Sécurité au démarrage sous macOS
Les règlements de sécurité au démarrage peuvent aider à limiter les personnes pouvant démarrer un Mac et quels appareils peuvent être utilisés pour le démarrer.
Contrôle des règlements de sécurité du disque de démarrage pour un Mac doté d’une puce Apple
Contrairement aux règlements de sécurité présents sur les ordinateurs Mac à processeur Intel, les règlements de sécurité présents sur un Mac doté d’une puce Apple sont pris en charge pour chaque système d’exploitation installé. Cela signifie que plusieurs instances de macOS, comprenant différentes versions et règlements de sécurité, peuvent être installées sur la même machine. Par conséquent, un sélecteur de système d’exploitation a été ajouté à Utilitaire Sécurité au démarrage.
Sur un Mac doté d’une puce Apple, Utilitaire Sécurité au démarrage indique l’état général de sécurité configuré par l’utilisateur de macOS, tel que le démarrage d’une extension du noyau (kext) ou la configuration de la protection de l’intégrité du système (SIP). Si la modification d’un réglage de sécurité risque de compromettre fortement la sécurité ou de rendre le système plus facile à corrompre, les utilisateurs doivent redémarrer le système d’exploitation de secours en maintenant le bouton d’alimentation enfoncé (de sorte que le signal ne puisse pas être déclenché par un logiciel malveillant, mais seulement par un humain au moyen d’un accès physique) afin d’effectuer la modification. De ce fait, un Mac doté d’une puce Apple ne requiert pas non plus (ni ne prend en charge) un mot de passe de programme interne. Toutes les modifications essentielles sont déjà contrôlées par l’autorisation d’utilisateur. Pour en savoir plus sur la protection de l’intégrité système, consultez la rubrique System Integrity Protection (en anglais) dans Apple Platform Security (Sécurité des plateformes Apple).
Cependant, les organisations peuvent empêcher lʼaccès à lʼenvironnement du système dʼexploitation de secours (recoveryOS), y compris lʼécran des options de démarrage, à lʼaide du mot de passe recoveryOS, disponible sous macOS 11.5 ou ultérieur. Pour en savoir plus, reportez-vous à la section « Mot de passe du système dʼexploitation de secours » (recoveryOS) ci-dessous.
Règlements de sécurité
Il existe trois règlements de sécurité pour un Mac doté d’une puce Apple :
Sécurité maximale : Le système se comporte comme iOS et iPadOS, et autorise uniquement le démarrage du logiciel connu comme étant le dernier disponible au moment de l’installation.
Sécurité réduite : Ce niveau de règlement permet au système d’exécuter d’anciennes versions de macOS. Étant donné que les anciennes versions de macOS présentent inévitablement des failles non corrigées, ce mode de sécurité est décrit comme Réduit. Il s’agit également du niveau de politique qui doit être configuré manuellement pour prendre en charge le démarrage d’extensions de noyau (kexts) sans utiliser de solution de gestion des appareils mobiles (MDM) ni l’inscription d’appareils automatisée avec Apple School Manager, Apple Business Manager ou Apple Business Essentials.
Sécurité moyenne : Ce niveau de règlement prend en charge les utilisateurs qui conçoivent, signent et démarrent leurs propres noyaux XNU personnalisés. La protection de l’intégrité du système (SIP) doit être désactivée avant d’activer le Mode « Sécurité moyenne ». Pour en savoir plus, consultez la rubrique System Integrity Protection (en anglais) dans Apple Platform Security (Sécurité des plateformes Apple).
Pour en savoir plus sur les règlements de sécurité, consultez la rubrique Startup Disk security policy control for a Mac with Apple silicon (en anglais) dans Apple Platform Security (Sécurité des plateformes Apple).
Mot de passe du système dʼexploitation de secours (recoveryOS)
Un Mac doté dʼune puce Apple exécutant macOS 11.5 ou ultérieur prend en charge la configuration dʼun mot de passe du système dʼexploitation de secours à lʼaide dʼune solution MDM par le biais de la commande SetRecoveryLock. Sauf si le mot de passe du système d’exploitation de secours est saisi, il n’est pas possible pour un utilisateur d’accéder à l’environnement de récupération, y compris lʼécran des options de démarrage. Un mot de passe de système dʼexploitation de secours peut être défini uniquement à lʼaide de la solution MDM, et pour que celle-ci puisse mettre à jour ou supprimer un mot de passe existant, le mot de passe actuel doit également être saisi. Étant donné que le mot de passe du système dʼexploitation de secours ne peut être défini, mis à jour ou supprimé que par le biais de la solution MDM, le fait de désinscrire de la solution MDM un ordinateur Mac pour lequel un mot de passe du système dʼexploitation de secours a été défini supprime également le mot de passe. Les administrateurs de la solution MDM peuvent également vérifier si le mot de passe du système d’exploitation de secours est correctement défini en utilisant la commande VerifyRecoveryLock.
Remarque : définir un mot de passe de système dʼexploitation de secours nʼempêche pas la restauration dʼun ordinateur Mac doté dʼune puce Apple via le mode DFU à lʼaide dʼApple Configurator, qui rend également les anciennes données sur le Mac cryptographiquement inaccessibles.
Utilitaire Sécurité au démarrage
Sur les Mac à processeur Intel dotés d’une puce de sécurité T2 d’Apple, Utilitaire Sécurité au démarrage gère un ensemble de réglages concernant les règlements de sécurité. L’utilitaire est accessible en démarrant en mode de système d’exploitation de secours (recoveryOS) et en sélectionnant « Utilitaire Sécurité au démarrage » dans le menu Utilitaires, et il protège les réglages de sécurité pris en charge contre les manipulations simples d’éventuels pirates.
Le règlement de démarrage sécurisé peut être configuré selon l’un des trois réglages suivants : Sécurité maximale, Sécurité normale et Aucune sécurité. Aucune sécurité désactive complètement l’évaluation du démarrage sécurisé sur le processeur Intel et permet à l’utilisateur de démarrer ce qu’il veut.
Pour en savoir plus sur les règlements de sécurité, consultez la rubrique Startup Security Utility on a Mac with an Apple T2 Security Chip (en anglais) dans Apple Platform Security (Sécurité des plateformes Apple).
Utilitaire de mot de passe du programme interne
Les ordinateurs Mac dépourvus de puce Apple prennent en charge l’utilisation d’un mot de passe de programme interne afin d’empêcher toute modification involontaire des réglages du programme interne sur un Mac particulier. Le mot de passe du programme interne est utilisé pour empêcher des utilisateurs de sélectionner des modes de démarrage alternatifs, tel que le démarrage en mode de système d’exploitation de secours ou en mode mono-utilisateur, le démarrage à partir d’un volume non autorisé ou le démarrage en mode disque cible. Un mot de passe du programme interne peut être défini, mis à jour ou supprimé à l’aide de l’outil de ligne de commande firmwarepasswd, Utilitaire de mot de passe du programme interne ou la solution MDM. Pour que la solution MDM soit en mesure de mettre à jour ou effacer le mot de passe d’un programme interne, elle soit tout d’abord connaître le mot de passe existant, le cas échéant.
Remarque : définir un mot de passe de programme interne nʼempêche pas la récupération du programme interne de la puce de sécurité T2 dʼApple via le mode DFU, à lʼaide dʼApple Configurator. Lorsque le Mac est restauré, tout mot de passe de programme interne sur lʼappareil est effacé et les données du stockage interne sont effacées de manière sécurisée.