OS X 10.11 - Comprendre les nouvelles règles de sécurité, Qu'est-ce qu'elles changent sur nos Hackintosh ?

[polyzargone]

Bonjour à tous.

Je vous propose ici de venir discuter des nouvelles règles en matière de sécurité introduites par OS X "El Capitan".

Le temps où OS X pouvait se vanter d'être à l'abri des virus et des malware est révolu. Sans parler des failles de sécurité propres à OS X . L'actualité récente le prouve régulièrement, et avec le succès toujours grandissants des OS d'Apple (OS X, iOS et maintenant WatchOS), les menaces sont de plus en plus présentes et il serait suicidaire de les ignorer.

Il ne s'agit pas ici de débattre sur la politique d'Apple en la matière, les news de MacBidouille ainsi que le forum "Articles & News : Vos réactions" sont là pour ça.

Non, il s'agit plutôt de discuter des implications qu'elle peut avoir sur Nos Hackintosh et sur leur fonctionnement.

Pour commencer, faisons le point :

La Developer Preview 4 et la Public Beta 2 n'autorisent plus le chargement de kexts s'ils sont installés ailleurs que dans /Library/Extensions ou /System/Library/Extensions.

Conséquence : Les kexts situés dans EFI/CLOVER/kexts/10.11 (Clover) et ceux dans Extra/Extensions (Chameleon) ne se chargeront pas. Et ce, même en utilisant les boot-flags kext-dev-mode=1 et/ou rootless=0

Pour l'instant, on ne sait pas trop si c'est dû aux bootloaders ou si c'est autre chose…

Pour rappel :

• kext-dev-mode=1 permet sous Yosemite d'autoriser le chargement des kexts non-signés par Apple ou un développeur enregistré. Sous 10.11, ce boot-flag est obsolète.

• rootless=0 est un nouveau boot-flag qui permet de désactiver l'ensemble des nouvelles mesures de protection d'OS X 10.11. Sans ce boot-flag, il est impossible de modifier le dossier System et donc de modifier, ajouter ou retirer des kexts non-signés par Apple ou un développeur enregistré. Et même dans ce dernier cas, il reste quand même des limitations à ce que peut faire un kext ou pas.

Je vous invite à lire cet article qui explique (en anglais ) assez bien le pourquoi du comment. Vous pouvez également consulter ce document (240 pages ) qui explique le fonctionnement du système de sécurité d'OS X 10.11 (source Apple).

On retiendra donc que le boot-flag rootless=0 remplace kext-dev-mode=1 et qu'il devient de facto obligatoire sur nos Hacks. Pas forcément de façon systématique mais mieux vaut l'activer en permanence si on veut pouvoir bricoler un peu les permissions et/ou reconstruire le cache (je rappelle que c'est très important sur Hackintosh ).

Maintenant, la question qui risque de se poser à terme, c'est va-t-on vers un OS X beaucoup plus vulnérable sur un Hack par rapport à un Mac du fait de la désactivation obligatoire de ces nouvelles mesures de protection ?

Si sur Yosemite, kext-dev-mode=1 ouvrait déjà un peu les vannes, sur El Capitan, c'est carrément tout le système de protection qui sera désactivé !

Voilà. Tout ceci ne sont que des interprétations basées sur ce que j'en ai vu/lu. Je vous invite bien sûr à partager vos points de vue et à me corriger si je n'ai rien compris .

[Sebinouse]

Si sur Yosemite, kext-dev-mode=1 ouvrait déjà un peu les vannes, sur El Capitan, c'est carrément tout le système de protection qui sera désactivé !

J'étais en train de me poser les mêmes questions mais dans ma tête, je n'aurais pas eu le courage de faire un post complet comme celui la ! Merci !

Bon maintenant on peut relativiser : avant Yosemite aucune de ces protections n'existait ... elles vont dans le bon sens mais elles ne sont peut-être pas indispensables dans un premier temps on revient à du MacOSX 10.9 dans lequel on pouvait charger les kext de notre choix et rooter comme on voulait ...



Ce message a été modifié par Sebinouse - 23 Jul 2015, 22:13.

[polyzargone]

Bon maintenant on peut relativiser : avant Yosemite aucune de ces protections n'existait ... elles vont dans le bon sens mais elles ne sont peut-être pas indispensables dans un premier temps on revient à du MacOSX 10.9 dans lequel on pouvait charger les kext de notre choix et rooter comme on voulait ...

Absolument. Je ne veux pas non plus dramatiser à outrance tout ça. Et de toute manière, toute conclusion est bien trop prématurée tant qu'on aura pas la GM entre les mains et que les codeurs Hackintosh aient eu le temps de regarder ça de près. Ça peut encore évoluer et au pire, bah on fera avec (ou plutôt sans ).

Aux dernières nouvelles, c'est principalement l'injection des kexts via Clover qui foire et ça a l'air d'avoir quelque chose à voir avec le kernel. Il y a donc encore un espoir que ça vienne de là et pas d'autre chose. Maintenant, je ne suis pas développeur de bootloader donc je m’abstiendrai d'affirmer quoique ce soit .

Mais ne rêvons pas non plus, en ce qui concerne les nouvelles mesures de sécurité, je vois mal Apple faire machine arrière sur ces questions et que cela nous embête un peu sur Hackintosh n'est absolument pas un problème pour eux .

A contrario, je ne pense pas non plus et pour faire taire toute polémique à tendance paranoïaque, que tout ça fait partie d'un plan machiavélique destiné précisément à tuer d'un coup d'un seul les Hackintosh. Ce serait nous donner bien plus d'importance qu'on ne le mérite … Non, il s'agit d'une tendance générale qui consiste à renforcer la sécurité globale des OS, que ce soit sur Mac/PC/Linux.

Après, on peut aussi se dire, et là je m'avance sûrement un peu trop, qu'étant sous Hackintosh on a tendance a mieux comprendre ces problématiques de signature des kexts et les notions de root, droits/permissions. Ça ne fait pas de nous des experts mais j'aime à penser que ça nous permet d'appréhender cela un (peu) plus facilement que l'utilisateur Lambda… Mais là, je rêve certainement un peu !

Mais bon, on peut très bien vivre sans ces mesures si on fait un minimum attention à ce qu'on installe. Il y aura toujours des ptits malins qui trouveront des moyens beaucoup plus sophistiqués pour contourner les barrières et ça, même sans rootless=0 un utilisateur moyen ou relativement expérimenté n'y pourra pas grand chose .