macOS contre les interférences.
Enfin, les extensions de noyau tierces (y compris les pilotes) doivent désormais être signées avec un identifiant de développeur Apple. Votre Mac ne démarrera pas si des extensions de noyau non signées sont présentes.
Au cours des quelques années qui ont suivi l'introduction de SIP, les développeurs et les utilisateurs se sont adaptés au verrouillage de certains composants du système. De nombreux développeurs ont réécrit des applications à partir de zéro pour travailler avec SIP. Beaucoup d'autres ont été lancés depuis et s'adaptent déjà aux restrictions d'Apple.
Toutes les applications du Mac App Store doivent fonctionner avec SIP afin d'obtenir l'approbation d'Apple. La grande majorité des applications tierces fonctionnent également très bien. Il existe quelques exceptions comme Winclone, qui nécessite toujours la désactivation (puis la réactivation) de SIP afin de remplir sa fonction d'outil de clonage Boot Camp.
Bien qu'il existe de nombreux petits ajustements Mac pratiques pour réparer à peu près tout ce qui est encore disponible, les ajustements profonds du système ne sont pour la plupart plus viables. Par exemple, les applications de thème conçues pour modifier les couleurs, l'apparence et la convivialité du Finder reposaient sur l'injection de code, ce que vous ne pouvez plus faire. Ces applications ne sont plus viables sans créer quelque chose de nouveau à partir de zéro.
En fin de compte, cependant, le logiciel n'est pas affecté à moins que le développeur ne le signale spécifiquement. Si tel est le cas, il peut être utile de rechercher une application différente pour effectuer la même tâche. SIP existe pour vous protéger. Pour la grande majorité des utilisateurs qui voient macOS comme une base fonctionnelle avec laquelle travailler, cela vaut la peine de vivre avec ces contraintes.
Si vous voulez vraiment désactiver SIP, vous pouvez le faire en redémarrant dans la partition de récupération de votre Mac (maintenez Cmd + R au démarrage), puis en utilisant le csrutil utilitaire de ligne de commande. Consultez notre guide complet pour désactiver SIP, mais nous vous recommandons de le réactiver lorsque vous avez terminé de bricoler.
Il convient également de souligner que votre ordinateur réactivera SIP chaque fois que vous mettrez à jour votre système d'exploitation ou effectuerez une mise à niveau vers une nouvelle version de macOS. Vous pourriez aussi bien le laisser allumé et le contourner, car il est là pour rester.
Les efforts d'Apple pour sécuriser macOS lui ont permis de bénéficier d'un excellent dossier de sécurité. Construit sur une base Unix, macOS offre la convivialité et l'approche de la confidentialité des utilisateurs d'Apple. Il est complété par une base solide comme le roc et un accent sur la sécurité.
Étant donné que les nouveaux logiciels sont conçus avec SIP à l'esprit, seuls les anciens logiciels, les ajustements approfondis au niveau du système et l'étrange application tierce de niche nécessiteront que vous les désactiviez.
En fin de compte, il s'agit d'une fonctionnalité de sécurité, qui suit les sensibilités de conception d'Apple pour la plate-forme macOS. Étant donné que l'utilisation du système d'exploitation d'Apple est l'une des principales motivations pour acheter un Mac, cela n'a pas beaucoup de sens de désactiver une fonctionnalité comme celle-ci.