Comment désactiver SIP (et le réactiver)

Anthony Nelzin-Santos |

Le mécanisme de System Integrity Protection (SIP), ou « protection de l’intégrité du système » dans la langue de Doomams, limite les pouvoirs de l’utilisateur root. Or l’utilisateur root est censé… avoir tous les pouvoirs. SIP perturbe donc l’installation et le fonctionnement des utilitaires accédant aux tréfonds du système. Dans ce cas, il peut être utile de le désactiver.

Même si certains en sont persuadés, SIP n’a pas été conçu pour vous compliquer la vie. Il vous protège réellement des attaques contre la plus grande faille dans le fonctionnement de macOS : vous. Le mot de passe du compte d’administrateur permet d’« emprunter » les droits du compte root, et même d’en changer le mot de passe, et ainsi d’avoir toutes les permissions sur le système.

Or « la plupart des Mac sont utilisés par une seule personne », dixit Apple, personne « qui possède les droits d’administration par défaut ». Donnez votre mot de passe d’administrateur à une application malveillante, comme un cheval de Troie se faisant passer pour une application bénigne, et vous lui donnerez le contrôle de votre machine (lire : Comment SIP parachève la politique sécuritaire d’Apple)

La désactivation de SIP ne provoquera aucune catastrophe immédiate. Après tout, SIP n’existait pas avant OS X El Capitan, et l’on s’en sortait à peu près correctement. Mais vous n’avez aucune bonne raison de ne pas le réactiver après coup1, et ne devriez probablement pas le désactiver parce qu’une application inconnue au bataillon vous le demande.

Pour désactiver SIP, redémarrez votre Mac sur la partition de restauration, en maintenant les touches et R au démarrage. Lancez le Terminal avec le menu Utilitaires > Terminal, puis tapez la commande :

csrutil disable

Le message Successfully disabled System Integrity Protection. Please restart the machine for the changes to take effect doit apparaître pour confirmer l’opération.

Redémarrez votre Mac : SIP est maintenant désactivé. Par acquit de conscience, vous pouvez toujours le vérifier dans le Terminal avec la commande :

csrutil status

Si le message System Integrity Protection status: disabled apparaît, SIP est bien désactivé. Effectuez les opérations que SIP bloquait — l’activation du TRIM sur un SSD tiers, par exemple, ou encore l’installation d’utilitaires comme TotalFinder ou cDock — puis réactivez SIP. Après avoir redémarré votre Mac sur la partition de restauration et lancé le Terminal, entrez cette fois la commande suivante :

csrutil enable

  1. Sauf si vous êtes un développeur de pilotes, par exemple, puisqu’il faut que vous puissiez accéder en tout temps aux bases du système. Mais ce cas est bien sûr une exception, pas la règle.

Pour aller plus loin :
Tags
#Trucs et astuces #SIP
avatar faysse | 

j'ai une question étrange, si on désactive SIP, qu'on formate le disque et qu'on ré-installe MacOs SIP se ré-active, en principe, hors le phénomène que je rencontre et le suivant j'ai désactiver SIP et en ayant oublié de le réactiver avant le formatage je me suis dit que de toute manière ceci serait ré-activer, que néni. visiblement il reste désactivé, c'est pas grave en soit mais je me posait la question.

avatar Nicolas R. | 

Je comprends pas trop. Si tu formates réellement, il ne reste rien. Le SIP est donc actif lors d'une réinstallation car faisant parti du système. Logique, non ?

C'est pas une puce TPM sur les PC ou la puce pour l'empreinte digitale, il me semble que ce n'est que software.

avatar C1rc3@0rc | 

@ faysse

Ce que tu dis n'a aucun sens.
Soit tu fait une "clean install" (formatage>réinitialisation de la machine>installation de MacOS> rapatriement des données sauvegardée) et tu as un nouvel OS avec tous les reglages par defaut. Soit tu fais un clone ton disque, le formate, puis fait la restauration a partir du clone et tu as... le clone de ton MacOS avec toutes ses modifications...

SIP est (aujourd'hui) une fonctions de MacOS pas une fonction de la machine. Ça va probablement changer avec les futurs Mac ARMisé, mais pour le moment c'est pas le cas.

Apres l'excellent article explique de maniere accessible le fonctionnent et la raison a SIP.

On pourrait developper un peu en disans que SIP est une technique de protection typiquement issue de la strategie de "perimetrisation" - definition de perimetres de securité progressifs - qui est l'approche la plus efficace aujourd'hui.

Le bemol c'est que pas mal de fonction de SIP sont la pour compenser la non utilisation des bases Unix de MacOS en terme de droit d'acces. Un Unix doit comporter au minimum 2 comptes en plus du compte Root: le compte administrateur et le(s) comptes utilisateurs

L'utilisateur de Mac n'etant a priori pas un ingenieur informaticien, le principe de base serait d'installer automatiquement un compte administrateur et un compte utilisateur lors de la premiere installation de MacOS et d'expliquer a l'utilisateur qu'il ne doit utiliser le compte adminstrateur que pour installer des soft et faire des mise a jour (ou plutot definir une interface obligeant a faire cela)

Apple a choisi de faire l'impasse sur cela et de ne pas definir de mot de passe pour l'utilisateur Root (on a vu la consequence malheureuse avec l'acces root avec un mot de passe vide - une connerie de plus de MacOS HS 10.13)
A la place Apple installe un compte administrateur et le castre avec SIP.

C'est un choix - tres discutable - qui permet de limiter les degats, mais qui denature et pertube la hierarchie de droits Unix.
En fait Apple considere l'utilisateur comme un neuneu incapable de comprendre ce qu'il fait (et d'apprendre) auquel il ne faut laisser aucune responsabilité, mais lui met directement une bagnole entre les mains (le compte administrateur), mais equipée d'une clé qui lui permet de rouler qu'a 40km/h (mais partout a 40km/h)...

avatar Marco787 | 

@ C1rc3@0rc

Avant de considérer que les autres se trompent, vous devriez vous assurer que ce n'est pas vous qui vous méprenez totalement.

Le statut du SIP est stocké dans un endroit spécifique (nvram). Ce qu'a affirmé @faysse est donc on ne peut plus fondé...

avatar Elkaar | 

Putain jsuis largé !!

avatar C1rc3@0rc | 

@Elkaar

Si tu comprends pas l'article c'est que tu n'as pas besoin d'intervenir sur SIP.
Dans la pratique courante la manipulation de SIP ne sert qu'a installer un soft qui n'est pas sur l'app store et a accéder a des fonctions dont seuls les développeurs et administrateurs système ont besoin.

avatar Chanteloux | 

Desactiver le Sip permet aussi de se débarasser d'applications que l'on jjuge inutilement encombrantes (itunes, photo... dans mon cas)

avatar r e m y | 

l'activation ou desactivation du SIP est enregistré en NVRAM

avatar C1rc3@0rc | 

@r e m y

Mais quand on fait une clean install on réinitialise la NVRAM/PRAM, sinon c'est pas une clean install.

avatar r e m y | 

@C1rc3@0rc

La réinitialisation de la NVRAM ne se fait pas toute seule! Si on ne le fait pas manuellement et intentionnellement, elle reste non modifiée.

avatar Marco787 | 

@ C1rc3@0rc

"Mais quand on fait une clean install on réinitialise la NVRAM/PRAM, sinon c'est pas une clean install."

Réinitialiser la NVRAM/PRAM (et le SMC) relève d'un contexte différent d'une (clean ou pas) install d'OS. Il s'agit de résoudre des problèmes.

avatar faysse | 

ah ba voilà la bonne réponse, merci il me semblait bien que c'était enregistré quelque part. merci.

avatar switch | 

Le réglage du SIP est en NVRAM en effet.
Je l'ai désactivé récemment pour installer un pilote de carte ExpressCard sur un vieux MacBook Pro 17" avec High Sierra. Et j'ai oublié de le re-activer ensuite. Résultat: le clavier ne répondait plus (mais le trackpad oui). Redémarrage sur la partition de récupération, réactivation du SIP et le clavier du MacBook pro 17" fonctionne à nouveau normalement.
C'est un bug connu, mais si ça peut aider d'autres utilisateurs…

avatar lepoulpebaleine | 

Enlever un SLIP n’est en effet pas difficile.
Mais après, le système se retrouve à poil !

avatar DeluxePainter | 

Ça m’a servi à pouvoir continuer à utiliser mon antenne BearExtender.

avatar ibric (non vérifié) | 

Peut on lancer la partition de restauration sans le clavier ? (au moyen du terminal par exemple, juste avant l'extinction du mac)

avatar r e m y | 

@ibric

Ça devrait être possible. Il faudrait écrire manuellement le choix de disque de démarrage en indiquant la RecoveryHD comme disque de boot (comme le fait le panneau de Préférences Système "Démarrage")

avatar ibric (non vérifié) | 

C'est bien ce qu'il me semble, je vais tester ça. Merci !

avatar r e m y | 

@ibric

Faut juste trouver où le panneau de préférence "démarrage" enregistre le nom et chemin d'accès au disque de boot choisi et y inscrire le RecoveryHD...

avatar MisteriousGaga | 

Pourquoi moi quand je le désactive j’ai une phrase rigolote ? ^^
Les ingénieurs d’apple ont fait une blague ?

avatar r e m y | 

@MisteriousGaga

C'est à dire ? Quelle phrase rigolote?

avatar apaisant | 

Anthony aime le rap.

avatar mica2 | 

J'ai utilisé cette manip pour pouvoir installer TotalFinder et retrouver les barres colorées dans le Finder sur les Macs du bureau. Certains de mes collègues ne peuvent pas s'en passer… Apple n'aurait jamais du les enlever!

avatar Average Joe | 

Qu'appelles-tu les barres colorées dans le Finder ? Moi, ce qui me manque, c'est surtout les couleurs en général des dossiers comme sous Snow Léo.

avatar mica2 | 

J'imagine qu'on parle de la même chose. Avec TotalFinder on peut les remettre, mais il faut désactiver le SIP pour terminer l'installation, puis le réactiver bien sûr !

CONNEXION UTILISATEUR