macOS High Sierra vérifie l'intégrité de l'EFI chaque semaine

Stéphane Moussie |

macOS High Sierra introduit une nouvelle mesure de sécurité concernant l’EFI des Mac. Un utilitaire baptisé eficheck vérifie chaque semaine l’intégrité du programme de démarrage des ordinateurs.

Cliquer pour agrandir

Si aucune anomalie n’est détectée, l’utilitaire ne se manifeste pas. Si, au contraire, l’EFI a été modifié, une boîte de dialogue apparaît et vous suggère d’envoyer à Apple le rapport d’erreur. Si vous dites oui une fois, le rapport sera automatiquement envoyé à chaque nouvelle occasion.

Selon ses concepteurs, Xeno Kovah, Nikolaj Schlej et Corey Kallenberg, il s’agit du premier outil de vérification d’intégrité d’un firmware déployé à grande échelle. Interrogé par nos soins, le chercheur Pedro Vilaça, qui avait hacké l’EFI de certains Mac en 2015, estime qu’eficheck est un « effort important » d’Apple pour améliorer la sécurité des Mac.

Les hackintosh, qui utilisent des EFI modifiés, vont-ils être affectés d’une façon ou d’une autre par ce nouveau dispositif ? « En résumé, si vous voyez [la boîte de dialogue], cliquez sur “Envoyer”, sauf si vous utilisez un hackintosh. Dans ce cas, [n’envoyez pas le rapport], parce que ce sont des données inutiles pour nous », a écrit Xeno Kovah avant d’effacer sa série de tweets explicatifs (toujours consultable dans le cache de Google).

D’après cette déclaration, Apple n’a donc pas l’intention d’exploiter eficheck pour bloquer les hackintosh. Leurs possesseurs sont simplement invités à ne pas partager leur EFI modifié afin de ne pas fausser la base de référence. Xeno Kovah va présenter sa création plus en détail lors de la conférence ekoparty qui se tiendra à la fin de la semaine.

avatar umrk | 

Envoyer le rapport à Apple si vous avez un hackintosh .... cela me rappelle la définition de "Chutzpah" par Guy Kawasaki (à propos de la Chutzpah dont Steve savait faire preuve ...)

avatar C1rc3@0rc | 

@umrk
Oh tres bon ;)

Bon la verification de l'EFI consiste a obliger le Mac a se connecter a Internet, envoyer une "empreinte" de l'EFI, qui est de plus en plus specifique a la machine au fur et a mesure des mise a jours de High Sierra, de verifier la concordance de cet EFI avec un registres sur les serveurs d'Apple, et d'expedier un tas de données de fonctionnement (le rapport) divers et variées qui peuvent aller de l'usage des applications presentes, de log de connexion,...

En gros Apple a mis en place un outil qui garanti une collecte d'info d'usage hebdomadaire d'une machine aussi sûrement identifiée qu'avec des empreintes digitale.

Et on disait de Windows 10 que c'est un espion de MS...

avatar labon | 

Oui. Enfin j'oses imaginer que le rapport d'erreur contient les spec matérielles. Apple devrait facilement pouvoir filtrer les rapports venant d'originaux et de hackintoshs

avatar jb18v | 

Oui et non, le hackintosh utilise un profil reprenant au plus près les spécifications d'un modèle Apple existant (pour faire croire à l'OS qu'il est bien installé sur une machine Apple), mais effectivement si dans le détail on voit par exemple un iMac avec un GPU Nvidia Pascal, c'est qu'il y a anguille sous roche :)

avatar r e m y | 

@jb18v

Là c'est plutôt baleine sous gravillon... ?

avatar Link1993 | 

@jb18v

Bah, si tu en mets une dans un mac pro, une Pascal s’affichera aussi dans leur base de données, et ça sera pourtant un vrai Mac !

avatar jb18v | 

@Link1993

Certes, c'était un exemple :)

avatar oomu | 

c'est le cas de mon mac pro 2009 ;)

un vrai mac pro mais avec une Pascal.

avatar C1rc3@0rc | 

@Link1993

Les seuls vrais Mac pour Apple ce sont le Macbook et l'iMac Pro.

avatar 0MiguelAnge0 | 

@jb18v

FAUX. Un Mac Pro avant 2013 peut acceuillir la série Pascal. Nvidia a fourni des drivers Web supportant Sierra.

avatar LaurentR | 

Ce qui vaut pour les hackintosh doit aussi valoir pour les anciens mac qui utilisent des boot.efi modifiés comme celui modifié par Pike par exemple pour pouvoir installer les dernières versions du système.

avatar CR_B | 

Donc idem au hackintosh pour ceux qui utilisent sierra Patch tool.
Est-ce qu'on sait si il y aura un moyen de virer la verification ?

avatar C1rc3@0rc | 

Le Firewall d'Office ? ;)

avatar Mus-dz | 

Oui, il y a un moyen d’éviter cette vérification, dans Préférence Système/App Store et de décocher l'option "Installer les fichiers de données système et les mise à jour de sécurité" mais je vous le déconseille vivement.

avatar ErGo_404 | 

C'est donc effectivement une confirmation à demi mots que le Hackintosh ne pose plus trop de problèmes à Apple.
Du coup ça ressemble un peu à une lubie qui rendait Steve furieux mais dont tous les autres décideurs d'Apple savaient parfaitement que ça n'impacterait pas tant leurs ventes que ça.

avatar LeGrosJeanLou | 

@Ergo_404

Mis à part l'action de Steve Jobs contre les "cloneurs" je ne me rappelle pas avoir jamais vu Apple lutter activement contre le hackintosh. Elle aurait d'ailleurs tord de faire autrement, étant moi-même venu au monde Apple par ce biais, comme nombre de mes amis.

En fait le hackintosh c'est la meilleure pub possible pour Apple. Ça marche suffisamment bien pour que les utilisateurs PC réalisent le gouffre qui sépare macOS de Windows, tant en terme de simplicité que de stabilité, mais ça ne marche pas assez bien ou longtemps pour que les macusers se passent des machines Apple.

Si je crois me souvenir d'un truc c'est Apple qui demande à un constructeur d'arrêter de faire la promotion de ses machines en tant que bons hackintosh mais c'est tout.

En même temps que pourrait bien faire Apple de concret contre le hackintosh ?

avatar r e m y | 

@LeGrosJeanLou

Je ne veux pas donner de mauvaise idee à Apple, mais des actions concrètes et simples contre le hackintosh pourraient consister
- à signer MacOS comme Apple signe les installations d'iOS en bloquant les machines tierces
- à bloquer le lancement de MacOS si l'EFI n'est pas "clean"

avatar fte | 

@r e m y

N'étant pas dans un environnement matériel verrouillé, toutes ces solutions de bloquage n'emmerderaient que les clients innocents, les autres auront déplombé leur logiciel et ne subiront pas les aléas de ces mesures. Ça me rappelle les dongles USB ou serveurs de licences d'Xpress à une époque, que pas un studio un peu sérieux utilisaient. Tout était déplombé et un classeur contenait les documents de licence des logiciels installés, originaux et en bon ordre, juste au cas où. Ou plus récemment le jailbreak (pas que d'iOS, mais de firmwares très variés).

avatar BeePotato | 

@ fte : « N'étant pas dans un environnement matériel verrouillé, toutes ces solutions de bloquage n'emmerderaient que les clients innocents, les autres auront déplombé leur logiciel et ne subiront pas les aléas de ces mesures. »

Tout à fait d’accord. Les mesures de ce genre ont toujours gêné principalement les clients honnêtes, et je suis bien content de ne jamais avoir eu à subir ça pour Mac OS. J’espère bien que ça va continuer comme ça.

avatar Biking Dutch Man | 

@r e m y

Et à bloquer le retour à une version antérieure de Mac OS!

avatar C1rc3@0rc | 

@fte

«N'étant pas dans un environnement matériel verrouillé, toutes ces solutions de bloquage n'emmerderaient que les clients innocents»

Auquel Cupertino pourrait repondre qu'un client n'est pas innocent s'il n'achete pas assez souvent et sans se plaindre de l'inflation du prix des produits.

@r e m y donne ici une reponse tres (faussement naive), car il n'y a pas besoin de bloquer a distance le lancement de MacOS si l'EFI n'est pas "clean", il suffit de bloquer l'acces aux serveurs d'Apple:
- serveurs de mise a jour,
- serveur du Mac App Store,
- serveur iTunes,
- serveur iCloud
- serveur Apple ID
...

L'OS ne pouvant plus se mettre a jour, il est vulnerables aux failles de securité publiées (puisque patché sur la derniere mise a jour...). Impossible de mettre a jour les applications dont celles sous abonnement qui cessent de fonctionner si elle ne sont pas mis a jour regulierement et ne peuvent pas se reactiver regulierement en se connectant au serveur d'Apple... On perd alors tout ce qu'on a mis sur le cloud et ce que l'on y a achete... au bout d'un certain nombre de tentatives de verifications qui echouent, c'est alors l'Apple ID qui est bloquée - mesure de securité, des fois que le Mac serait compromis - ce qui bloque donc tous les autre appareils,... Bref on se retrouve assez vite avec une brique sur laquelle on peut meme plus installer une version precedente de MacOS, l'EFI l'empechant. On peut meme ne plus pouvoir installer Linux...

@ Biking Dutch Man
«Et à bloquer le retour à une version antérieure de Mac OS!»

C'est deja le cas avec la mise a jour du firmware lors de la conversion du SSD a APFS... au moins pour l'instant sur les machines a SSD soudé.

avatar fte | 

@C1rc3@0rc

"L'OS ne pouvant plus se mettre a jour"

Dès lors qu'il y a des Mac démarrant sur clé USB, le système est accessible au moins sous forme installée, donc récupérable et transférable... Patchable, pour lui faire croire ce qu'on veut. Rappelons qu'il tourne en virtualisation également. Bref.

Et pourquoi ? Protéger une plateforme qui intéresse de moins en moins, y compris chez Apple soi-même ?

avatar Rez2a | 

@LeGrosJeanLou

Je comprends l’argument mais je suis pas vraiment d’accord.

Je ne pense pas que les hackintosh soient simplement de la pub à peu de frais pour Apple, comme le serait un Photoshop qu’on laisse pirater facilement par des étudiants puisqu’ils seront un jour des professionnels déjà habitués à l’outil.

Le vrai problème que pose le hackintosh, c’est qu’il profite certes à des clients potentiels d’Apple qui n’ont simplement pas les moyens ou l’envie d’investir dans un Mac (et sur ce cas on est d’accord), mais également à des clients d’Apple qui ont les moyens / envie mais à qui la gamme ne correspond pas.

Franchement j’ai déjà hésité à franchir le pas, pourtant j’avais pas rechigné à leur filer près de 3000€ lorsque le premier iMac 5K est sorti.

Mais au final, tous leurs ordis sont des « jetables » qu’on doit racheter lorsque les performances ne suivent plus ; quelqu’un qui veut un Mac et qui veut des performances graphiques de pointe est bien dans la merde aujourd’hui, et je suis pas sûr que le nouvel iMac Pro « 5K » (pour 5000$ ?) soit une réponse adaptée.

Bref, le vrai problème c’est qu’en étant malhonnête, tu peux avoir une bien meilleure config que tout ce qui existe chez Apple, le fait que ça soit moins cher est juste du bonus.

Si Apple veut lutter contre le hackintosh à la régulière, ils n’ont qu’à sortir un ordi modulaire comme l’était l’ancien Mac Pro.

S’ils veulent lutter contre le hackintosh peu importe les moyens, je te laisse deviner ce que peut faire un fabricant d’ordis qui commence à embarquer ses puces homemade dans ses derniers MacBook. ?

Après, je suis convaincu qu’ils ont des chiffres très précis du nombre de hackintosh en circulation, et qu’ils laissent couler pour l’instant.

Mais le jour où un nombre significatif de clients prêts à dépenser des milliers d’€ chez eux se tourneront vers les hackintosh, simplement parcequ’il est possible d’avoir mieux que ce qu’ils offrent dans leur gamme... ils feraient mieux de se faire du souci ou de revoir leur offre.

avatar en ballade | 

@LeGrosJeanLou

"le gouffre qui sépare macOS de Windows"

Hackintosh depuis snow leopard pour final cut et le gouffre n’est que dans ton esprit.

avatar BeePotato | 

@ ErGo_404 : « C'est donc effectivement une confirmation à demi mots que le Hackintosh ne pose plus trop de problèmes à Apple. »

Curieuse interprétation, surtout quand on voit que les tweets en question ont été effacés.

C’était plutôt un gusse ne travaillant pas depuis assez longtemps chez Apple pour avoir complètement assimilé l’idée qu’il n’est plus censé communiquer de cette façon au sujet de son boulot (et ça ne concerne sûrement pas que le fait d’avoir mentionné les hackintosh). Quelqu’un s’est manifestement chargé de le lui rappeler.

avatar lecureuil | 

Il suffit que le rapport envoie les infos sur l’EFI et le numéro de série du Mac par la même occasion et les hackintosh seront bloqués

avatar fte | 

Au contraire, je me dis qu'il faudrait envoyer ces rapports, ainsi Apple pourrait avoir une mesure certes très parcellaire et peu fiable des hackintoshes en production. Leur courbe de croissance tout au moins, probablement plus significative...

avatar MarcMame | 

@fte : "Au contraire, je me dis qu'il faudrait envoyer ces rapports, ainsi Apple pourrait avoir une mesure certes très parcellaire et peu fiable des hackintoshes en production. Leur courbe de croissance tout au moins, probablement plus significative..."
-------------------------------------------------------
C'est une information qui est déjà très largement disponible.
Apple connait déjà et depuis de nombreuses années le nombre de hackintosh en circulation.

avatar fte | 

@MarcMame

"Apple connait déjà et depuis de nombreuses années le nombre de hackintosh en circulation."

Ah bon ? Source ?

avatar lmouillart | 

com.apple.SubmitDiagInfo ? et autres éléments de télémétrie.

avatar Jazzride | 

"Je ne veux pas donner de mauvaise idee à Apple, mais des actions concrètes et simples contre le hackintosh pourraient consister
- à signer MacOS comme Apple signe les installations d'iOS en bloquant les machines tierces
- à bloquer le lancement de MacOS si l'EFI n'est pas "clean""

Probable. De toute façon il y aura bien un moment où d'une manière ou d'une autre les hack seront bloqués (passage à Arm, IOS, controle EFI...) voila pourquoi je ne me lancerai pas dans le hack. J'ai essayé ca fonctionne un temps mais il y a toujours des composants qui ne sont pas reconnus et a la moindre MAJ couic. Pas fun du tout.

Tant qu'on en parlait peu, pas de soucis mais on en parle désormais bien trop, ouvertement et massivement et là... il faut s'attendre à une réponse sans doute technique et discrète mais efficace.

"D’après cette déclaration, Apple n’a donc pas l’intention d’exploiter eficheck pour bloquer les hackintosh."

non mais bien sûr :0)

" Ça marche suffisamment bien pour que les utilisateurs PC réalisent le gouffre qui sépare macOS de Windows, tant en terme de simplicité que de stabilité, mais ça ne marche pas assez bien ou longtemps pour que les macusers se passent des machines Apple."

fonctionner sur un PC avec un OS piraté est plus sûr que fonctionner sur le meme PC avec un OS officiel ? ah bon :0) là il faut se mettre à la page, on n'est plus aux temps de vista. Non le hack n'est quand meme pas la solution à retenir dans un cadre professionnel. Faut rester sérieux. C'est marrant c'est une performance mais point. Ne serait ce qu'au moment des mises à jour toujours problématiques. Il est temps de remettre les pendules à l'heure: le jour où ressortirait un bon mac pro exit les hack. non et puis l'intéret de apple est d'avoir un système cohérent et simple.Si c'est plus complexe que l'install de win10 ou linux, autant aller vers win10 ou linux.

"En même temps que pourrait bien faire Apple de concret contre le hackintosh ?"

Apple bloque une install en downgrade Mac oS sur ses propres machines alors quid sur du non officiel non marqué ? ben la réponse est simple, blocage en vue. Tant qu'on n'est pas connecté aucun souci mais à la premiere connection, terminato ! Pas viable dans le monde pro. Le seul argument du hack est le prix: on monte une machine ressemblant à un mac pro, moins cher, mais qui n'en est pas un, qui contraint à bidouiller, tout en étant cher quand meme.

Eh bien navré mais au lieu de claquer 1500/2000 euros dans un pseudo MP je préfere avoir une vraie station de travail HPZ ou autre du même niveau.

avatar en ballade | 

@Jazzride

"J'ai essayé"

Et tu as échoué....dommage

avatar CrashMidnick | 

Le hackintosh reste de la bidouille + hobby pour pas mal de monde. Je ne pense pas qu’Apple soit très inquiet, sauf erreur de ma part il n’y a jamais eu autant de Mac dans la nature si j’en crois les données ici et là sur le Net, il n’y en auraient pas beaucoup plus s’ils le bloquaient.

avatar macam | 

@crash :
Une autre explication possible, qui n'exclue pas la tienne, est qu'Apple laisse faire parce que pour le moment elle n'a pas d'alternative "maison" à proposer. Et comme l'indique ci-dessous byte_order ça permet de garder dans son giron ceux qui n'ont d'autre choix que de recourir au hackintosh.
Quand le futur Mac Pro sortira, s'il sera réussi, peut-être Apple serrera-t-elle la vis aux hackintosheurs ?

avatar CrashMidnick | 

@macam
C'est pas faux :)
Perso je l'attends de pied ferme ce Mac Pro, c'est la raison pour laquelle je suis sur hack : une tour évolutive et avec des composants remplaçables. Ils n'ont plus d'offre actuellement qui répondrait à mes besoins. Qui vivra verra. S'il est pas mal, je me le payerai sans doute et bye bye le hack.

avatar byte_order | 

La part des ventes des Mac dans les recettes d'Apple chute depuis des années. Plus de 70% provient des ventes de terminaux sous iOS, pas sous macOS.

Dans ces ventes de Mac, la part des portables est très majoritaire également.
Hors le hackintosh sur portable PC, c'est encore moins répandu que sur tour PC, et pour cause, c'est pas facille de trouver un portable PC où tout est totalement supporté nativement par macOS, là où sur une tour PC on peut assembler de multiples combinaisons de carte mère + cartes PCIs complémentaires.

La part du manque à gagné des hackintosh en tour PC pèse absolument rien dans les recettes d'Apple.

Ce qui ne signifie pas qu'il n'y a pas chez eux une volonté de tout verrouiller. Au contraire.
Mais c'est pas justifié par le manque à gagner des hackintoshs, mais par les perspectives des plus à gagner de rendre encore plus captif les clients macOS. Probablement pour mieux les inciter à migrer dans l'ecosystème iOS, l'intégration d'une partie de cet écosystème ayant déjà largement commencé dans macOS.

avatar aspartame | 

très bien ...

on désactive ce machin comment ?

CONNEXION UTILISATEUR