Jamf Blog
Novembre 9, 2020 Par Jesus Vigo

Les nouveautés de macOS Big Sur en matière de sécurité

Le dernier système d'exploitation d'Apple est presque là et il y a de nombreuses raisons de s'en réjouir. Cette nouvelle version apporte des changements majeurs en matière de sécurité sur Mac.

Le nouveau look de macOS Big Sur cache des changements dans l'architecture de sécurité qui s'inscrivent dans la suite de Catalina. La division existante du volume de démarrage en deux est renforcée par une protection encore plus grande du système, la notarisation est appliquée plus rigoureusement sans bloquer l'utilisation de code non signé, et macOS s'éloigne des extensions exécutées dans l'espace noyau pour se tourner vers les extensions d'espace utilisateur, notamment les extensions spéciales de sécurité des terminaux.

Système scellé

Le plus gros changement dans macOS 11 est son nouveau volume système scellé (SSV), qui remplace le volume système distinct introduit dans macOS 10.15. Cela renforce la protection du système par rapport au volume en lecture seule existant, couvert par la protection de l'intégrité du système (SIP).

Lors de l'installation de macOS et de son volume système, les hachages cryptographiques sont calculés pour chaque composant de ce volume et assemblés dans une arborescence (comme un Arbre de Merkle) aboutissant à un seul hachage maître appelé sceau. Ces hachages sont enregistrés en tant que métadonnées, et un instantané du système de fichiers est créé à partir du volume. macOS montait le volume système en lecture seule dans Catalina ; désormais, seul cet instantané scellé est monté, donnant aux fichiers système immuables des couches de protection supplémentaires contre la falsification et les erreurs. Ce mécanisme protège également contre les échecs de mise à jour du système, si le sceau ne correspond pas à celui prescrit.

Au démarrage, macOS Big Sur vérifie le sceau sur le système. S'il est brisé, le système d'exploitation ne démarre pas et doit être réinstallé. Le mode de récupération offre une option pour désactiver cette vérification, ce qui permet de personnaliser un volume système et de l'exécuter sans sceau. La mise en place de ce comportement est complexe.

Une fois le sceau retiré, les utilisateurs ne peuvent pas sceller à nouveau le système, et les seuls moyens de créer un système scellé utilisent un programme d'installation ou de mise à jour de macOS Big Sur, ou l'outil de commande Apple Software Restore, asr. Les méthodes précédentes de copie ou de clonage du volume système ne produisent plus de résultat amorçable et les utilitaires tiers compatibles doivent également utiliser asr pour fonctionner.

macOS Big Sur fournit un volume système scellé qui augmente la protection des fichiers système clés contre tous les programmes malveillants actuels. Cela empêche les attaquants les plus déterminés de les modifier après le démarrage du système d'exploitation, protège contre la corruption accidentelle et garantit l'intégrité du système.

Extensions

Les fichiers système mutables sont toujours stockés sur le volume de données inscriptible et ne sont pas protégés par un sceau, ni par d'autres mesures appliquées à la majorité du système. Parmi ces fichiers mutables figurent toutes les extensions de noyau installées par l'utilisateur alors certains s'attendaient à ce qu'elles soient bloquées dans macOS Big Sur. Bien que macOS Big Sur est plus pointilleux dans la surcharge de certaines extensions anciennes, Apple a retardé leur interdiction complète pour donner aux développeurs plus de temps pour se défaire de leur dépendance aux extensions exécutées dans l'espace noyau et les remplacer par des extensions système dans l'espace utilisateur.

Les extensions sont nécessaires pour les applications qui modifient ou étendent les fonctionnalités implémentées dans le noyau et les plus de 300 extensions de noyau standard fournies dans macOS. Les usages classiques incluent les pilotes pour la prise en charge des périphériques, la surveillance du réseau, y compris les logiciels pare-feux, les proxys DNS et les clients VPN, le suivi des modifications apportées au système de fichiers et la prise en charge de systèmes de fichiers supplémentaires.

Lorsque le noyau et les extensions de noyau de Big Sur sont chargés au démarrage, les pages mémoire de l'espace noyau sont verrouillées par Kernel Integrity Protection (déjà utilisé dans iOS) pour empêcher leur modification. Comme les extensions système s'exécutent dans l'espace utilisateur, leur accès au noyau et à ses fonctionnalités est strictement contrôlé. L'extension de sécurité des terminaux est une classe d'extension de système particulièrement importante en matière de sécurité : elle peut surveiller et autoriser des événements tels que l'exécution et la bifurcation de processus, les événements du système de fichiers, y compris la manipulation des fichiers, l'accès aux métadonnées du système de fichiers et la connexion de sockets. Comme pour toutes les extensions système, celles-ci nécessitent un droit spécial accordé exclusivement par Apple et leur installation et leur contrôle sont gérés par leur application compagne.

Le framework de sécurité des terminaux s'avère déjà utile pour mettre en œuvre des outils de sécurité proactifs qui ne dépendent pas de la recherche de programmes malveillants connus, mais qui sont plutôt capables de détecter un comportement potentiellement malveillant et surveiller les parties vulnérables du système qui doivent encore être installées sur le volume de données.

L'abandon des extensions exécutées dans l'espace noyau permet une réduction substantielle de la surface d'attaque, ainsi qu'une amélioration de la fiabilité du système en éliminant le risque de conflits avec les extensions de noyau tierces.

Sécurité des applications

Bien qu'il n'y ait pas de changement global dans les exigences de sécurité pour les applications et autres logiciels tiers, la notarisation est plus strictement appliquée, les utilisateurs devant négocier une séquence de deux dialogues avant que les applications nouvellement installées qui ne sont pas notariées puissent être ouvertes. Dans Catalina, certains utilisateurs ont découvert que l'ouverture d'une nouvelle application dans le Finder exécutait cette application après une seule boîte de dialogue, même lorsqu'elle n'était pas notariée. Dans macOS Big Sur, cette action est rendue plus délibérée, car les utilisateurs doivent utiliser la commande Ouvrir une deuxième fois avant de se voir demander s'ils veulent vraiment exécuter l'application malgré son absence de notarisation.

Le code non signé peut toujours être exécuté sur les modèles Intel, mais les Mac Apple Silicon nécessitent que tout le code exécutable (à l'exception des scripts) soit signé. Cela dit, il peut s'agir simplement d'une signature ad hoc générée localement.

Le nouveau volume système scellé d'Apple est un grand pas en avant dans la sécurisation de macOS et a des conséquences importantes pour certains utilisateurs. Ajoutez à cela une protection améliorée de l'espace noyau grâce au déplacement des extensions utilisateur dans l'espace utilisateur, et vous avez avec macOS 11 un système beaucoup plus résilient.

Conçu spécifiquement pour la sécurité Apple

Essayez Jamf Protect

Êtes-vous prêt pour les mises à niveau de votre Mac ?

Faites de cette mise à niveau du système d'exploitation la meilleure à ce jour.

Photo of Jesus Vigo
Jamf
Jesus is a Copywriter, Security focused on expanding the knowledge base of IT, Security Admins - generally anyone with an interest in securing their Apple devices - with Apple Enterprise Management and the Jamf solutions that will aid them in hardening the devices in the Apple ecosystem.
Parcourir le blog
par catégorie :
S'abonner au blog

Recevez directement dans votre boîte mail les tendances du marché informatique, les mises à jour Apple et les actualités Jamf.

Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.