Protection de l’intégrité du système
macOS utilise les autorisations du noyau pour limiter l’accès en écriture des fichiers système essentiels au moyen de la SIP (Systeme Integrity Protection, protection de l’intégrité du système). Cette fonctionnalité est indépendante et s’ajoute à la KIP (Kernel Integrity Protection, protection de l’intégrité du noyau) matérielle disponible sur un Mac avec puce Apple, qui protège contre les modifications de la mémoire du noyau. La technologie de contrôle d’accès obligatoire est utilisée à ces fins et pour assurer d’autres protections au niveau du noyau, y compris la mise en bac à sable et Data Vault.
Contrôles d’accès obligatoires
macOS fait appel aux contrôles d’accès obligatoires. Ces règlements de sécurité créés par le développeur ne peuvent être annulés, contrairement aux contrôles d’accès discrétionnaires, que l’utilisateur peut contourner à sa guise.
Invisibles pour l’utilisateur, les contrôles d’accès obligatoires sont à la base de plusieurs fonctionnalités clés, comme la mise en bac à sable, les contrôles parentaux, les préférences gérées, les extensions et la protection de l’intégrité du système.
Protection de l’intégrité du système
Grâce à la protection de l’intégrité du système, certains emplacements clés du système de fichiers offrent uniquement l’accès en lecture seule, ce qui contribue à empêcher les programmes malveillants d’en modifier le contenu. La protection de l’intégrité du système est un réglage propre à l’ordinateur. Elle est activée par défaut lorsqu’un utilisateur met à niveau le système d’exploitation vers OS X 10.11 ou version ultérieure. Si cette fonction est désactivée sur un Mac avec processeur Intel, toutes les partitions du dispositif de stockage matériel perdent la protection. macOS applique ce règlement de sécurité à tous les processus actifs du système, même s’ils s’exécutent dans un bac à sable ou avec des privilèges administrateur.