System Integrity Protection

Classé dans : Apple | 0

SIP (System Integrity Protection) est une couche de sécurité introduite par Apple au sein de son dernier système OS X El Capitan qui permet notamment d’éviter la modification des fichiers et dossiers du système par d’éventuels malwares.

Jusqu’à maintenant, le compte root, intégré à tout UNIX, OS X compris, permettait d’accéder sans restriction à des emplacements protégés du système, ou à des applications spécifiques. Dans OS X, le compte root (désactivé par défaut) n’avait aucune restriction en termes de permissions et pouvait accéder à pratiquement n’importe quel emplacement dans l’OS. L’utilisation de la commande sudo permettait ainsi de modifier tout fichier ou toute application visible.

System Integrity Protection utilise la technologie de sandboxing pour restreindre le compte root et de limiter son champ d’action. Les répertoires suivants deviennent dès lors inaccessibles en écriture :

  • /System
  • /usr
  • /bin
  • /sbin
  • Apps pré-installées avec OS X

Les applications tierces peuvent cependant toujours accéder aux chemins suivants :

  • /Applications
  • /Library
  • /usr/local

Les sections protégées d’OS X ne sont accessibles que par des processus signés par Apple, tels que les mises à jour et les packages d’installation Apple. Les applications téléchargées de l’App Store fonctionnent bien entendu également avec SIP.

SIP permet également d’empêcher un logiciel de modifier le volume de démarrage par défaut. Le seul moyen de fixer ce paramètre devient la Préférence Système « Disque de démarrage ». Bien sûr, il reste possible de choisir manuellement un volume de boot en utilisant le Boot Manager lors du démarrage du poste.

Enfin, SIP inclut également une protection contre l’injection de code (qui ont pour généralement pour but d’obtenir une élévation des privilèges, ou d’installer un malware) dans les processus et contre l’utilisation d’extensions de noyau (KEXT) non signées par certificat.

SIP est activé par défaut lors de la migration vers El Capitan mais peut (pour l’instant) être désactivé, notamment pour les besoins de certains développeurs.