La polémique est apparue hier, quand le site Phoronix a publié un article indiquant que la puce T2 des Mac récents bloquerait toute installation de Linux. Depuis, l’information a fait le tour de quelques sites, alors même qu’elle n’est pas nouvelle et qu’elle est en grande partie fausse. Non, la puce T2 n’empêche pas d’installer une distribution GNU/Linux, même si l’utilisateur doit désactiver une partie de ses fonctions de sécurité pour y parvenir.
L’iMac Pro, les MacBook Pro 13 et 15 pouces de 2018, le nouveau MacBook Air et le nouveau Mac mini sont tous équipés d’une puce ARM, nommée Apple T2. Celle-ci se charge globalement de la sécurité du système, à la fois en gérant le SSD chiffré à la volée, en contrôlant plusieurs aspects du matériel et en particulier la webcam ou le microphone, et aussi en vérifiant au démarrage que le système d’exploitation n’est pas corrompu. C’est cette dernière fonction, nommée Secure Boot, qui pose problème.
Par défaut, Secure Boot n’accepte que deux systèmes d’exploitation : macOS évidemment, ou bien Windows 10 via BootCamp. Les distributions Linux ou tout autre système d’exploitation ne pourront pas être installées, la puce T2 bloquant au démarrage ce qui pourrait être une copie malveillante de macOS chargée de récupérer vos données à votre insu. C’est une mesure de sécurité et l’utilisateur peut la désactiver.
Nous avions détaillé la procédure en début d’année, dans notre série de tests de l’iMac Pro. Ce n’est qu’une option à décocher, mais étant donné qu’il s’agit d’une protection de bas niveau, il faut redémarrer le Mac sur la partition de restauration et saisir le mot de passe administrateur de la machine, par sécurité. Néanmoins, vous pouvez désactiver totalement Secure Boot et installer alors n’importe quel système d’exploitation.
Phoronix note que certains témoignages semblent indiquer que l’option ne changerait rien et qu’installer Linux ne serait toujours pas possible sur les Mac avec T2. Nous avions réussi à le faire sans encombre sur notre iMac Pro de test, peut-être qu’il y a un bug sur d’autres Mac, mais ce n’est pas une raison pour en tirer une conclusion générale. Apple a placé cette option parce que le constructeur sait pertinemment que c’est un besoin de certains utilisateurs avancés et il n’y a pas de raison que Secure Boot ne puisse pas être totalement désactivé.
Cette possibilité est réservée aux utilisateurs les plus avancés, pour une bonne raison. Cette protection est une très bonne chose dans l’écrasante majorité des cas, elle permet d’assurer aux utilisateurs que c’est bien une copie légitime de macOS ou de Windows 10 qui est installée, et non un clone malveillant. Une critique plus légitime pourrait être que l’on devrait pouvoir garder le démarrage sécurisé tout en installant une distribution Linux, mais cela ne dépend pas que d’Apple.
Peut-être que que certaines distributions populaires, comme Ubuntu, se mettront d’accord avec Apple pour entrer dans le cadre du Secure Boot de la puce ARM des Mac. En attendant, il n’y a effectivement pas d’autre solution que de diminuer la sécurité des Mac si vous voulez installer un autre système d’exploitation.
Pour finir, signalons qu’Apple n’est pas la seule entreprise à sécuriser ainsi ses ordinateurs. Microsoft fait exactement la même chose et installer Linux sur les Surface récentes nécessite également de modifier les paramètres de démarrage pour désactiver les vérifications en place dans l’UEFI. C’est une pratique qui va très certainement se généraliser à l’avenir, mais Apple est, comme souvent, en avance dans ce domaine…
