SIP : la forteresse d’El Capitan n’est pas imprenable
Le SIP (System Integrity Protection) est la dernière nouveauté d’OS X sur le plan de la sécurité. Pour éviter toute utilisation malicieuse et non désirée du Mac, Apple a verrouillé les dossiers les plus importants, ceux qui ne sont censés servir qu’au système lui-même. Avec El Capitan, vous ne pouvez plus y accéder, même en saisissant un mot de passe administrateur, ce qui permet de limiter le risque face aux malwares qui se font passer pour des logiciels et trompent l’utilisateur pour obtenir les droits d’administration.
En théorie, le SIP est une forteresse imprenable installée autour d’OS X et qui doit limiter au maximum les risques. Si vous installez un malware, il ne pourra pas agir au niveau du système et pourra être plus facilement éradiqué (lire : OS X El Capitan : comment SIP parachève la politique sécuritaire d’Apple). C’est la théorie, mais comme rien n’est infaillible en informatique, il y a des brèches dans la forteresse.
La mise à jour OS X 10.11.2 sortie hier soir comble justement une faille dans SIP. Un malware pouvait exécuter du code avec les autorisations du système, qui sont supérieures à celles du compte administrateur. En clair, il pouvait modifier librement le code d’OS X et, potentiellement, s’installer de manière permanente dans le système. La faille est corrigée, mais elle rappelle qu’il faut toujours rester vigilant : ne saisissez pas votre mot de passe administrateur sans savoir qui le demande et pour quoi faire.
Je doute que ça soit utile pour installer un malware.
Mais si on doit modifier les fichiers système la solution si on a un windows en Boot Camp est d'installer HFS pour Windows de Paragon ou équivalent et là on peut faire tout ce que l'on veut dans les fichiers système d'El Capitan.
Ca peut servir pour des usages légitimes...
le plus rapide est de démarrer le mode de secours du mac et de désactiver SIP.
Pourquoi est-ce que ça me rappelle Windows Millenium, le SIP.
En tout cas, si en plus c'est pas étanche, pour ce que c'est emmerdant, c'est bien dommage.
"Pourquoi est-ce que ça me rappelle Windows Millenium, le SIP."
la folie je suppose.
car ça n'a aucun rapport.
SIP se rapproche plutôt de Selinux ou App Armor (un mécanisme d'accès mandataire pour les apps par le kernel quel que soit l'utilisateur qui exécute).
et heu.. y avait rien d'aussi sophistiqués (en fait y avait rien de sophistiqués, bon ok.. OLE2 ?) dans windows me.
AMHA SIP sans FileVault activé ne doit pas servir à grand chose si le disque est monté en externe (via bootcamp ou monté comme disque dur externe) je suppose.
@switch :
Un porte blindé ne sert à rien sans serrure ou inversement.
"AMHA SIP sans FileVault activé ne doit pas servir à grand chose si le disque est monté en externe (via bootcamp ou monté comme disque dur externe) je suppose."
Les 2 sont complémentaires, mais FileVault n'empêchera pas un malware de s'installer ni d'accéder aux fichiers systèmes, tout comme SIP n'est pas fait pour protéger les données de l'utilisateur.
"Un malware pouvait exécuter du code avec les autorisations du système,..."
je ne comprends pas bien sur le coup:
où le malware va-t-il chercher les autorisations système dans ce cas-là ???
@Filou53
Je me posait la même question : /
justement, il n'a pas besoin de les chercher: il les a déjà alors qu'il n'est pas dans la liste d'autorisations de SIP
c'est le bug CVE-2015-7044
Impact: A malicious application with root privileges may be able to execute arbitrary code with system privileges
Description: A privilege issue existed in handling union mounts. This issue was addressed by improved authorization checks.
On parle ici d'une application qui a déjà les droits roots (donc TOUS les droits sauf quand SIP restreint), par exemple un service qui a besoin d'ètre root pour manipuler le matériel, qui a été installé via l'utilisateur pas très regardant (il a tapé son mot de passe et installé le premier bidule trouvé sur internet), etc
SIP devrait restreindre ce logiciel, même s'il appartient à root (l'utilisateur zéro d'un système unix comme Os X: celui qui a tous les droits dans le modèle classique unix).
Pourtant, il existait une possibilité théorique (may) qu'un tel programme soit en mesure de passer outre les règles de SIP. (via les union mounts, un truc classiquement tordu des unix)
-
SIP est là pour normalement protéger l'utilisateur de lui même: Même s'il installe, fournit son mot de passe, donne les clés du système (root) à un logiciel, et bien non, Os X va restreindre ce programme car non signé comme faisant partie du système tel que fournit.
Pour l'heure SIP vise à empêcher à tout logiciel ou installation de s'intégrer et se configurer comme truc à démarrer automatiquement et en cachette à chaque démarrage de logiciel (ce que veulent faire tout trojan)
@oomu :
Merci pour les explications
Merci aussi...
Jusqu'à plus informé la forteresse reste imprenable puisque la faille est comblée.
dans la liste des bugs corrigés, y avait beaucoup plus grave... :)
Ouaip.
Sans évoquer les failles dans Safari.
Petite coquille: rien n'est infaillible