Avec macOS High Sierra, l'utilisateur devra donner son autorisation avant qu'une extension de kernel (les "kext") conçue par un éditeur tiers puisse être chargée par le système. Plusieurs logiciels plus ou moins spécialisés et parfois assez grand public font usage de cette possibilité d'ajouter des fonctions au plus bas niveau de macOS. Il y a VMWare Fusion, Parallels Desktop, LittleSnitch, Duet Display (affichage du Mac déporté sur un iPad) ou encore Remote Buddy (pour piloter son Mac et ses applications avec toutes sortes de télécommandes, infrarouges ou non).
Felix Schwarz, l'auteur de ce dernier utilitaire, s'en inquiète. Moins pour ce nouveau tour dans la sécurité de macOS que sur la manière dont Apple l'a mis en place.
Dans une fiche technique, Apple explique que l'utilisateur verra une fenêtre d'alerte lui expliquant que le chargement d'une extension système a été bloqué mais qu'il peut néanmoins le valider. À noter que les extensions déjà présentes dans le système avant une mise à jour vers High Sierra sont acceptées d'office.
Probablement pour éviter que ces utilisateurs ne donnent un blanc-seing de façon un peu trop précipitée ou distraite, il ne suffit pas de cliquer sur un bouton pour donner le feu vert. Il faut se rendre dans le panneau "Sécurité et confidentialité" de Préférences système.
À cet endroit, un message indique qu'un logiciel système du développeur "untel" a été bloqué et un bouton d'autorisation est disponible. Ce message ainsi que ce bouton ne seront affichés que durant les 30 minutes qui suivent la tentative de lancement. Passé ce délai il disparaîtront jusqu'à ce que le logiciel installé ait à nouveau besoin de charger l'extension système. Et ainsi de suite.
Apple précise par ailleurs que les prochaines bêtas de High Sierra sauront désactiver cette protection par une ligne de commande, lorsqu'il est nécessaire de procéder à des installations en entreprise. Dans ce cas l'utilisateur n'a pas son mot à dire.
C'est tout ce cheminement et notamment la première fenêtre d'alerte passablement dissuasive pour un utilisateur lambda qui fait grimacer Felix Schwarz. L'intention est louable dit-il mais la mise en œuvre est plus discutable. Il y a un effet anxiogène avec ce premier message d'alerte qui peut servir de repoussoir sur l'utilisateur. L'éditeur peut essayer de communiquer en amont mais sans garantie que cela soit très efficace. Les utilisateurs ne sont pas toujours très attentifs aux consignes et modes d'emploi.
Au vu du nombre assez faible d'applications qui utilisent de tels fichiers d'extensions, Schwarz suggère par exemple un processus de validation des Kext par Apple (celle-ci exige déjà des développeurs de ces modules un identifiant spécifique). Pour les heureux élus il rendrait inutile ces barrières et seules les applications non validées ou porteuses de malwares devraient s'y frotter.
