SIP : la forteresse d’El Capitan n’est pas imprenable

Nicolas Furno |

Le SIP (System Integrity Protection) est la dernière nouveauté d’OS X sur le plan de la sécurité. Pour éviter toute utilisation malicieuse et non désirée du Mac, Apple a verrouillé les dossiers les plus importants, ceux qui ne sont censés servir qu’au système lui-même. Avec El Capitan, vous ne pouvez plus y accéder, même en saisissant un mot de passe administrateur, ce qui permet de limiter le risque face aux malwares qui se font passer pour des logiciels et trompent l’utilisateur pour obtenir les droits d’administration.

En théorie, le SIP est une forteresse imprenable installée autour d’OS X et qui doit limiter au maximum les risques. Si vous installez un malware, il ne pourra pas agir au niveau du système et pourra être plus facilement éradiqué (lire : OS X El Capitan : comment SIP parachève la politique sécuritaire d’Apple). C’est la théorie, mais comme rien n’est infaillible en informatique, il y a des brèches dans la forteresse.

La mise à jour OS X 10.11.2 sortie hier soir comble justement une faille dans SIP. Un malware pouvait exécuter du code avec les autorisations du système, qui sont supérieures à celles du compte administrateur. En clair, il pouvait modifier librement le code d’OS X et, potentiellement, s’installer de manière permanente dans le système. La faille est corrigée, mais elle rappelle qu’il faut toujours rester vigilant : ne saisissez pas votre mot de passe administrateur sans savoir qui le demande et pour quoi faire.


avatar weagt | 

Je doute que ça soit utile pour installer un malware.
Mais si on doit modifier les fichiers système la solution si on a un windows en Boot Camp est d'installer HFS pour Windows de Paragon ou équivalent et là on peut faire tout ce que l'on veut dans les fichiers système d'El Capitan.
Ca peut servir pour des usages légitimes...

avatar oomu | 

le plus rapide est de démarrer le mode de secours du mac et de désactiver SIP.

avatar Le docteur | 

Pourquoi est-ce que ça me rappelle Windows Millenium, le SIP.
En tout cas, si en plus c'est pas étanche, pour ce que c'est emmerdant, c'est bien dommage.

avatar oomu | 

"Pourquoi est-ce que ça me rappelle Windows Millenium, le SIP."

la folie je suppose.

car ça n'a aucun rapport.

SIP se rapproche plutôt de Selinux ou App Armor (un mécanisme d'accès mandataire pour les apps par le kernel quel que soit l'utilisateur qui exécute).

et heu.. y avait rien d'aussi sophistiqués (en fait y avait rien de sophistiqués, bon ok.. OLE2 ?) dans windows me.

avatar switch | 

AMHA SIP sans FileVault activé ne doit pas servir à grand chose si le disque est monté en externe (via bootcamp ou monté comme disque dur externe) je suppose.

avatar Nesus | 

@switch :
Un porte blindé ne sert à rien sans serrure ou inversement.

avatar patrick86 | 

"AMHA SIP sans FileVault activé ne doit pas servir à grand chose si le disque est monté en externe (via bootcamp ou monté comme disque dur externe) je suppose."

Les 2 sont complémentaires, mais FileVault n'empêchera pas un malware de s'installer ni d'accéder aux fichiers systèmes, tout comme SIP n'est pas fait pour protéger les données de l'utilisateur.

avatar Filou53 | 

"Un malware pouvait exécuter du code avec les autorisations du système,..."
je ne comprends pas bien sur le coup:
où le malware va-t-il chercher les autorisations système dans ce cas-là ???

avatar lolo81 | 

@Filou53
Je me posait la même question : /

avatar oomu | 

justement, il n'a pas besoin de les chercher: il les a déjà alors qu'il n'est pas dans la liste d'autorisations de SIP

c'est le bug CVE-2015-7044

Impact: A malicious application with root privileges may be able to execute arbitrary code with system privileges
Description: A privilege issue existed in handling union mounts. This issue was addressed by improved authorization checks.

On parle ici d'une application qui a déjà les droits roots (donc TOUS les droits sauf quand SIP restreint), par exemple un service qui a besoin d'ètre root pour manipuler le matériel, qui a été installé via l'utilisateur pas très regardant (il a tapé son mot de passe et installé le premier bidule trouvé sur internet), etc

SIP devrait restreindre ce logiciel, même s'il appartient à root (l'utilisateur zéro d'un système unix comme Os X: celui qui a tous les droits dans le modèle classique unix).

Pourtant, il existait une possibilité théorique (may) qu'un tel programme soit en mesure de passer outre les règles de SIP. (via les union mounts, un truc classiquement tordu des unix)

-
SIP est là pour normalement protéger l'utilisateur de lui même: Même s'il installe, fournit son mot de passe, donne les clés du système (root) à un logiciel, et bien non, Os X va restreindre ce programme car non signé comme faisant partie du système tel que fournit.

Pour l'heure SIP vise à empêcher à tout logiciel ou installation de s'intégrer et se configurer comme truc à démarrer automatiquement et en cachette à chaque démarrage de logiciel (ce que veulent faire tout trojan)

avatar malcolmZ07 | 

@oomu :
Merci pour les explications

avatar Filou53 | 

Merci aussi...

avatar curly bear | 

Jusqu'à plus informé la forteresse reste imprenable puisque la faille est comblée.

avatar oomu | 

dans la liste des bugs corrigés, y avait beaucoup plus grave... :)

avatar Moonwalker | 

Ouaip.

Sans évoquer les failles dans Safari.

avatar Sometime | 

Petite coquille: rien n'est infaillible

CONNEXION UTILISATEUR