macOS Sierra : contourner Gatekeeper pour lancer un logiciel non signé

Mickaël Bazoge |

macOS Sierra resserre la sécurité concernant les applications téléchargées depuis internet. Avant cette nouvelle version, OS X autorisait le lancement des apps provenant de « n’importe où ». C’était un réglage à activer dans la section Gatekeeper du panneau Sécurité et confidentialité > Général. Mais macOS 10.12 a retiré cette option ; désormais, il n’est possible que d’autoriser le lancement d’applications provenant du Mac App Store d’une part, ou du Mac App Store et des développeurs identifiés d’autre part.

Cette mesure est un filet de protection minimal qui implique du développeur l’obtention d’un certificat provenant d’Apple. Cela ne signifie pas pour autant que le logiciel soit sain : on a ainsi vu une vague de vrais-faux antivirus polluer le Mac App Store, sans que la Pomme n’y mette bon ordre. Cette signature d’Apple ne doit pas remplacer la vigilance de base (lire : Protection de vos données : dix principes d’une bonne hygiène numérique).

Tenez-vous vraiment à lancer cette application ?

Néanmoins, si vous êtes sûr et certain du logiciel non signé que vous venez de télécharger, vous avez toujours la possibilité de le lancer même en cas de refus de macOS. Plusieurs solutions existent : la première est de faire un clic secondaire/clic droit ou encore contrôle + clic sur l’icône du logiciel, puis de sélectionner l’option Ouvrir. La seconde est de se rendre dans le panneau Général des options Sécurité et confidentialité, puis d’Ouvrir quand même l’application.

Après avoir cliqué sur Ouvrir, la boîte de dialogue de lancement de l'application propose… d'ouvrir le logiciel. C'est gagné !

La troisième solution est de jouer du Terminal. La commande sudo spctl --master-disable permet de réactiver l’option N’importe où dans les options Gatekeeper. Pour revenir à l’état initial de macOS Sierra, tapez sudo spctl --master-enable.

L’option "N’importe où" est revenue dans Gatekeeper.
avatar Moonwalker | 

N'importe quoi.

avatar PiRMeZuR | 

@Moonwalker :
Serait-il possible d'éviter d'être agressif dans tes messages et de ne pas les commencer en rabaissant tes contradicteurs ('Vous êtes complètement stupides', belle intro) ?

Ça me paraît d'autant plus intéressant d'adopter une conduite raisonnée que tu as posté une petite moitié des commentaires sous cet article et que la plupart se répète un peu...

avatar Moonwalker | 

Stupide n'est pas une insulte, c'est un constat. Constat fait à la lecture des posts.

Mes propos ne se répètent pas plus que les billevesées proférées ici au sujet de Gatekeeper et d'Apple.

avatar ovea | 

Signer une application revient à identifier cette application auprès d'une tierce personne autre que le développeur et l'utilisateur.

1/ Si l'application est signée mais pas par Apple et qu'un tiers fiable reconnais cette application
… est-ce que GateKeeper joue le jeu et le mentionne ?

2/ Si l'application n'est pas signé mais que l'utilisateur est soit le développeur, soit se porte garant du développeur
… est-ce que GateKeeper joue le jeu encore une fois ?

Dans ces deux cas, si GateKeeper ne joue pas le jeu, le menu contextuel ouvert sur l'application permet l'ouverture ET l'application est autorisée indéfiniment
… où est stockée cette information ET peut-on la remplir sans ouvrir toutes les applications qu'on restaure par exemple, afin éviter tout ce cirque ???

Pour en finir, en quoi cette signature serait-elle une garantie que l'application ne peut-être modifiée ?

avatar marenostrum | 

la signature oblige le développeur de passer par Apple. c'est tout. en passant par eux, il peut pas risquer de faire des virus ou des malwares, parce que il est identifiable.
seule problème pour le développeur est que la signature est payante chaque année. c'est pas gratuit. c'est une dépense de plus pour lui.
le client ou l'utilisateur n'a pas de problème si le logiciel qu'il veut installer est signé.

avatar awk | 

@marenostrum

Tu parles d'une dépense, le tarif est symbolique au regard de ce que cela apporte.

Si tu savais ce que l'accès à ce type de programme, d'outils, de ressources pouvait coûter il n'y pas si longtemps.

avatar marenostrum | 

je le sais mieux que toi apparement, et y a pas besoin des outils de Apple pour developper des programmes. c'est pas Apple, le créateur des langages.

le payement et juste pour ne pas embêter les clients qui ne savent pas contourner l'installation, ou qu'ils doutent sur le professionnalisme de la boite (inconnue selon Apple) qui ne signe pas ses logiciels. ce que fait Apple est juste une mesquinerie de plus (c'est pas la première ni sera la dernière)

et pas besoin de commenter (garde tes opinions pour toi) si t'es pas concerné par le sujet.

avatar awk | 

@marenostrum :
Très puissante analyse remarquablement étayé.

J'ai appris que : "c'est pas Apple l'inventeur des langages" on sent le grand connaisseur de la science informatique à se simple propos si puissamment expressif qui vous pose un homme

Très impressionnant vraiment

Puis je le permettre de résumer: "Apple vilain pas beau" cela porte la même quantité d'informations et ces plus concis.

avatar Moonwalker | 

@ovea

Non. Signer l'application c'est relier l'application à un ID développeur. Cet ID n'est disponible que via le programme développeur Apple sous sa forme payante (99 €/an).

https://developer.apple.com/programs/

Le développeur peut ensuite distribuer son programme via le canal Apple (Mac App Store) ou selon ses propres modalités.

1. Les applications sont signées via Apple. Pas d'autre alternative. Un développeur enregistré dispose d'un ID qui signe l'application. Seules les applications signées passent Gatekeeper.

2. Un programme non signé est bloqué dans un premier temps par Gatekeeper.

Il suffit de passer par le menu contextuel "Ouvrir" comme décrit dans l'article pour lancer le programme.

Cette action vaut validation de l'application par l'utilisateur. Gatekeeper n'interviendra plus pour cette l'application, même si vous la modifiez. Par contre si vous installez une nouvelle version de l'application à la place de l'ancienne, il faudra en repasser par le menu "Ouvrir".

Pour exemple, installez le logiciel XLD. http://tmkk.undo.jp/xld/index_e.html

Avantage de Gatekeeper :
– Apple peut résilier l'ID d'un développeur indélicat et bloquer l'installation de son logiciel et donc limiter fortement son potentiel de nuisance (Cf l'affaire Transmission).
– si une application est contrefaite et remplacée par une version non certifiée, l'utilisateur sera informé dès son ouverture.
– une application signée ne peut pas être modifiée avant son ouverture.

Inconvénient :
– payant pour les développeurs même si le programme abonné comprend bien d'autres avantages en terme de support et d'outils.
– l'utilisateur fera une confiance aveugle à Gatekeeper alors que certaines applications nuisibles disposent d'un ID valable tant qu'Apple ne l'a pas révoqué.

Dans tous les cas, on reste maître de ce qu'on installe sur sa machine et il faut redoubler de vigilance sur les programmes qu'on télécharge.

avatar awk | 

@Moonwalker

Comme tu dit, il y a des baffes qui se perde de mon pont de vue.

Non. Signer l'application c'est relier l'application à un ID développeur. Cet ID n'est disponible que via le programme développeur Apple sous sa forme payante (99 €/an).<:I>

Horreur 99€ TTC :-)

Appartenant à une génération qui devait dépenser une fortune pour avoir accès à des outils de développement et déployer en plus une grande énergie pour avoir accès aux informations techniques, ce type de chipotage sur une grosse poignée d'euros me sidère, c'est un comportement d'enfant gâtés méritant une bonne fessée.

avatar jojo5757 | 

Oui bien sûr, pour l'instant on peut toujours installer une appli hors du mas. Oui responsabiliser l'utilisateur, truc, machin. Oui depuis 6 ans rien n'a changé. Oui c'est vrai. Mais il n'empêche qu'à chaque version d'osx le système se ferme un peu plus. C'est indéniable. Un petit peu plus à chaque fois. Jusqu'au jour où il n'y aura plus que le mas. Et là les gens bien intentionnés diront que c'est bien. Sécurité, truc machin, tout un tas de bons prétextes. Et c'est pas le prix du certificat Apple dont je parle. Ça pourrait être gratuit ce serait la même chose. Déjà la Mme Michu elle va bcp moins arriver à installer un logiciel hors mas maintenant C'est l'histoire de la grenouille qu'on met dans l'eau froide et qu'on chauffe. La température de l'eau monte tres doucement et la grenouille ne s'en aperçoit pas. Et elle meurs ébouillantée alors que si on l'avait plongé directement dans l'eau bouillante elle aurait sauté hors de la casserole. Voilà ce qu'apple est en train de faire tout simplement

avatar Moonwalker | 

Va chez GNU-Linux, ou chez FreeBSD.

Mme Michu est beaucoup moins bête que toi, visiblement, car ce qu'elle faisait déjà sur El Capitan, elle le fera avec Sierra.

D'ailleurs, elle va beaucoup aimer Sierra qui, contrairement à monsieur Michu, lui répondra quand elle posera une question.

avatar mat 1696 | 

Arrêtez aussi de chercher des problèmes là où il n'y en a pas. Avant l'option "N'importe où" se désactivait au bout de 30 jours sans installation d'app venant de "N'importe où". Cela ne vous dérangeait pas. Et vous n'allez pas me dire que vous installer des app non signées chaque mois?!

Après à ce que j'ai compris, oui il faut payer le compte dev (99€/an) mais en contre partie Apple offre pas mal d'avantages... et comme dit plus haut le dev qui ne veut pas payer n'a qu a indiquer la procédure à suivre sur son site...

Arrêtez de chercher des problèmes de Sierra où y en a pas! Il y en a deja assez comme ça!

avatar Laurent S from Nancy | 

Ce que certains ici n'ont pas compris, c'est que madame miche, à qui on a tant vanté la simplicité et l'ergonomie Apple, ne va sûrement pas penser à faire un clic droit lorsqu'un pop up l'avertira que son application ne peut pas s'ouvrir car non sécurisée ou pire endommagée.

Un simple "ouvrir quand même" était largement suffisant pour responsabiliser les utilisateurs.

avatar Moonwalker | 

Elle le fait depuis Lion, le clic droit pour ouvrir et lancer…

Lancer quoi au fait ?

Firefox, Google Chrome, VLC, LibreOffice, Calibre, Transmission, Opera ?

Rien que des applications signées.

Arrêtez de prendre Mme Michu pour une conne. Elle sait lire un mode d'emploi, sa machine à laver sort des laboratoires de la NASA.

avatar Moonwalker | 

L'Aide d'OS X, accessible depuis la fenêtre qui s'affiche lorsqu'on tente d'ouvrir une application non certifiée :

Ouvrir une application provenant d’un développeur non identifié

Si vous essayez d’ouvrir une app provenant d’un développeur non identifié et non enregistrée auprès d’Apple, une zone de dialogue d’avertissement s’affiche. Cela ne signifie pas nécessairement qu’elle présente un problème. Par exemple, certaines apps ont été créées avant le début de l’enregistrement des identifiants de développeurs. Cependant, l’app n’a pas été examinée et OS X ne peut pas vérifier si elle a été modifiée ou craquée depuis sa parution.

Les logiciels malveillants sont souvent distribués en insérant un code nuisible dans une app innocente, puis en redistribuant l’app infectée.

L’approche la plus sûre est de rechercher une version plus récente de l’application dans le Mac App Store ou de trouver une autre application équivalente.

Pour passer outre vos réglages de sécurité et ouvrir l’application malgré tout :

Dans le Finder, repérez l’app que vous souhaitez ouvrir.

N’utilisez pas Launchpad. Launchpad ne vous permet pas d’utiliser le menu contextuel.

Appuyez sur la touche Contrôle et cliquez sur l’icône de l’app, puis choisissez Ouvrir dans le menu contextuel.

Cliquez sur Ouvrir.

L’app est enregistrée en tant qu’exception dans vos réglages de sécurité et vous pourrez l’ouvrir par la suite en cliquant deux fois dessus, comme n’importe quelle application enregistrée.

Remarque : Une autre façon de faire une exception pour une app bloquée est de cliquer sur le bouton « Ouvrir quand même » dans la sous-fenêtre Sécurité des Préférences Système. Ce bouton s’affiche pendant environ une heure après que vous avez essayé d’ouvrir l’app.

Pour ouvrir cette sous-fenêtre, choisissez le menu Pomme > Préférences Système, puis cliquez sur Sécurité et confidentialité.

avatar PiRMeZuR | 

Pour ma part, je trouve effectivement cette fermeture progressive inquiétante et je vois bien Apple interdire complètement les apps non signées d'ici quelques années (sauf à faire une manipulation au terminal à chaque fois ou à désactiver complètement Gatekeeper).

Par ailleurs, même en l'état actuel, je trouve le curseur placé trop à droite et la suppression de l'option "N'importe où" adressée aux gens qui savent ce qu'ils font n'était pas nécessaire à mon sens. Car même s'il est possible de la réactiver via le terminal, si elle se désactive tous les mois sans utilisation, il faudra bien la réactiver à presque chaque installation (vous installez beaucoup de nouvelles apps chaque mois ? Pas moi).

avatar Moonwalker | 

Encore un autre Nostradamus.

avatar Jacti | 

Ces protections ne servent qu'à nous emmerder et elles ne servent à rien. L'essentiel est d'utiliser de façon responsable son ordinteur et de ne pas télécharger n'importe quoi à partir de n'importe où et aussi et surtout de ne pas ouvrir de pièce jointe d'émetteur inconnu dans sa messagerie comme je le vois faire par trop de gens.

avatar ecosmeri | 

´etait deja le cas avec el capitan et mountain lion non? Clic droit et ouvrir

avatar TheUMan | 

Votre article est incomplet; vous ne parlez absolument pas de la nouveauté de macOS sierra qu'est la "translocation" des Apps. Et ça, par contre, c'est une vrai plaie.

Si vous lancez une application qui n'est pas référencée par GateKeeper, macOS déplacera cette app dans un endroit sécurisé pour la lancer sauf que du coup l'icône que vous voyez dans le dock c'est l'icône reliée à cet emplacement fictif d'où confusion pour l'utilisateur qui se retrouve avec 2 icônes de la même application !!!

Merci de compléter votre article avec la méthodologie (si elle existe) pour contourner cette translocation des apps. Cela sera nettement plus intéressant que de rappeler ce qui existait déjà avant.

avatar ovea | 

@TheUMan :
L'icône sur le bureau, c'est un hardlink ?
Et dans quel endroit « spécial » l'application est-elle « translocationnnée » SVP ?

avatar TheUMan | 

Non, l'icône c'est une icône dans le dock

un peu de lecture:
http://forum.cockos.com/showthread.php?s=ac9fa10ab17f4d9d0e302fae56fd190c&p=1736113#post1736113

avatar awk | 

Certains devrait y aller franchement dans leurs paranos tant qu'ils y sont : Apple Est Imperare Orbi Universo

avatar loulou31tlse | 

Je comprend pas j'ai pas eu cette option supprimés sur mon mbp 13" late 2011 même avec la version finale puis ensuite repasse en bêta pas de souci la dessus
Le seul problème reste handoff qui doit Esteve repatcher à chaque mise à jour
D'ailleurs Apple pourrais libéré les machine qui peuvent fonctionne avec un changement de module Bluetooth

avatar MoufLeOuf | 

Bonjour,

J'ai depuis peu acheté un mac et les trois procédures décrites ne marchent pas. J'ai macOS Sierra version 10.12.2.
- Quand je fais un clic droit sur mon application + ouvrir dans le dossier "applications", cela m'affiche la même fenêtre que quand je clique simplement sur mon application
- Je ne vois pas l'option dans les préférences système
- La commande du terminal ne marche pas. "Permission denied". (je suis bien administrateur de mon mac)

Avez-vous une explication et pourquoi pas une solution?

Merci.

avatar majeco | 

Bonjour
quant à moi j,ai toujours le même problème, "fichier endommagé, mettre à la poubelle et je ne sais pas comment faire....
impossible également d'y arriver par la procédure "sudo spctle.....
qui peut m'aider ?
Merci

Pages

CONNEXION UTILISATEUR