macOS Sierra : contourner Gatekeeper pour lancer un logiciel non signé
macOS Sierra resserre la sécurité concernant les applications téléchargées depuis internet. Avant cette nouvelle version, OS X autorisait le lancement des apps provenant de « n’importe où ». C’était un réglage à activer dans la section Gatekeeper du panneau Sécurité et confidentialité > Général. Mais macOS 10.12 a retiré cette option ; désormais, il n’est possible que d’autoriser le lancement d’applications provenant du Mac App Store d’une part, ou du Mac App Store et des développeurs identifiés d’autre part.
Cette mesure est un filet de protection minimal qui implique du développeur l’obtention d’un certificat provenant d’Apple. Cela ne signifie pas pour autant que le logiciel soit sain : on a ainsi vu une vague de vrais-faux antivirus polluer le Mac App Store, sans que la Pomme n’y mette bon ordre. Cette signature d’Apple ne doit pas remplacer la vigilance de base (lire : Protection de vos données : dix principes d’une bonne hygiène numérique).
Néanmoins, si vous êtes sûr et certain du logiciel non signé que vous venez de télécharger, vous avez toujours la possibilité de le lancer même en cas de refus de macOS. Plusieurs solutions existent : la première est de faire un clic secondaire/clic droit ou encore contrôle + clic sur l’icône du logiciel, puis de sélectionner l’option Ouvrir. La seconde est de se rendre dans le panneau Général des options Sécurité et confidentialité, puis d’Ouvrir quand même l’application.
La troisième solution est de jouer du Terminal. La commande sudo spctl --master-disable permet de réactiver l’option N’importe où dans les options Gatekeeper. Pour revenir à l’état initial de macOS Sierra, tapez sudo spctl --master-enable.
Cela ne signifie pas pour autant que le logiciel soit sain : on a ainsi vu une vague de vrais-faux antivirus polluer le Mac App Store, sans que la Pomme n’y mette bon ordre.
En d'autres termes, ce dispositif ne sert à rien d'autre que d'emmerder le monde. Merci Apple.
@heret :
C'est tout à fait ça !!!
c'est plutôt pour ramasser du fric. pousser les développeurs s'inscrire chez eux, en payant la note (l'abonnement annuel).
et le panneau ça réveille (ça lui fait peur) quand même à l'utilisateur. et lui n'installe pas. d'où qu'il faut passer à la caisse si t'es développeur. parce que les clients, par peur, n'installent pas ton logiciel. ils font aveuglement plus confiance au système de Apple qu'au développeur.
Toi, ou moi, nous savons faire attention, mais nos vieux parents ou oncle d'Amérique, pas forcément. De plus tu peux toujours tout désactiver. C'est plus un garde fou.
@marenostrum
"c'est plutôt pour ramasser du fric. pousser les développeurs s'inscrire chez eux, en payant la note "
C'est même grâce à ça qu'Apple finance son programme de stock-option, c'est dire si ces revenus sont essentiels à la bonne marche de l'entreprise
Ah le bon temps de Mac OS X 10.6 Snow Leopard et de ses libertés ! ;)
Heu…
Le MAS est apparu sur OS X Snow Leopard (10.6.6) et déjà à l'époque les spécialistes du FUD nous prédisaient la fermeture de la plateforme pour l'OS X suivant.
Six ans après, on attend toujours.
J'adore la photo de mactracker... la pire m.....e du monde (pas la photo)
C'est un logiciel qui m'a été très utile à de nombreuses reprises. Que lui reprochez-vous exactement pour le qualifier de pire m....e du monde ?
@HoulaHup : je pense que "noooty" n'a pas bien réfléchi et qu'il confond avec MacKeeper.
En fait il ne doit même pas savoir ce qu'est Mactracker mais ce n'est pas grave, l'important c'est de poster quelque chose vite vite....
Article très utile. Merci
Que faut-il pour avoir un "certificat venant d'Apple"?, au minimum...
s'inscrire chez eux, en payant leur licence par abonnement annuel. dès qu'on paye chez eux, y en a plus de panneau d'avertissement, le logiciel devient d'un coup sûr, sans risque pour l'utilisateur. :D
Être inscrit comme développeur au programme payant (99€/an).
Utiliser les outils Xcode et la procédure de validation.
Si vous ne publiez pas sur le MAS, vous êtes totalement libres quant à la conception et la destination de votre application. Apple n'intervient pas. C'est vous, en tant que développeur enregistré au programme, qui certifiez votre application (avec l'outil mis à votre disposition).
https://developer.apple.com/developer-id/
https://developer.apple.com/library/content/documentation/Security/Conceptual/CodeSigningGuide/Introduction/Introduction.html
C'est un peu la mort pour certains logiciels libres ou gratuits quand même ! Si le développeur ne verse pas sa dime annuelle à Apple, point de salut pour le temps passé sur son logiciel alors qu'il n'en tire pas de revenus directs. Apple devrait proposer une alternative à ces développeurs-là !
OnyX, XLD, Skim, Handbrake, LibreOffice (jusqu'à très récemment), etc.
Tout ce petit monde à l'air de bien se porter.
Il y a une vie en dehors du MAS et en dehors de Gatekeeper.
j'avais annoncé que je lâcherais Apple si un jour ils fermaient OS X comme ils ferment iOs...
En fait j'ai franchi le pas avant l'été, je suis passé chez HP à force d'attendre des nouveaux produits (toujours plus chers) qui n'arrivent jamais. Et on peut critiquer Windows 10, mais ça fait 1 an que je l'utilise (portable + PC de bureau) et c'est pas si mal, et surtout je peux installer ce que je veux...
@warmac33 :
"et surtout je peux installer ce que je veux..."
Pourquoi "surtout" ?
Vous pouvez installer absolument ce que vous voulez sous OS X.
on ne peut l'installer (le bouton n'est pas proposé pour les apps sans signature. donc un développeur en dehors de la sphère Apple) sans appliquer ce que l'article plus haut recommande, sans lire sur internet.
donc c'est pas si simple, pour un gars sans connaissances particulières. tandis que pour aller dans la boutique de Apple, la facilité existe.
La personne qui ne prend pas la peine de s'informer n'a sans doute pas de meilleur choix que de se limiter au MAS concernant les applications qu'il installe sur sa machine.
La connaissance particulière c'est de faire un clic-droit pas de soutenir une thèse sur la sécurité informatique.
Une ligne d'explication dans le Read Me avec l'application suffit à l'affaire.
Question, car je suis sous El Capitan et je ne compte pas changer (sauf avec un jour un mac neuf), mais je me dis que ce principe de restriction/sécurité ne va pas aller en s'allégeant, donc pour un logiciel comme Capture One, qui ne me semble pas être dans le Mac App Store, il faudra utiliser une des méthodes décrite ci-dessus, voir autre à l'avenir?
Capture One est signé. pareil pour Photoshop qu'on le trouve non plus sur App Store. ça c'est des grosses boites ou des programmes trop connus. aucun problème pour eux à payer 100 € par an, pour s'inscrire chez Apple.
comme l'a dit quelqu'un plus haut, ça pose plus problème aux développeurs des logiciels libres et gratuits ou les gens qui ne vendent pas beaucoup, parce que leur logiciel est trop spécifique (ça concerne que très peu d'utilisateurs). la plupart des développeurs gagnent moins qu'un peintre de bâtiment. 100 € c'est beaucoup pour eux.
Merci bien pour l'astuce! Un p'tit script comme ça chaque semaine serait sympa, même des anciens ...
Merci beaucoup pour l'astuce.
C'était un des aspects rédhibitoires pour basculer sur Sierra.
[ il reste encore les autres ]
Bof ça ne change pas grand chose à avant, puisqu'un simple clic droit permet de contourner cette "protection"...
Exactement, c'est la méthode que j'utilise pour les logiciels non signés (mais sûrs ;-) ) depuis l'arrivée de Gatekeeper ; pas besoin de baisser la protection générale du Mac pour cela.
Oui. Rien de changé. Cette option dans les préférences système ne devrait être quasiment jamais activée. Apple a raison de la supprimer du paysage.
Il faut arrêter un peu avec la paranoïa. Gatekeeper n'est pas là pour nous enfermer. Il n'est même pas la solution ultime de sécurité (si elle existe). Ce n'est qu'un verrou parmi d'autres.
Quant aux développeurs qui ne veulent pas payer Apple pour leur travail (souvent distribué gratuitement), ils ont tout mon soutien mais c'est leur choix et cela ne m'empêche pas d'utiliser leurs applications.
t'as rien compris toi. ça n'assure rien la signature, parce que le truand peut s'inscrire chez eux (c'est dans la minute) ou utiliser une signature valable sans problème (l'article le dit, c'est déjà fait tout ça). donc tu auras le malware dans ton ordi, si il est signé et si t'accepte l'installation.
C'est toi que ne sais pas lire ce que j'ai écrit.
Quant à l'utilité de Gatekeeper, on a déjà eu un aperçu de ses avantages et de ses limites avec l'affaire Transmission.
apple fait semblant de jouer la sécurité pour pousser les gens (tous, programmeurs et utilisateurs) vers sa boutique en ligne. c'est tout. et un jour sera carrément fermé, comme iOS, on passera obligatoirement que par eux. ils préparent le terrain en ce moment.
et toi vas dire, c'est pas grave parce que on peut jailbreaker le mac et installer tous ce qu'on veut.
Le discours de Mac OS X bientôt fermé ont l'entend depuis la sortie du MAS : janvier 2011.
sont en train de le faire. l'année prochaine MacOS sera encore plus verrouillé.
C'est Nostradamus que tu aurais du choisir comme pseudo.
Donc les logiciels téléchargés sur le net ne pourront plus être lancés ?
N'importe quoi
C'est toi qui dit n'importe quoi...
La disparition de cette option dans les Préférences système ne change rien à l'installation et à l'utilisateur de logiciels hors MAS et hors certification.
C'est juste une manière de fermer progressivement le Mac. À chaque nouvelle version, sous des prétextes de sécurité ils ferment un peu plus, jusqu'au jour où il n'y aura pas d'autre alternative que le lac App Store. By Apple !
Et pourtant, depuis 2011, à chaque OS X, j'installe toutes les applications que je souhaite.
Étonnant.
Heureusement qu'on peut remettre l'option via le Terminal. Le jour où Apple la supprimera, on aura un OS totalement fermé qu'il faudra Jailbreak.
C'est mon PC et j'installe ce que je veux dessus. Quand ce ne sera plus possible, bye bye Apple, définitivement.
Cette option ne sers qu'à faire peur aux gens et les pousser vers leur store moisi. Seuls les utilisateurs avancés connaissent cette préférence. L'occulter visuellement est un choix marketing qui n'a rien à voir avec la sécurité. Sans parler de la rhétorique totalement fausse "impossible d'ouvrir", la mauvaise blague. Alors qu'un avertissement suffit à responsabiliser celui qui prend la décision. Faut arrêter d'infantiliser les utilisateurs.
Occulter l'option dans les Préférences Système est un choix réfléchi de sécurité par rapport aux comportement des utilisateurs les moins avertis.
Cela n'empêche en rien d'installer et d'utiliser des logiciels non signés, comme le démontre l'article, et sans recourir au Terminal.
C'est mon PC et j'installe ce que je veux dessus. Quand ce ne sera plus possible, bye bye Apple, définitivement.
Oui. Je suis dans la même disposition d'esprit, mais depuis bientôt six ans qu'existe le MAS et cinq ans qu'existe Gatekeeper, j'ai pu installer tout ce que je voulais sur ma machine. Rien n'a changé.
Sans parler de la rhétorique totalement fausse "impossible d'ouvrir", la mauvaise blague. Alors qu'un avertissement suffit à responsabiliser celui qui prend la décision. Faut arrêter d'infantiliser les utilisateurs.
Au contraire, cet avertissement vise à responsabiliser l'utilisateur en l'informant. Vous remarquerez le petit ? dans la droite de la fenêtre de message. Il s'agit de l'Aide d'OS X avec toutes les explications nécessaires.
Les utilisateurs ne sont pas infantilisés, mais certains sont de vrais crétins qui cliquent avant de réfléchir.
Donc même s'il n'est pas sur le Mac App Store, dès le moment où un dev ne veut pas que son app soit bloquée par Gatekeeper, il doit quand même payer le prix fort pour un compte apple développeur? Donc aucune manière, simple pour le client lambda, de publier son App sur Mac (sans blocage de GateKepper) sans payer à Apple?!?
@mat 1696
J'en ai bien peur. Sans compter que pour certaines applications non signées, le message n'est absolument pas explicite à leur lancement. Par exemple pour Art of Illusion, ce message est "Art of Illusion est endommagé et ne peut pas être ouvert. Vous devriez placer cet élément dans la Corbeille". Comment un utilisateur peut deviner qu'il suffit en fait de désactiver Gatekeeper au premier lancement ?
Si le développeur ne veut pas que son application reste bloquée par Gatekeeper, il informe son utilisateur de la procédure de lancement hors validation.
Joël Barrière fait cela depuis des années avec ses logiciels (OnyX, Maintenance et Deeper). Idem pour les développeurs de Skim, ceux de XLD et ceux de Handbrake.
La validation n'est pas obligatoire, quels que soient les réglages de Gatekeeper.
Les gens veulent de la sécurité mais ne veulent pas les conséquences de la sécurisation et encore nous sommes bien loin de ce qu'il faudrait en terme de contrainte.
la sécurité doit être sans obligation, sans perte de liberté. doit être une sécurité de tes libertés. et pas une prison. sinon quel est la différence d'un homme libre et d'un prisonnier, si les deux vivent enfermés ?
@marenostrum :
D'habitude, je suis assez d'accord avec une forme de transparence d'utilisation du macOS permettant d'être informé sans prise de tête à la Windows (où après la lecture de plusieurs paragraphes et des clics à l'aveuglette on est encore plus perplexe et juste certain d'avoir cassé un peu plus le système … ce qui est le cas presque toujours)
Mais pour ce qui est de fermeture du système chez Apple qu'il est de bon ton de dénoncer, moi le premier, on est dans une optique où on ne veux pas voir Apple devenir le prochain Microsoft.
Force est de constater que ceux qui font cette critique sans nuances sont plus soucieux de dénoncer les mauvaise pratiques d'Apple pour ne pas parler de celles de Microsoft qui sont encore plus douteuses mais qu'ils maîtrisent fort bien.
@marenostrum :
Le beurre l'argent du beurre et le cul de la crémière
Comme chacun le dit précédemment, je constate également qu'Apple est en train de scier la branche sur laquelle il est assis.
Sous prétexte de la sécurité, il verrouille de plus en plus son système. Programmer Cocoa devient de plus en plus pénible. On doit souvent reprendre du code fonctionnel d'une version précédente. Le changement radical s'est amorcé avec Lion. Ils se sont mis à rendre obsolète des raccourcis très pratiques. Il les ont remplacés par une multitude de classes, on obtient une application avec une multitude d'objets dont il est difficile de maintenir.
Pour revenir à la sécurité, il supprime également les routines de bas niveau comme objc_msgSend qui permettent d'exécuter des méthodes de classe ce qui est impossible avec les méthodes conseillées comme performSelector.
S'ils sont en panne d'idées de développement, il y a fort à faire, notamment dans la mise à jour des codes source qu'ils mettent à disposition. Beaucoup d'entre eux provoquent des palanquées de warning ou des erreurs bloquantes.
J'ai le sentiment que les nouvelles recrues d'Apple ne comprennent pas la philosophie originelle de Cocoa sur lequel macOS, OSX, et les autres sont fondés !
Vous êtes totalement stupides.
macOS Sierra n'est pas plus fermé que OS X El Capitan.
L'absence de cette option dans les Préférences système n'a aucune incidence sur la possibilité d'installer et d'utiliser des applications hors Mac App Store et hors certification.
Elle évite simplement à des novices de laisser leur système avec un Gatekeeper constamment désactivé, comme on le voit souvent sur les forums techniques.
Maintenant, si ça vous interpelle tellement, vous devriez tous passer sur GNU-Linux et nous foutre la paix ici.
il faut le voir côté développeur la chose pour le comprendre. mon frère était obligé de payer chez Apple, pour que ses clients installent facilement (sans crainte) les logiciels qu'il propose.
l'année d'avant il l'avait pas fait, parce qu'il a pas été obligé. donc le système n'est pas pareil. Sierra est plus fermé.
Pages