Sécurité au démarrage dans macOS
Les règlements de sécurité au démarrage peuvent aider à restreindre qui peut démarrer un Mac et quels appareils peuvent être utilisés pour démarrer le Mac.
Contrôle du règlement de sécurité du disque de démarrage sur un Mac avec puce Apple
Contrairement aux règlements de sécurité sur les ordinateurs Mac avec processeur Intel, les règlements de sécurité sur un Mac avec puce Apple sont pris en charge pour chaque système d’exploitation installé. Ainsi, plusieurs instances de macOS installées avec des versions et des règlements de sécurité différents peuvent exister sur la même machine. Pour cette raison, un sélecteur de système d’exploitation a été ajouté à Utilitaire Sécurité au démarrage.
Sur un Mac avec puce Apple, Utilitaire Sécurité au démarrage indique l’état de sécurité global de macOS configuré par l’utilisateur, tel que le démarrage d’une extension de noyau ou la configuration de la protection de l’intégrité du système. Si la modification d’un réglage de sécurité risque de dégrader considérablement la sécurité ou de rendre le système plus facile à compromettre, les utilisateurs doivent redémarrer dans recoveryOS en maintenant le bouton d’alimentation (de sorte que le logiciel malveillant ne puisse pas déclencher le signal, seul un humain ayant un accès physique le peut) afin d’effectuer la modification. De ce fait, un Mac avec puce Apple ne nécessite pas non plus (ou ne prend pas en charge) de mot de passe pour le programme interne, toutes les modifications importantes étant déjà soumises à une autorisation de l’utilisateur. Pour en savoir plus sur la protection de l’intégrité du système, consultez la rubrique Protection de l’intégrité du système dans la documentation « Sécurité des plateformes Apple ».
Les organisations peuvent cependant empêcher l’accès à l’environnement recoveryOS, y compris à l’écran des options de démarrage, au moyen d’un mot de passe recoveryOS sous macOS 11.5 ou une version ultérieure. Pour en savoir plus, consultez la section « Mot de passe recoveryOS » ci-dessous.
Règlement de sécurité
Il existe trois règlements de sécurité pour un Mac avec puce Apple :
Sécurité maximale : Le système réagit comme iOS et iPadOS : il ne permet de démarrer que les logiciels connus comme étant les plus récents disponibles au moment de l’installation.
Sécurité réduite : Ce niveau de règlement permet au système d’exécuter des versions plus anciennes de macOS. Comme les anciennes versions de macOS présentent inévitablement des vulnérabilités non corrigées, ce mode de sécurité est décrit comme réduit. Il s’agit également du niveau de politique qu’il faut configurer manuellement pour prendre en charge les extensions de noyau de démarrage sans utiliser une solution de gestion des appareils mobiles (GAM) et l’inscription automatisée des appareils avec Apple School Manager, Apple Business Manager ou Apple Business Essentials.
Sécurité permissive : Ce niveau de règlement soutient les utilisateurs qui construisent, signent et démarrent leurs propres noyaux XNU personnalisés. La protection de l’intégrité du système doit être désactivée avant d’activer le mode Sécurité permissive. Pour en savoir plus, consultez la rubrique Protection de l’intégrité du système dans la documentation « Sécurité des plateformes Apple ».
Pour en savoir plus sur les règlements de sécurité, consultez la rubrique Contrôle du règlement de sécurité du disque de démarrage sur un Mac avec puce Apple dans la documentation « Sécurité des plateformes Apple ».
Mot de passe recoveryOS
Un Mac avec puce Apple sous macOS 11.5 ou ultérieur prend en charge le réglage par la GAM d’un mot de passe recoveryOS au moyen de la commande SetRecoveryLock. Sans la saisie du mot de passe recoveryOS, un utilisateur ne peut pas accéder à l’environnement de récupération, ni à l’écran des options de démarrage. Un mot de passe recoveryOS peut être réglé uniquement au moyen de la GAM. Pour que celle-ci puisse mettre à jour ou supprimer un mot de passe existant, il faut fournir le mot de passe en vigueur. Le mot de passe recoveryOS peut être réglé, mis à jour ou supprimé uniquement par la GAM. La désinscription de la GAM d’un ordinateur Mac doté d’un mot de passe recoveryOS supprime également ce mot de passe. Les administrateurs de la GAM peuvent également vérifier si un mot de passe recoveryOS est défini en utilisant la commande VerifyRecoveryLock.
Remarque : Le réglage d’un mot de passe recoveryOS n’empêche pas la restauration d’un ordinateur Mac avec puce Apple en mode DFU à l’aide d’Apple Configurator, qui chiffre les données précédentes du Mac de façon à les rendre inaccessibles.
Utilitaire Sécurité au démarrage
Sur les ordinateurs Mac avec processeur Intel équipés d’une puce T2 Security d’Apple, l’Utilitaire Sécurité au démarrage gère un certain nombre de réglages des règlements de sécurité. L’utilitaire est accessible en démarrant dans recoveryOS et en sélectionnant Utilitaire Sécurité au démarrage dans le menu Utilitaires et protège les réglages de sécurité pris en charge contre toute manipulation facile par un attaquant.
La règle de démarrage sécurisé peut être réglée à un de ces trois réglages : Sécurité maximale, Sécurité normale et Aucune sécurité. Le réglage « Aucune sécurité » désactive complètement l’évaluation du démarrage sécurisé sur le processeur Intel et permet à l’utilisateur de démarrer ce qu’il veut.
Pour en savoir plus sur les règlements de sécurité, consultez la rubrique Utilitaire Sécurité au démarrage sur un Mac doté d’une puce T2 Security d’Apple dans la documentation « Sécurité des plateformes Apple ».
Utilitaire de mot de passe du programme interne
Les ordinateurs Mac sans puce Apple prennent en charge l’utilisation d’un mot de passe du programme interne pour empêcher les modifications involontaires des réglages du programme interne sur un Mac spécifique. Le mot de passe du programme interne est utilisé pour empêcher les utilisateurs de sélectionner d’autres modes de démarrage tels que recoveryOS ou le mode Utilisateur unique, le démarrage à partir d’un volume non autorisé ou le mode disque cible. Un mot de passe du programme interne peut être réglé, mis à jour ou supprimé au moyen de l’outil de ligne de commande firmwarepasswd, d’Utilitaire de mot de passe du programme interne ou de la GAM. Pour que la GAM puisse mettre à jour ou effacer un mot de passe du programme interne, elle doit d’abord connaître le mot de passe existant, le cas échéant.
Remarque : Le réglage d’un mot de passe du programme interne n’empêche pas la restauration d’un ordinateur avec puce T2 Security d’Apple en mode DFU à l’aide d’Apple Configurator. Après la restauration du Mac, tout mot de passe du programme interne réglé sur l’appareil est supprimé et les données du stockage interne sont effacées de façon sécuritaire.