Comment désactiver la protection de l’intégrité du système (et pourquoi vous ne devriez pas)
Chaque nouvelle version du système d’exploitation de bureau d’Apple semble imposer plus de restrictions aux utilisateurs que la précédente. La protection de l’intégration du système (ou SIP en abrégé) est peut-être le changement le plus important à ce jour.
Introduit dans OS X 10.11 El Capitan, SIP limite la capacité de l’utilisateur à modifier complètement certains dossiers. Alors que certains ont dénoncé la dernière technologie de sécurité d’Apple comme un moyen de retirer le contrôle aux utilisateurs, elle existe pour une bonne raison.
Il n’y a absolument aucune raison de le désactiver (mais nous vous montrerons comment le désactiver si vous le souhaitez vraiment).
Qu’est-ce que la protection de l’intégrité du système ?
SIP est une fonction de sécurité conçue pour protéger les parties les plus vulnérables du système d’exploitation.En bref, il peut même bloquer les utilisateurs ayant un accès root (via
sudo
commande) de modifier un emplacement sur la partition principale. Il est conçu pour assurer la sécurité des utilisateurs de Mac, tout comme les restrictions logicielles introduites par Gatekeeper auparavant.
Cela peut être en réponse au nombre croissant de menaces de logiciels malveillants Mac qui mettent votre Mac en danger. Les Mac sont désormais une cible plus importante pour les logiciels malveillants qu’à l’époque où Apple s’appuyait sur les campagnes « Je suis un Mac, je suis un PC ». Il n’est pas difficile de trouver des rançongiciels, des logiciels espions, des enregistreurs de frappe ou de simples logiciels publicitaires ciblant les plates-formes Apple.
Faire une vidéo du jour
SIP protège plusieurs zones principales du disque où le système d’exploitation est installé, y compris
/système
,
/poubelle
,
/sbin
,
/usr
(mais non
/usr/local
).quelques liens symboliques de
/ETC
,
/tmp
et
/var
est également protégé, bien que le répertoire cible lui-même ne soit pas protégé. Les mesures de sécurité empêchent les processus qui ne disposent pas de privilèges suffisants, y compris les utilisateurs administrateurs disposant d’un accès root, d’écrire dans ces dossiers et les fichiers qui y sont stockés.
La technique empêche également d’autres opérations « risquées » telles que l’injection de code. Apple craint que des modifications apportées à ces parties du système ne mettent votre Mac en danger et n’endommagent le système d’exploitation. Le verrouillage de l’accès administrateur root protège votre Mac des commandes de niveau sudo qui sont exécutées à la fois à distance et localement.
Alors pourquoi le désactiver ?
Lorsque la fonctionnalité a été introduite pour la première fois, certaines applications qui dépendaient de la modification de certains dossiers ou fichiers système protégés ne fonctionnaient plus. Il s’agit souvent de modifications assez « intrusives » qui modifient la façon dont de nombreux éléments de base du système d’exploitation et les applications propriétaires s’exécutent. Certains outils de sauvegarde et de restauration, ainsi que des applications spécialisées dans la gestion des comportements d’autres appareils, sont également concernés.
Si vous souhaitez travailler avec un logiciel qui s’appuie sur cette modification, vous devrez d’abord désactiver SIP. Si une application ne dispose pas des autorisations requises, il n’y a aucun moyen de faire une exception. Cela a conduit à spéculer que le changement affectera les petits développeurs, qui n’ont pas le moyen de travailler avec Apple pour s’assurer que leur logiciel continue de fonctionner.
Bien que cela puisse être vrai, de nombreuses applications qui ne fonctionnaient pas à l’origine sous El Capitan ont maintenant été réécrites pour le faire. Bartender est l’une de ces applications qui permet d’organiser les icônes de la barre de menus de votre Mac. Le barman d’origine ne fonctionne qu’avec OS X 10.10 et versions antérieures, tandis que Bartender 2 fonctionne avec El Capitan et versions ultérieures. Default Folder X est un autre ajustement conçu pour améliorer les boîtes de dialogue d’ouverture et de sauvegarde et doit être complètement réécrit pour El Capitan et les versions ultérieures. Cela fonctionne parfaitement maintenant.
Toutes les applications n’ont pas été complètement réécrites et certaines nécessitent encore que SIP soit désactivé pour fonctionner. Heureusement, il s’agit généralement d’un arrangement temporaire, tel que Winclone. Cette solution de clonage et de sauvegarde Boot Camp nécessite que l’utilisateur désactive SIP afin d’écrire dans les zones protégées du lecteur. La fonctionnalité peut être réactivée ultérieurement.
SwitchResX est une autre application de ce type qui nécessite la désactivation de SIP. Il fournit un contrôle amélioré sur les écrans externes, qui dépendent de la résolution spécifique spécifiée dans le fichier protégé. Une fois la configuration affichée, l’utilisateur peut restaurer SIP jusqu’à ce qu’une autre modification soit nécessaire. D’autres applications telles que XtraFinder (et bien d’autres qui modifient l’apparence et la fonctionnalité du Finder) nécessitent une solution de contournement par injection de code pour activer cette fonctionnalité (à l’aide de la commande
activer csrutil
).
À la suite de ce changement, certaines applications ont complètement cessé de se développer. D’autres conseillent aux utilisateurs de ne désactiver que temporairement SIP, puis de le réactiver. La clé ici est de se lasser des applications, des applications intégrées ou des fonctionnalités (comme Finder, Spotlight ou le dock) qui modifient l’apparence ou le comportement de votre système avant de l’acheter. La plupart du temps, une recherche rapide sur Google ou un coup d’œil à la FAQ suffira.
Comment désactiver la protection de l’intégrité du système
Si vous décidez de désactiver SIP, sachez que votre Mac est techniquement aussi sécurisé qu’il exécute OS X 10.10 Mavericks. Vous devez toujours fournir un accès root pour écrire dans certaines zones du lecteur, ce qui nécessite des privilèges d’administrateur. Si vous décidez de réactiver SIP ultérieurement, vous pouvez également le réactiver facilement.
plus Les utilisateurs Mac n’ont jamais besoin de désactiver SIP. De plus, à moins que vous ne soyez bloqué, cela vaut la peine d’activer la fonctionnalité. Si vous devez apporter des modifications à des dossiers protégés ou utiliser un logiciel dépourvu d’autorisations :
- En cliquant sur le logo Apple dans le coin supérieur gauche et en sélectionnant redémarrer.
- appuyez et maintenez Commande + R Lorsque votre Mac démarre en mode de récupération.
- Après le démarrage de votre Mac, accédez à utilitaire et commencer Terminal.
- Tapez csrutil disable et cliquez sur Entrer.
- Redémarrez votre Mac normalement.
Terminé!Vous pouvez facilement réactiver la fonctionnalité en redémarrant en mode de récupération, démarrer Terminal et dactylographie
csrutil clair
Appuyez ensuite sur Entrée.
Avez-vous désactivé SIP ?
Peut-être êtes-vous prêt à risquer de désactiver SIP. Peut-être préféreriez-vous qu’Apple ne dicte pas ce que vous pouvez et ne pouvez pas changer. Peut-être que l’application doit désactiver SIP. Ou, vous êtes quelqu’un qui aime peaufiner les systèmes. Si vous avez désactivé la fonctionnalité, nous aimerions savoir pourquoi.
Il y a très peu de raisons de désactiver la fonction jusqu’à ce que vous en voyiez le besoin. Gardez à l’esprit que la réinstallation de macOS peut réactiver la fonctionnalité. Il est également probable qu’Apple continuera à introduire des fonctionnalités de sécurité et des contrôles d’autorisation à chaque nouvelle version de macOS.
SIP ou pas SIP ? Faites-le nous savoir dans les commentaires ci-dessous.
Crédit d’image : Issarawat Tattong via Shutterstock.com
A propos de l’auteur
