Rootfol désactive la protection SIP d’El Capitan si Apple veut bien

Nicolas Furno |

Avec OS X El Capitan, Apple a encore renforcé la sécurité de son système d’exploitation en ajoutant une couche de protection supplémentaire, nommée System Integrity Protection. Désormais, même en utilisant les pouvoirs du compte root (dans un système UNIX traditionnel, l’utilisateur root peut tout faire), on ne peut pas modifier les dossiers utilisés par le système (lire : La signature obligatoire des kexts d’El Capitan a été contournée). C’est une excellente chose pour la majorité des utilisateurs — un malware ne peut plus faire de mal même avec le mot de passe administrateur —, mais le SIP pose problème pour les développeurs.

SIP en action : même en vous authentifiant en root, vous ne pouvez pas modifier certains dossiers protégés, comme ici le dossier /usr/.
SIP en action : même en vous authentifiant en root, vous ne pouvez pas modifier certains dossiers protégés, comme ici le dossier /usr/.

Il existe bien une méthode pour désactiver SIP, mais elle implique de redémarrer le Mac et elle n’est pas permanente, puisque la protection est réactivée à chaque mise à jour. Un développeur a néanmoins trouvé une solution beaucoup plus simple, puisqu’elle permet d’activer et désactiver SIP à la demande, sans redémarrer le Mac. Mieux, Rootfol, c’est son nom, n’utilise que des fonctions conçues par Apple, ce n’est pas un hack du système.

Malheureusement, son bon fonctionnement est conditionné par un impératif qui empêche toute utilisation large et simple. Pour que Rootfol puisse désactiver SIP, il doit modifier le noyau d’OS X. Et cette opération sensible n’est possible qu’avec un certificat spécial délivré uniquement par Apple. Tous les développeurs peuvent en demander un, mais apparement le constructeur étudie très soigneusement les demandes et ne délivre que très peu d’autorisations.

Bref, à moins d’avoir une bonne raison de modifier le noyau d’OS X (par exemple, pour créer un pilote spécifique pour un matériel), vous ne pourrez pas utiliser Rootfol. Si vous avez besoin de désactiver SIP, il faudra redémarrer et passer par la partition de restauration. Nous avions évoqué la méthode dans ce précédent article et vous pouvez aussi tout connaître sur le SIP dans notre guide des nouveautés d’OS X El Capitan.

avatar Fennec72 | 

Un exemple d'application non-compatible SIP : Default Folder X.
Une future version 5 est annoncée comme compatible, mais elle ne devrait pas être disponible avant au plus tôt fin octobre.

Il doit y avoir d'autre utilitaires qui connaissent ce même problème, notamment les plugins du Finder et des autres applications Apple.

avatar ErGo_404 | 

C'est un peu le risque quand on fait un plugin qui ne passe pas par des fonctions documentées, ça risque de casser à tout moment.

avatar Fennec72 | 

Si, effectivement, Default Folder X est "un plugin qui ne passe pas par des fonctions documentées", je suis tout à fait d'accord avec toi.

Cela n'empêche que c'est un plugin fort utile et qui me fait gagner un temps énorme chaque jour.

La future version 5 est annoncée comme compatible SIP.
On peut donc supposer qu'elle sera un peu plus conforme aux fonctions documentées que tu évoques.

avatar xDave | 

@Fennec72 :
Oui Default Folder que j'utilise depuis Mac OS 8 ou 9!
Et FinderPop, c'est mort apparemment sans désactiver SIP.

avatar Fennec72 | 

Pour Default Folder X, il y a un gros espoir concernant ce qui est indiqué pour le développement en cours de la version 5:
http://www.stclairsoft.com/DefaultFolderX/el_capitan.html

Voir le dernier paragraphe:
"Version 5 of Default Folder X, which I began writing last year but had on the back burner until the beginning of the summer, uses completely different methods for implementing its features, and works well with El Capitan even with SIP turned on."

avatar xDave | 

oui c'est un moindre mal.
FinderPop je l'utilise vraiment non stop je me rends compte.
Je viens de le désactiver pour voir et c'est terrifiant ce que je perds! :D
- Un menu contextuel avec une typo énorme
- Plus d'accès rapide pour ouvrir un fichier avec une app ouverte
- Plus possibilité de déplacer un fichier en un clic
- Accès rapide au contenu d'un bundle
- Plus d'accès en un clic à mes dossiers le plus usités!!!
et j'en passe

Comme c'est l'extension que j'installe en premier sur un mac depuis 1997 (!), je m'imagine pas bosser sans.

ça me fait penser qu'Apple devrait un peu revoir la fonction "Services" qui est vraiment pratique mais un peu trop enfouie, pas assez contextuelle, costumisable.

avatar Fennec72 | 

Pour ce que tu perds quand tu désactive FinderPop:
"- Un menu contextuel avec une typo énorme
- Plus d'accès rapide pour ouvrir un fichier avec une app ouverte
- Plus possibilité de déplacer un fichier en un clic
- Accès rapide au contenu d'un bundle
- Plus d'accès en un clic à mes dossiers le plus usités!!!
et j'en passe"

Je pense que si FinderPop n'était pas mis à jour pour El Capitan, il a Path Finder qui est à jour pour El Capitan et qui a sans doute quasiment les mêmes fonctions.

avatar Xap | 

Ah moi ça m'intéresse pour changer les icones du système :)

avatar ErGo_404 | 

Au final le SIP est une bonne chose pour assurer l'intégrité du système. C'est dommage qu'il ne soit pas possible de le désactiver d'une manière ou d'une autre pour ceux qui voudraient bidouiller.

Par contre je ne suis pas d'accord avec la formulation de l'article :
"C’est une excellente chose pour la majorité des utilisateurs — un malware ne peut plus faire de mal même avec le mot de passe administrateur"
C'est complètement faux. Un malware ne pourra plus modifier le système, mais il pourra toujours récupérer les données utilisateur, corrompre ses fichiers personnels, ou servir de relai pour des attaques par DDoS.
Le seul avantage de cette solution, c'est qu'elle empêche le malware de s'incruster trop profondément dans le système et elle simplifie donc le nettoyage du mac qui serait infecté.

avatar patrick86 | 

"C'est dommage qu'il ne soit pas possible de le désactiver d'une manière ou d'une autre pour ceux qui voudraient bidouiller."

Apple indique la démarche pour désactiver SIP.

Un simple commande à taper dans le terminal depuis la partition de restauration.
Les bidouilleurs qui savent ce qu'ils font son capable d'effectuer cette manipulation.

avatar enzo0511 | 

J'essaie d'effacer des apps inutiles comme par exemple le jeu d'échecs ou le lecteur dvd mais l'OS me dit que je n'ai pas les droits requis
Est ce que ça vient de cette surcouche ?

avatar patrick86 | 

"J'essaie d'effacer des apps inutiles comme par exemple le jeu d'échecs "

Il faut battre son Mac aux échecs pour avoir le droit de supprimer l'app.

avatar chammer | 

Oui, c'est "normal" :
la liste des applications et des répertoires protégés est en système/Bibliothèque/Sandbox/rootless.conf

avatar Arkos | 

Bonjour
Appcleaner supprime sans problème
Les Apps jeux et autres

avatar iDanny | 

Ça empêche aussi de modifier le fichier hosts ?
C'est un scandale.

avatar iDanny | 

@iDanny :
Finalement après test, non ça n'empêche pas de modifier le fichier hosts :)

avatar Michel Binette | 

@ iDanny

LOL

CONNEXION UTILISATEUR