macOS High Sierra : des fiches techniques pour la mise à jour et les KEXT
L'arrivée de macOS High Sierra va obliger les utilisateurs (et les développeurs) d'utilitaires qui s'installent profondément dans le système à prendre de nouvelles habitudes. Même chose pour les gestionnaires de parcs machines qui vont avoir à mettre à jour leurs macOS.
Apple a publié deux fiches techniques à propos de ces changements. La première parle des extensions au kernel. La seconde concerne les mises à jour systèmes en entreprise ou établissements éducatifs.
Le premier document réitère que les fichiers d'extensions au kernel (les "kext") ne pourront plus êtres installés par les logiciels sans que l'utilisateur ne donne son autorisation. La vaste majorité des applications ne sont pas concernées mais d'autres, comme les virtualiseurs (Parallels Desktop, VirtualBox) et des utilitaires système, si. C'est aussi plus courant dans l'univers du Hackintosh.
Cette protection supplémentaire, destinée à éviter que des logiciels n'installent au cœur de macOS des fichiers aux effets indésirables, va se traduire par un message d'alerte lorsque l'application veut les charger en mémoire pour la première fois. À l'inverse, si l'application avait été déjà utilisée avant la mise à jour vers High Sierra, elle aura automatiquement le feu vert. Idem si une extension en remplace une précédemment validée.
Ce n'est pas nouveau sur le fond, c'était déjà en place avec les premières bêtas d'High Sierra. Le développeur de RemoteBuddy s'était à ce propos ému du caractère passablement anxiogène du message proposé. Il a beau mentionner le nom de l'application qui veut charger l'extension et comment lui donner son visa, il redoutait que cela n'inquiète tout de même les utilisateurs et oblige à des efforts de pédagogie supplémentaires pour les éditeurs.
Parallels Desktop 13, qui vient d'être lancé, a droit à sa fiche technique pour rassurer l'utilisateur qui serait intrigué par cette alerte inédite.
Au fil des bêtas, Apple n'a pas changé le texte explicatif mais remplacé l'icône rouge et son point d'exclamation par l'icône des préférences "Sécurité et confidentialité". Puisque c'est à cet endroit qu'il faudra aller pour accorder le droit au logiciel de poursuivre son lancement, et on a 30 minutes pour le faire (pour plus de détails, lire macOS High Sierra va bloquer par défaut les fichiers KEXT).
La même fiche explique que cette protection baptisée Secure Kernel Extension Loading (SKEL) peut-être désactivée par une commande de terminal (spctl) exécutée depuis la partition de restauration. Ensuite, qu'une réinitialisation de la NVRAM rétablira cette protection.
Apple prévient aussi les administrateurs système qu'une future mise à jour de High Sierra leur donnera plus de marge de manœuvre pour activer ou désactiver SKEL et décider quelles extensions peuvent se charger sans le consentement des utilisateurs.
La seconde fiche déroule la méthode pour mettre à jour vers High Sierra au sein d'un parc de Mac : ce qu'il faut et faut pas faire avec les images disques pour bien installer son système au complet.
Mais si une application déjà installée avec un effet indésirable est automatiquement autorisée sur High Sierra, la sécurité n'en sera pas moins assurée
Mais, ça change rien, ça fait des petits pas qui manquent nos habitudes de se débarrasser de CE qui nous dérange avec/sans des Contreparties …En ajoutant une complexité, mal exploitée, elles sont mal barrées.
Sur Hackintosh, il suffit de faire injecter les Kext par Clover pour ne pas être dérangé par ces mécanismes de sécurité.