Le mécanisme de System Integrity Protection (SIP), ou « protection de l’intégrité du système » dans la langue de Doomams, limite les pouvoirs de l’utilisateur root. Or l’utilisateur root est censé… avoir tous les pouvoirs. SIP perturbe donc l’installation et le fonctionnement des utilitaires accédant aux tréfonds du système. Dans ce cas, il peut être utile de le désactiver.
Même si certains en sont persuadés, SIP n’a pas été conçu pour vous compliquer la vie. Il vous protège réellement des attaques contre la plus grande faille dans le fonctionnement de macOS : vous. Le mot de passe du compte d’administrateur permet d’« emprunter » les droits du compte root, et même d’en changer le mot de passe, et ainsi d’avoir toutes les permissions sur le système.
Or « la plupart des Mac sont utilisés par une seule personne », dixit Apple, personne « qui possède les droits d’administration par défaut ». Donnez votre mot de passe d’administrateur à une application malveillante, comme un cheval de Troie se faisant passer pour une application bénigne, et vous lui donnerez le contrôle de votre machine (lire : Comment SIP parachève la politique sécuritaire d’Apple)
La désactivation de SIP ne provoquera aucune catastrophe immédiate. Après tout, SIP n’existait pas avant OS X El Capitan, et l’on s’en sortait à peu près correctement. Mais vous n’avez aucune bonne raison de ne pas le réactiver après coup1, et ne devriez probablement pas le désactiver parce qu’une application inconnue au bataillon vous le demande.
Pour désactiver SIP, redémarrez votre Mac sur la partition de restauration, en maintenant les touches ⌘ et R au démarrage. Lancez le Terminal avec le menu Utilitaires > Terminal, puis tapez la commande :
csrutil disableLe message Successfully disabled System Integrity Protection. Please restart the machine for the changes to take effect doit apparaître pour confirmer l’opération.
Redémarrez votre Mac : SIP est maintenant désactivé. Par acquit de conscience, vous pouvez toujours le vérifier dans le Terminal avec la commande :
csrutil statusSi le message System Integrity Protection status: disabled apparaît, SIP est bien désactivé. Effectuez les opérations que SIP bloquait — l’activation du TRIM sur un SSD tiers, par exemple, ou encore l’installation d’utilitaires comme TotalFinder ou cDock — puis réactivez SIP. Après avoir redémarré votre Mac sur la partition de restauration et lancé le Terminal, entrez cette fois la commande suivante :
csrutil enableSauf si vous êtes un développeur de pilotes, par exemple, puisqu’il faut que vous puissiez accéder en tout temps aux bases du système. Mais ce cas est bien sûr une exception, pas la règle.↩
