macOS Ventura : protégées par SIP, les apps préinstallées d'Apple ne peuvent plus être dupliquées
macOS Ventura apporte un changement qui ne devrait pas chambouler la vie des utilisateurs, mais qu'il est toujours bon de noter. Comme le fait remarquer le site japonais Apple2ch, il est désormais impossible de dupliquer les apps système sans bidouille. Sous Monterey, c'était possible en faisant glisser un programme hors du dossier Applications tout en maintenant la touche Option appuyée.
Un document de l'assistance Apple indique que cette possibilité est désormais cachée derrière System Integrity Protection (SIP), ou « protection de l’intégrité du système » en français. Autrement dit, il faudra désactiver cette mesure de sécurité (ce qui est déconseillé) si vous voulez copier les apps préinstallées d'Apple. Rien ne change pour les programme tiers, vous pouvez toujours les dupliquer à loisir en maintenant la touche Option enfoncée.
Ce changement s'inscrit dans les efforts continus d'Apple de renforcement de la sécurité de macOS. SIP se charge d'empêcher d’éventuels logiciels malveillants de modifier les fichiers protégés sur votre Mac. Pour cela, le mécanisme restreint le compte utilisateur root (celui qui a toutes les permissions) et limite les actions de l’utilisateur root sur les sections protégées du système d’exploitation Mac. En faisant « entrer » ses apps préinstallées au sein de SIP, Apple s'assure qu'elles ne puissent pas être altérées à des fins potentiellement malveillantes.
Mais qui fait ça ? 🤔
@ heu
C'est ce que je me demandais aussi, à quoi ça pouvait bien servir...
@marc_os
Remplacer une app saine par une qui contient un malware par exemple (sauf si je me trompe).
@andr3
On parle d’applications fourni par Apple, livrées avec le Mac qui plus est. Et si il y a un malware, dupliquer ne va pas résoudre le problème mais le multiplier. 🤓
@heu
J'ai eu un Mac avec deux versions d'iTunes installées, pour utiliser la même bibliothèque entre deux partitions Snow Leopard / El Capitan.
@heu
conserver une ancienne version. par exemple avec itunes, c'était intéressant.
@ oomu
J'ai deux versions de Xcode installées.
Je ne les ai pas dupliquées pour autant !
Par contre j'ai ajouté le n* de version au nom des deux versions pour pas me gourer.
Edit: Xcode est certes une app d'Apple, mais je ne sais pas si elle compte pour la nouvelle règle...
Non la nouvelle règle ne concerne que les applications installées avec macOS.
@heu
Ça pouvait être pratique pour mettre (ou plutôt pour déplacer) sa bibliothèque photo sur un disque externe, qui reste du coup synchronisée en iCloud directement, si on veut stocker tout en local (chez soi) c’est bien pratique, car on a pas forcément un gros SSD sur son Mac… — je ne sais pas si j’ai été très clair… —
@man0
Il suffit pas d’appuyer sur alt au lancement de l’app pour choisir une bibliothèque alternative ?
@heu
Alors là, bonne question ! Je n’en sais rien !
Mais si ça marche, il n’y a pas une bibliothèque en doublon du coup ?
@man0
Une bibliothèque à la fois et tu choisis au lancement si besoin la nouvelle.
@JohnWalker
Ok 👌 merci d’éclairer ma lanterne !
Etant sous Monterey ou Catalina, peut-on toujours ziper une ancienne version d'application avant d'installer la nouvelle sous Ventura ?
Autant je n'apprécie pas vraiment la façon dont intègre la sécurité à macOS, en se défaussant sur l'utilisateur pour l'activation des extensions au noyau, lors de la connexion des périphériques, etc…
Autant il me semble logique que les applis du système ne puissent pas être dupliquées n'importe où, alors qu'un simple alias étant est bien suffisant.
@switch
"alors qu'un simple alias étant est bien suffisant"
——
Ce n’est pas du tout la même démarche ni la même finalité.
Quand Safari 16 a été diffusé, pouvoir conserver la version 15 en dupliquant Safari avant mise à jour, s'est révélé très utile. Ce n'est pas un alias qui aurait permis cela.
@remy
« Ce n'est pas un alias qui aurait permis cela ». Non, mais Time Machine, oui. Sinon, dans les cas extrêmes, désactivation de SIP, copie de l'application et réactivation de SIP.
Avec TimeMachine ça ne fonctionne plus pour les applications système. TimeMachine n'a pas l'autorisation de remplacer la version installée par celle que l'on veut restaurer et l'option "conserver les 2" ne fonctionne pas non plus.
Alors oui, on peut désactiver le SIP (Démarrer en mode recovery, lancer le terminal, puis csrutil disable, redémarrer normalement), puis dupliquer l'application, et réactiver le Sip (.Démarrer en mode recovery, lancer le terminal, puis csrutil enable, redémarrer normalement)... c'est plus long 🙂
Si je comprends bien ce n'est pas parce que le système interdit la duplication via le Finder qu'il est impossible d'avoir 2 fois la même appli. Si je copie l'original sur un volume externe et que je le recopie ensuite dans un dossier différent je me retrouve bien avec 2 instances de la même appli. Je ne comprends pas l'utilité de l'interdiction...
Pour éviter de mettre Préférences Système de Monterey dans Ventura ?
C’est une mesure de sécurité.
En gros, ces applications n’ont plus le droit d’être exécutées depuis un emplacement autre que celui d’origine, ce qui pouvait être utilisé pour de l’injection de code (et exploiter ensuite une fonctionnalité de l’application, ou plus simplement exploiter la confiance qu’a un utilisateur face à une des applis fournies avec l’OS).
Avec un coup de cp dans le terminal, on peut copier ces applications, mais l’OS refusera de les lancer, avec une erreur « launch constraint violation ». Du coup, le Finder simplifie les choses en empêchant purement et simplement la copie.
« Apps préinstallées avec le système d’exploitation Mac » cette formulation (dans l’article d’assistance) est plus que bancale… on dirait les novices qui mélangent le produit (le Mac), la marque (Apple) et le système d’exploitation (macOS).
Mais bon avec la baisse de qualité flagrante chez Apple ces derniers temps plus rien ne m’étonne, même des formulations dignes de ma grand mère qui n’y connait rien en high-tech…
(Et ce n’est pas uniquement un souci de traduction, la formulation originale bien que plus logique puisque traductible par « Le système d’exploitation du Mac » aurait simplement pu être remplacé par un moins ambigu « Apps préinstallées avec macOS ».
C’est toujours possible en débloquant temporairement le disque root dans le système. Manip de terminal qui prend 2 sec a faire et après hop, tout ce verrouille automatiquement après 5 minutes 👌🏻
@ ⚜Dan : « C’est toujours possible en débloquant temporairement le disque root dans le système. »
Mais les applications ainsi copiées se lancent-elles correctement ?
@BeePotato
C’est exactement pareil à moins d’avoir une vieille version de l’app plus Compatible.