Fermer le menu
 

macOS High Sierra vérifie l'intégrité de l'EFI chaque semaine

Stéphane Moussie | | 11:14 |  37

macOS High Sierra introduit une nouvelle mesure de sécurité concernant l’EFI des Mac. Un utilitaire baptisé eficheck vérifie chaque semaine l’intégrité du programme de démarrage des ordinateurs.

Cliquer pour agrandir

Si aucune anomalie n’est détectée, l’utilitaire ne se manifeste pas. Si, au contraire, l’EFI a été modifié, une boîte de dialogue apparaît et vous suggère d’envoyer à Apple le rapport d’erreur. Si vous dites oui une fois, le rapport sera automatiquement envoyé à chaque nouvelle occasion.

Selon ses concepteurs, Xeno Kovah, Nikolaj Schlej et Corey Kallenberg, il s’agit du premier outil de vérification d’intégrité d’un firmware déployé à grande échelle. Interrogé par nos soins, le chercheur Pedro Vilaça, qui avait hacké l’EFI de certains Mac en 2015, estime qu’eficheck est un « effort important » d’Apple pour améliorer la sécurité des Mac.

Les hackintosh, qui utilisent des EFI modifiés, vont-ils être affectés d’une façon ou d’une autre par ce nouveau dispositif ? « En résumé, si vous voyez [la boîte de dialogue], cliquez sur “Envoyer”, sauf si vous utilisez un hackintosh. Dans ce cas, [n’envoyez pas le rapport], parce que ce sont des données inutiles pour nous », a écrit Xeno Kovah avant d’effacer sa série de tweets explicatifs (toujours consultable dans le cache de Google).

D’après cette déclaration, Apple n’a donc pas l’intention d’exploiter eficheck pour bloquer les hackintosh. Leurs possesseurs sont simplement invités à ne pas partager leur EFI modifié afin de ne pas fausser la base de référence. Xeno Kovah va présenter sa création plus en détail lors de la conférence ekoparty qui se tiendra à la fin de la semaine.

Catégories: 

Les derniers dossiers

Ailleurs sur le Web


37 Commentaires Signaler un abus dans les commentaires

avatar umrk 25/09/2017 - 11:20

Envoyer le rapport à Apple si vous avez un hackintosh .... cela me rappelle la définition de "Chutzpah" par Guy Kawasaki (à propos de la Chutzpah dont Steve savait faire preuve ...)

avatar C1rc3@0rc 26/09/2017 - 22:53

@umrk
Oh tres bon ;)

Bon la verification de l'EFI consiste a obliger le Mac a se connecter a Internet, envoyer une "empreinte" de l'EFI, qui est de plus en plus specifique a la machine au fur et a mesure des mise a jours de High Sierra, de verifier la concordance de cet EFI avec un registres sur les serveurs d'Apple, et d'expedier un tas de données de fonctionnement (le rapport) divers et variées qui peuvent aller de l'usage des applications presentes, de log de connexion,...

En gros Apple a mis en place un outil qui garanti une collecte d'info d'usage hebdomadaire d'une machine aussi sûrement identifiée qu'avec des empreintes digitale.

Et on disait de Windows 10 que c'est un espion de MS...

avatar labon 25/09/2017 - 11:22

Oui. Enfin j'oses imaginer que le rapport d'erreur contient les spec matérielles. Apple devrait facilement pouvoir filtrer les rapports venant d'originaux et de hackintoshs



avatar jb18v 25/09/2017 - 11:34 (edité)

Oui et non, le hackintosh utilise un profil reprenant au plus près les spécifications d'un modèle Apple existant (pour faire croire à l'OS qu'il est bien installé sur une machine Apple), mais effectivement si dans le détail on voit par exemple un iMac avec un GPU Nvidia Pascal, c'est qu'il y a anguille sous roche :)

avatar r e m y 25/09/2017 - 11:35 via iGeneration pour iOS

@jb18v

Là c'est plutôt baleine sous gravillon... 😂

avatar Link1993 25/09/2017 - 12:02 via iGeneration pour iOS

@jb18v

Bah, si tu en mets une dans un mac pro, une Pascal s’affichera aussi dans leur base de données, et ça sera pourtant un vrai Mac !

avatar jb18v 25/09/2017 - 12:47 via iGeneration pour iOS

@Link1993

Certes, c'était un exemple :)

avatar oomu 25/09/2017 - 14:39 (edité)

c'est le cas de mon mac pro 2009 ;)

un vrai mac pro mais avec une Pascal.

avatar C1rc3@0rc 26/09/2017 - 22:54

@Link1993

Les seuls vrais Mac pour Apple ce sont le Macbook et l'iMac Pro.

avatar 0MiguelAnge0 25/09/2017 - 15:32 via iGeneration pour iOS

@jb18v

FAUX. Un Mac Pro avant 2013 peut acceuillir la série Pascal. Nvidia a fourni des drivers Web supportant Sierra.

avatar LaurentR 25/09/2017 - 11:47 via iGeneration pour iOS

Ce qui vaut pour les hackintosh doit aussi valoir pour les anciens mac qui utilisent des boot.efi modifiés comme celui modifié par Pike par exemple pour pouvoir installer les dernières versions du système.

avatar CR_B 25/09/2017 - 11:52

Donc idem au hackintosh pour ceux qui utilisent sierra Patch tool.
Est-ce qu'on sait si il y aura un moyen de virer la verification ?

avatar C1rc3@0rc 26/09/2017 - 22:56

Le Firewall d'Office ? ;)

avatar Mus-dz 09/10/2017 - 22:21

Oui, il y a un moyen d’éviter cette vérification, dans Préférence Système/App Store et de décocher l'option "Installer les fichiers de données système et les mise à jour de sécurité" mais je vous le déconseille vivement.

avatar ErGo_404 25/09/2017 - 12:12

C'est donc effectivement une confirmation à demi mots que le Hackintosh ne pose plus trop de problèmes à Apple.
Du coup ça ressemble un peu à une lubie qui rendait Steve furieux mais dont tous les autres décideurs d'Apple savaient parfaitement que ça n'impacterait pas tant leurs ventes que ça.

avatar LeGrosJeanLou 25/09/2017 - 12:25

@Ergo_404

Mis à part l'action de Steve Jobs contre les "cloneurs" je ne me rappelle pas avoir jamais vu Apple lutter activement contre le hackintosh. Elle aurait d'ailleurs tord de faire autrement, étant moi-même venu au monde Apple par ce biais, comme nombre de mes amis.

En fait le hackintosh c'est la meilleure pub possible pour Apple. Ça marche suffisamment bien pour que les utilisateurs PC réalisent le gouffre qui sépare macOS de Windows, tant en terme de simplicité que de stabilité, mais ça ne marche pas assez bien ou longtemps pour que les macusers se passent des machines Apple.

Si je crois me souvenir d'un truc c'est Apple qui demande à un constructeur d'arrêter de faire la promotion de ses machines en tant que bons hackintosh mais c'est tout.

En même temps que pourrait bien faire Apple de concret contre le hackintosh ?

avatar r e m y 25/09/2017 - 12:33 via iGeneration pour iOS

@LeGrosJeanLou

Je ne veux pas donner de mauvaise idee à Apple, mais des actions concrètes et simples contre le hackintosh pourraient consister
- à signer MacOS comme Apple signe les installations d'iOS en bloquant les machines tierces
- à bloquer le lancement de MacOS si l'EFI n'est pas "clean"

avatar fte 25/09/2017 - 12:47 via iGeneration pour iOS

@r e m y

N'étant pas dans un environnement matériel verrouillé, toutes ces solutions de bloquage n'emmerderaient que les clients innocents, les autres auront déplombé leur logiciel et ne subiront pas les aléas de ces mesures. Ça me rappelle les dongles USB ou serveurs de licences d'Xpress à une époque, que pas un studio un peu sérieux utilisaient. Tout était déplombé et un classeur contenait les documents de licence des logiciels installés, originaux et en bon ordre, juste au cas où. Ou plus récemment le jailbreak (pas que d'iOS, mais de firmwares très variés).

avatar BeePotato 25/09/2017 - 14:14

@ fte : « N'étant pas dans un environnement matériel verrouillé, toutes ces solutions de bloquage n'emmerderaient que les clients innocents, les autres auront déplombé leur logiciel et ne subiront pas les aléas de ces mesures. »

Tout à fait d’accord. Les mesures de ce genre ont toujours gêné principalement les clients honnêtes, et je suis bien content de ne jamais avoir eu à subir ça pour Mac OS. J’espère bien que ça va continuer comme ça.

avatar Biking Dutch Man 25/09/2017 - 20:36 via iGeneration pour iOS

@r e m y

Et à bloquer le retour à une version antérieure de Mac OS!

avatar C1rc3@0rc 26/09/2017 - 23:14

@fte

«N'étant pas dans un environnement matériel verrouillé, toutes ces solutions de bloquage n'emmerderaient que les clients innocents»

Auquel Cupertino pourrait repondre qu'un client n'est pas innocent s'il n'achete pas assez souvent et sans se plaindre de l'inflation du prix des produits.

@r e m y donne ici une reponse tres (faussement naive), car il n'y a pas besoin de bloquer a distance le lancement de MacOS si l'EFI n'est pas "clean", il suffit de bloquer l'acces aux serveurs d'Apple:
- serveurs de mise a jour,
- serveur du Mac App Store,
- serveur iTunes,
- serveur iCloud
- serveur Apple ID
...

L'OS ne pouvant plus se mettre a jour, il est vulnerables aux failles de securité publiées (puisque patché sur la derniere mise a jour...). Impossible de mettre a jour les applications dont celles sous abonnement qui cessent de fonctionner si elle ne sont pas mis a jour regulierement et ne peuvent pas se reactiver regulierement en se connectant au serveur d'Apple... On perd alors tout ce qu'on a mis sur le cloud et ce que l'on y a achete... au bout d'un certain nombre de tentatives de verifications qui echouent, c'est alors l'Apple ID qui est bloquée - mesure de securité, des fois que le Mac serait compromis - ce qui bloque donc tous les autre appareils,... Bref on se retrouve assez vite avec une brique sur laquelle on peut meme plus installer une version precedente de MacOS, l'EFI l'empechant. On peut meme ne plus pouvoir installer Linux...

@ Biking Dutch Man
«Et à bloquer le retour à une version antérieure de Mac OS!»

C'est deja le cas avec la mise a jour du firmware lors de la conversion du SSD a APFS... au moins pour l'instant sur les machines a SSD soudé.

avatar fte 27/09/2017 - 00:05 via iGeneration pour iOS

@C1rc3@0rc

"L'OS ne pouvant plus se mettre a jour"

Dès lors qu'il y a des Mac démarrant sur clé USB, le système est accessible au moins sous forme installée, donc récupérable et transférable... Patchable, pour lui faire croire ce qu'on veut. Rappelons qu'il tourne en virtualisation également. Bref.

Et pourquoi ? Protéger une plateforme qui intéresse de moins en moins, y compris chez Apple soi-même ?

avatar Rez2a 25/09/2017 - 14:07 via iGeneration pour iOS

@LeGrosJeanLou

Je comprends l’argument mais je suis pas vraiment d’accord.

Je ne pense pas que les hackintosh soient simplement de la pub à peu de frais pour Apple, comme le serait un Photoshop qu’on laisse pirater facilement par des étudiants puisqu’ils seront un jour des professionnels déjà habitués à l’outil.

Le vrai problème que pose le hackintosh, c’est qu’il profite certes à des clients potentiels d’Apple qui n’ont simplement pas les moyens ou l’envie d’investir dans un Mac (et sur ce cas on est d’accord), mais également à des clients d’Apple qui ont les moyens / envie mais à qui la gamme ne correspond pas.

Franchement j’ai déjà hésité à franchir le pas, pourtant j’avais pas rechigné à leur filer près de 3000€ lorsque le premier iMac 5K est sorti.

Mais au final, tous leurs ordis sont des « jetables » qu’on doit racheter lorsque les performances ne suivent plus ; quelqu’un qui veut un Mac et qui veut des performances graphiques de pointe est bien dans la merde aujourd’hui, et je suis pas sûr que le nouvel iMac Pro « 5K » (pour 5000$ 😅) soit une réponse adaptée.

Bref, le vrai problème c’est qu’en étant malhonnête, tu peux avoir une bien meilleure config que tout ce qui existe chez Apple, le fait que ça soit moins cher est juste du bonus.

Si Apple veut lutter contre le hackintosh à la régulière, ils n’ont qu’à sortir un ordi modulaire comme l’était l’ancien Mac Pro.

S’ils veulent lutter contre le hackintosh peu importe les moyens, je te laisse deviner ce que peut faire un fabricant d’ordis qui commence à embarquer ses puces homemade dans ses derniers MacBook. 😁

Après, je suis convaincu qu’ils ont des chiffres très précis du nombre de hackintosh en circulation, et qu’ils laissent couler pour l’instant.

Mais le jour où un nombre significatif de clients prêts à dépenser des milliers d’€ chez eux se tourneront vers les hackintosh, simplement parcequ’il est possible d’avoir mieux que ce qu’ils offrent dans leur gamme... ils feraient mieux de se faire du souci ou de revoir leur offre.

avatar en ballade 25/09/2017 - 21:47 via iGeneration pour iOS

@LeGrosJeanLou

"le gouffre qui sépare macOS de Windows"

Hackintosh depuis snow leopard pour final cut et le gouffre n’est que dans ton esprit.

avatar BeePotato 25/09/2017 - 14:11

@ ErGo_404 : « C'est donc effectivement une confirmation à demi mots que le Hackintosh ne pose plus trop de problèmes à Apple. »

Curieuse interprétation, surtout quand on voit que les tweets en question ont été effacés.

C’était plutôt un gusse ne travaillant pas depuis assez longtemps chez Apple pour avoir complètement assimilé l’idée qu’il n’est plus censé communiquer de cette façon au sujet de son boulot (et ça ne concerne sûrement pas que le fait d’avoir mentionné les hackintosh). Quelqu’un s’est manifestement chargé de le lui rappeler.

Pages