Non, la puce T2 n’empêche pas d’installer Linux
La polémique est apparue hier, quand le site Phoronix a publié un article indiquant que la puce T2 des Mac récents bloquerait toute installation de Linux. Depuis, l’information a fait le tour de quelques sites, alors même qu’elle n’est pas nouvelle et qu’elle est en grande partie fausse. Non, la puce T2 n’empêche pas d’installer une distribution GNU/Linux, même si l’utilisateur doit désactiver une partie de ses fonctions de sécurité pour y parvenir.
L’iMac Pro, les MacBook Pro 13 et 15 pouces de 2018, le nouveau MacBook Air et le nouveau Mac mini sont tous équipés d’une puce ARM, nommée Apple T2. Celle-ci se charge globalement de la sécurité du système, à la fois en gérant le SSD chiffré à la volée, en contrôlant plusieurs aspects du matériel et en particulier la webcam ou le microphone, et aussi en vérifiant au démarrage que le système d’exploitation n’est pas corrompu. C’est cette dernière fonction, nommée Secure Boot, qui pose problème.
Par défaut, Secure Boot n’accepte que deux systèmes d’exploitation : macOS évidemment, ou bien Windows 10 via BootCamp. Les distributions Linux ou tout autre système d’exploitation ne pourront pas être installées, la puce T2 bloquant au démarrage ce qui pourrait être une copie malveillante de macOS chargée de récupérer vos données à votre insu. C’est une mesure de sécurité et l’utilisateur peut la désactiver.
Nous avions détaillé la procédure en début d’année, dans notre série de tests de l’iMac Pro. Ce n’est qu’une option à décocher, mais étant donné qu’il s’agit d’une protection de bas niveau, il faut redémarrer le Mac sur la partition de restauration et saisir le mot de passe administrateur de la machine, par sécurité. Néanmoins, vous pouvez désactiver totalement Secure Boot et installer alors n’importe quel système d’exploitation.
Phoronix note que certains témoignages semblent indiquer que l’option ne changerait rien et qu’installer Linux ne serait toujours pas possible sur les Mac avec T2. Nous avions réussi à le faire sans encombre sur notre iMac Pro de test, peut-être qu’il y a un bug sur d’autres Mac, mais ce n’est pas une raison pour en tirer une conclusion générale. Apple a placé cette option parce que le constructeur sait pertinemment que c’est un besoin de certains utilisateurs avancés et il n’y a pas de raison que Secure Boot ne puisse pas être totalement désactivé.
Cette possibilité est réservée aux utilisateurs les plus avancés, pour une bonne raison. Cette protection est une très bonne chose dans l’écrasante majorité des cas, elle permet d’assurer aux utilisateurs que c’est bien une copie légitime de macOS ou de Windows 10 qui est installée, et non un clone malveillant. Une critique plus légitime pourrait être que l’on devrait pouvoir garder le démarrage sécurisé tout en installant une distribution Linux, mais cela ne dépend pas que d’Apple.
Peut-être que que certaines distributions populaires, comme Ubuntu, se mettront d’accord avec Apple pour entrer dans le cadre du Secure Boot de la puce ARM des Mac. En attendant, il n’y a effectivement pas d’autre solution que de diminuer la sécurité des Mac si vous voulez installer un autre système d’exploitation.
Pour finir, signalons qu’Apple n’est pas la seule entreprise à sécuriser ainsi ses ordinateurs. Microsoft fait exactement la même chose et installer Linux sur les Surface récentes nécessite également de modifier les paramètres de démarrage pour désactiver les vérifications en place dans l’UEFI. C’est une pratique qui va très certainement se généraliser à l’avenir, mais Apple est, comme souvent, en avance dans ce domaine…
Pareil dans les bios UEFI, il faut désactiver secureboot pour booter sur ce que l’on veut sur PC de constructeur
@reborn
Pas forcément, les grandes distributions GNU/Linux le supporte parfois.
Par simple curiosité, il y a des articles qui traitent en profondeur la puce T2, notamment si c'est vraiment le processeur A10 et à quel point il est modifié.
@fousfous
Je suis également preneur d’information complémentaire. :)
@fousfous
" Par simple curiosité, il y a des articles qui traitent en profondeur la puce T2, notamment si c'est vraiment le processeur A10 et à quel point il est modifié. "
De par son architecture et ses fonctions, la puce T2 ressemble fort à une puce Fritz ou TPM.
https://fr.wikipedia.org/wiki/Trusted_Platform_Module
Et en matière de puces, un grand danois en connaît un rayon !
Ouaf Ouaf Ouaf
La puce T2 est elle seulement un contrôleur ?
Non, la puce T2 fait office de super contrôleur mais dans les Mac Intel, elle n'est pas dimensionné pour faire tourner le système principal.
@Anthony Nelzin-Santos
SecureBoot me semble être une implémentation façon Apple des puces Fritz ?
Oui ou Non ?
Intéressant.
Mais franchement qui installe Linux sur un Mac ?
J’ai été Linuxien avant d’être sur Mac.
Mais franchement si je devais retourner sous Linux je me prendrai un Dell ou un Lenovo (ou autre).
Il reste les adeptes du multi-boot, OK. Personnellement je trouve ça insupportable car j’estime avoir besoin d’un Mac H24. Quand j’ai besoin d’un Linux :
- j’ai un Ubuntu virtualisé ;
- j’ai un Raspberry Pi dans un coin de mon bureau (que j’utilise sans interface graphique, en me connectant en ssh).
@lepoulpebaleine
Là dessus d’accord, mieux vaut un xps ubuntu ou n’importe quel pc qui traîne
Même installer Windows sur Mac je pige pas
@Dark Phantom
L’OS windows m’est indispensable dans le cadre professionnel. Je le fais tourner sous Fusion, parce que je préfère utiliser les outils natifs sur Mac pour le reste, mais je comprends que l’on veuille utiliser bootcamp en fonction du curseur des besoins, sans être obligé de se trimballer 2 bécanes
@Dark Phantom
Certains logiciels fonctionnent uniquement sur Windows, ça peut être compréhensible. Mais Linux...
@armandgz123
Je préfère avoir 2 pc un sous Linux un sur Windows et un Mac
Et si si il y a des logiciels qui fonctionnent mieux sur Linux
@Dark Phantom
Oui bon c’est sûr que si on a plusieurs ordinateurs, le soucis ne se pose même plus ^^
@Dark Phantom
"Là dessus d’accord, mieux vaut un xps ubuntu ou n’importe quel pc qui traîne
Même installer Windows sur Mac je pige pas"
Certains n'ont pas envie (le budget, la place, etc...) d'avoir plusieurs ordinateurs par exemple.A chaque personne ses besoins propres.
@alfatech
Oui oui je parle que de moi
Je ne suis pas le seul à avoir plusieurs ordinateurs (ni plusieurs macs)
pendant un moment, Apple a réussi à faire des machines vraiment à part et pour un prix relativement compréhensible.
Il était donc assez cool d'avoir un macbook sous windows. c'était bien.
ah si tu savais darkphantom ...
windows reste malheureusement indispensable
@Dimemas
Ah ben ça je sais bien, c’est pour ça que j’ai aussi un pc Windows
@lepoulpebaleine
Quand le Mac est vieux et que sous macOS cela rame voire que les versions les plus récentes ne tournent plus dessus
Bref quand le Mac n’est plus supporté et que les logiciels (Safari ou iTunes par exemple) ne peuvent plus être mis à jour
Alors vient du fin fond de l’univers pour nous sauver nous les hommes qui utilisent des vieux Mac le capitaine flamme (pas le DG de Space X avec son lance flamme, l’autre capitaine)
Et que fait il ?
Il installe Linux et notre Mac est de nouveau à jour et court comme aux premiers jours
@deltiox
Oui, enfin, un Linux léger donc
@Dark Phantom
Peut être (j’avoue ne pas trop savoir ce qu’est un Linux lourd ou leger)
Mais un système d’exploitation Linux à jour avec une belle réactivité pour les tâches les plus « courantes » sur un « vieux » Mac, telle était ma réponse au commentaire précédant qui demandait une raison d’installer Linux sur un Mac
d'expérience, une ubuntu récente reste parfaitement viable sur un mac de 2008/2009. Mettez y un ssd.
@oomu
Ça dépend du Mac
hein mais non n'importe quoi ...
oomu a raison là par contre
*chantonne Caaapitaine Linus*
@lepoulpebaleine
"Mais franchement qui installe Linux sur un Mac ?"
Les miséreux et les ingrats.
1. Les miséreux : trop mesquins pour accepter qu’un Mac dont Apple a décrété souverainement la date de péremption soient consigné au royaume des ombres.
Dans mon humble cas, par exemple, des Core2 Duo snobés par Leurs Cupertines Majestés, mais qui, une fois le pédestre Linux installé, rendent fier service pour ce que j’ai à faire en Anaconda (en gros R/RStudio, Python/Jupyter, Julia, SQL...). Ou en J. Ou en Clojure.
Ou en... bref, la liste n’est pas exhaustive.
2. Les ingrats : ceux qui s’entêtent à ignorer que RAM et SSD leur sont offerts, que dis-je, subventionnés par Apple, qu’ils peuvent en installer dans leur Mac autant qu’ils veulent, quand ils veulent, au fur et à mesure, et que par conséquent ils ont tout loisir de monter des machines virtuelles à volonté, sans subir aucune contrainte matérielle, notamment de stockage et de mémoire. (Raison qui fait que la virtualisation sur macOS aujourd’hui est l’épine dorsale d’internet et la plaque tournante du développement.)
@occam
Je connais aussi des « misèreux » qui achètent plein de pc pas cher pour faire de la virtualisation, ils récupèrent sur lbc, doivent en avoir des dizaines chez eux
@occam
Je reconnais bien ta plume Ô ccam !
Et j’ai donc :
- une réponse : Linux permet de conserver un « vieux » mac, décrété obsolète mais en ayant un système qui ne l’est pas (un Linux « raisonnable ») ;
- une remarque : nous avons des occupations commune (Anaconda, Python, etc.).
Du coup ça me donne envie de sortir du placard mon premier iMac (mid 2007) et voir ce que je peux en faire. Une distribution Linux à me conseiller ou au contraire à fuir compte tenu de l’âge de la bécane ?
@ lepoulpebaleine : « Linux permet de conserver un « vieux » mac, décrété obsolète mais en ayant un système qui ne l’est pas (un Linux « raisonnable ») »
L’obsolescence peut être vue sous plusieurs angles. Pour ma part, pour un usage sur une machine de bureau, je préfère tout de même un ancien Mac OS.
qui installe linux sur un mac
et bien effectivement, y a Oomu le Miséreux
comme vous le savez je suis Mesquin. C'est une de mes définitions parmi les moins haïssables.
J'ai donc un macpro 2009, récupéré avant qu'il soit jeté par une entreprise, qui me sert de noeud de calcul iray/cuda sous ubuntu. Marche top. Excellente ventilation, cpu qui peut bouffer sans fin des calculs, nickel. J'ai pu y mettre un gpu de la génération précédente de nvidia.
Cette machine est un Camion ! Solide, Robuste, Roule ma poule !
@oomu
Ah oui mais ça c’est un bon Mac
Il faudrait que le secure boot permette d'accepter des certificats tiers et pas simplement d'etre debrayes.
c'est cela, et qu'Apple soit flexible ? hérésie ! :)
Une chose est sûr, si j’ai un Mac avec une puce T2, je désactive le plus de chose...
@Yoskiz
Ça permet d'utiliser firevault sans ralentissement je crois.
@Yoskiz
FileVault est toujours utile oui, c’est juste que la clé de chiffrement utilisée par FileVault est désormais dérivée entre autres d’une clé hardware liée à la puce T2.
Concrètement ça signifie qu’extraire le SSD de la machine ne permet plus de bruteforcer le mot de passe (puisqu’il manquerait alors la clé de la puce T2).
C’est expliqué ici : https://www.apple.com/mac/docs/Apple_T2_Security_Chip_Overview.pdf
oui. cette puce bloque autant de foutre un système qui va laisser passer des méthodes brutes pour accéder aux données qu'elle s'occupe de chiffrer tout le stockage du mac sans que le CPU soit monopolisé.
Filevault EST une part intégrante de la chaîne. Puce - Chiffrage (filevault) - Os -> verrouillage de l'ensemble.
-
C'est tout autant un gain pour l'utilisateur (sécurisation des données et de leur accès) qu'une perte de contrôle (on peut pas faire n'importe quoi n'importe quand). Ce qui n'est pas du tout un soucis SI ET SEuLEMENT SI c'est l'utilisateur qui décide.
-
Apple comme toujours manque de flexibilité et il reste donc toujours préférable d'acheter du PC pour aller "plus loin" : on ne peut pas installer ses propres clés de systèmes d'exploitation (une distribution linux, un système maison, etc) dans le firmware du mac pour que la puce T2 verrouille l'ensemble avec Linux.
-
Cela dit. Je ne suis pas convaincu de la pertinence de Linux sur Mac.
Certes, le matériel peut être intéressant et de qualité. Mais une grande valeur ajouté d'un mac, c'est son intégration avec macOs.
Or, macOs est un unix solide. Typiquement, la quasi totalité des solutions Linux peuvent tourner sur Mac. La presque (je dis presque au cas où qqun me sort un rare cas) des projets, recherches, et autres outils académiques sur Linux sont compilables pour macOs. (bien que sur mac, faut s'assurer un peu plus qu'on a un ruby, python, lua, etc suffisamment à jour ou installer ces bases soit même).
On a un environnement unix solide avec macOs.
A mon sens, un vrai besoin "linux" sera mieux servi par un pc monté exprès pour.
-
reste ensuite la virtualisation.
@oomu
Bon par exemple (rien à voir avec les exemples que tu donnes mais justement pour compléter ) : Krita qui est un excellent logiciel est quasi impossible à utiliser sur macOS (bugs, arrêts inopinés etc) mais marche très bien sur Linux où il a été conçu
En effet
J’ai un ordi Zotac pour faire des tests et c’est pareil : on doit désactivé le secure boot pour installer Fedora ou Debian ou autre.
Ce n’est effectivement pas normal de devoir enlever une sécurité mais c’est ainsi.
> Apple est, comme souvent, en avance dans ce domaine…
Le mécanisme de SecureBoot date de 2012. Je vois pas en quoi Apple est particulièrement en avance dans ce domaine en particulier. Que ce soit une puce ARM ou le CPU Intel qui l'applique ne change rien au principe, cela reste du code de firmware qui implémente ce mécanisme, et cela existe donc bien avant la puce T2...
Si Apple était vraiment en avance, elle supporterait déjà la possibilité au propriétaire du matériel d'installer des certificats de signature tiers au lieu d'avoir uniquement ceux de macOS et Windows installés en dur et en dehors c'est toute la sécurité qui doit être désactivée du coup...
On trouve cette possibilité sur les firmwares UEFI des cartes mères plus génériques, par exemple.
Merci de ne pas confondre présence d'un mécanisme de contrôle avec qui contrôle le mécanisme de contrôle. Tant que le propriétaire n'est pas celui qui contrôle vraiment l'application d'une politique de sécurité de son bien matériel, on devrait autant parler de sécurité intégrée que de captivité intégrée...
"On trouve cette possibilité sur les firmwares UEFI des cartes mères plus génériques, par exemple."
tout à fait.
Je ne comprends pas la remarque sur Linux à se mettre d’accord avec Apple.
Pensez-vous 2 secondes qu’Apple va signer avec leur clefs toutes les distributions possibles et imaginables?? En plus cela obligerait que chaque distribution à calquer leur mapping mémoire sur celui d’Apple (où mettre la signature, les partitions)...
Je ne pense pas qu’Apple pour des raisons de confidentialités, de charge aillent s’embêter pour les 0.01% d’utilisateurs avec ce besoin! Et tout cela pour un OS open source qui pourrait comporter par ailleurs d’autres backdoors...
@0MiguelAnge0
> Et tout cela pour un OS open source qui pourrait comporter par ailleurs d’autres backdoors...
Je vois pas pourquoi être open source augmenterait la probabilité de backdoors dans un OS.
Pour le reste, je suis d'accord, Apple ne fera évidemment rien, elle a déjà indiqué explicitement qu'elle ne fait pas confiance au certificat "Microsoft Partners" qui est utilisé par les distributions Linux et BSD et qu'en conséquence Bootcamp n'installe que le certificat pour Windows 10 et c'est tout.
Il est meme probable que l'option "aucune sécurité" disparaisse probablement d'ici quelque temps même, d'autant plus qu'elle ne semble pas vraiment désactivé tous les mécanismes de contrôle de sécurité au vu des retours d'expériences.
Bon, après, IBM venant de racheter Red Hat pour 34 milliards, et vu la proportion de machines Apple chez IBM, p'tet que IBM obtiendra d'Apple d'avoir son certificat RedHat accepté. Mais cela sera probablement pas utilisable par les autres distributions d'OS open source non plus, juste celle de RedHat...
'fin bref.
Souvenez-vous : tout cela est fait dans l'intérêt unique du client.
Forcément.
Pages