10.12 Sierra Confidentialité & Accessibilité

Flickta

Membre junior
7 Juillet 2011
84
14
Bonjour à tous :)

En installant Maintenance (le petit frère d'Onyx) et à sa première exécution il m'a demandé d'aller dans :

1/Préférences Système -> Sécurité et confidentialité -> onglet Confidentialité
2/ Dans la liste de gauche, cliquer sur Accessibilité
3/ glisser/déposer l'application Maintenance (depuis /Applications) dans la fenêtre de droite
4/ Dans cette même fenêtre de droite (qui liste les applications autorisées), veiller ou cocher la case qui apparait à gauche de l’icone de l'application.

L'objectif étant (selon le message apparu) de permettre au logiciel de manipuler des fichiers de macOS (à juste titre).

Or est apparu au même instant, la petite fenêtre demandant le login et MdP administrateur.

Question : je ne vois pas bien quoi sert la 1ère procédure décrite en 4 étapes alors qu'en parallèle, le logiciel demande aussi le login/MdP admin pour faire son job.

A quoi sert cet fonctionnalité Accessibilité dans Sécurité et confidentialité ?

Merci :coucou:
 

macomaniac

Ouroboros
Club MacG
20 Septembre 2012
85 452
25 807
Forêt de Fontainebleau
Bonjour Flickta

L'opération que tu décris consiste à autoriser une application à contrôler l'ordinateur (càd. à pouvoir effectuer des opérations sur des fichiers du Système).

L'intégrité du Système est surveillée par un « sous-Système » intitulé : « security assessment policy subsystem » (si tu me permets une traduction facétieuse : sous-système policier assurant la sécurité du Système - en abrégé sp).

Si tu veux qu'une application ne se fasse pas « arrêter » en cas d'intervention affectant le Système > il te faut obtenir une dérogation permanente de la part du sp : le sous-système policier de surveillance du Système.

Le panneau des Préférences Système que tu évoques te permet d'obtenir cette dérogation de manière graphique en 2 étapes :

  • par un glisser-déposer dans la fenêtre d'accessibilité du panneau Sécurité et confidentialité --> tu cites à comparaître l'application qui t'intéresse devant l'autorité du sp : le sous-système policier de surveillance du Système.
  • par un cochage de la case correspondante assorti d'une authentification par mot-de-passe admin --> tu obtiens de la part du sp la dérogation pour cette application lui permettant de contrôler l'ordinateur - càd. le Système Opérateur.

[Dans le «Terminal» - l'utilitaire spctl (= security_policy_control : contrôle du sp) peut être appelé pour opérer exactement la même chose en mode texte. Mais la syntaxe des commandes spctl est - disons-le - assez « brumeuse » (ce qui se comprend étant donné ses enjeux "politiques") --> il est donc beaucoup plus simple pour l'utilisateur de passer par le mode graphique.]
 
Dernière édition:

Flickta

Membre junior
7 Juillet 2011
84
14
@macomaniac :coucou:

Toujours aussi pédagogue et précis dans tes expliations:joyful:

J'en déduis que si l'on veut donner les droits admin ad vitam aeternam à une application et/ou process il faut la présenter au sp via la fenêtre d'accessibilité du panneau Securité et confidentialité.

Je pense par exemple à un Dropbox ou tout autre utilitaire qui fait ses mises à jours et pour lequel un utilisateur de compte géré (qui ne connait pas le mot de passer "admin") ne serait pas bloqué à son utilisation puisque la dérogation via le sp est active.

Une sorte de mise à jour silencieuse pour les utilisateurs gérés en qq sorte sans pénaliser leur quotidien.

J'ai bon ? :)
 

macomaniac

Ouroboros
Club MacG
20 Septembre 2012
85 452
25 807
Forêt de Fontainebleau
Je pense par exemple à un Dropbox ou tout autre utilitaire qui fait ses mises à jours et pour lequel un utilisateur de compte géré (qui ne connait pas le mot de passer "admin") ne serait pas bloqué à son utilisation puisque la dérogation via le sp est active.

Une sorte de mise à jour silencieuse pour les utilisateurs gérés en qq sorte sans pénaliser leur quotidien.

Je n'ai pas de certitudes établies sur le point de détail que tu évoques (davantage de doutes que de certitudes, en fait).

J'ai l'impression que la dérogation dont je parlais concerne la capacité d'une application à exécuter des processus avec l'identité de l'utilisateur admin qui a effectué la requête.

À supposer un autre utilisateur identifié dans l'OS qui se connecte et ouvre une session alternative : je n'ai pas l'impression que la dérogation obtenue par le précédent admin puisse rejaillir sur lui, puisque les processus de l'application seront exécutés avec l'identité de ce nouvel admin - lequel n'a pas encore pour sa part obtenu une dérogation.

À supposer à présent un compte limité par le contrôle familial > pour lequel un admin a défini à l'avance un cadre d'autorisations : alors dans ce cas spécial il se peut qu'une dérogation obtenue par l'administrateur pour une application soit affectée à l'identité de l'utilisateur contrôlé (et pas à l'identité intrinsèque de l'administrateur). Mais je n'ai aucune certitude sur ce point éminemment byzantin (je ne sais pas exactement quel arbitrage ont décidé les ingénieurs de la  en charge de la question - càd. quelles anticipations tortueuses ont bien pu leur passer par la tête).

En admettant qu'ils aient accordé ce droit de "passation" > reste quand même à envisager ses limitations : une application autorisée par dérogation à exécuter des processus sur le Système le peut (j'ai l'impression) aussi longtemps qu'elle ne s'écarte pas de l'identité de ses fonctions exécutables. Sous ce rapport > des mises-à-jours "mineures" peuvent passer dans la mesure où elles n'affectent pas cette identité exécutive. Mais toute mise-à-jour "majeure" (impliquant par exemple le remplacement d'une version de l'application par une nouvelle) m'a l'air de nécessiter un renouvellement de la dérogation (càd. une ré-authentification par mot-de-passe admin).

La commande dans le «Terminal» :
Bloc de code:
sudo spctl --master-disable
neutralise le "sous-système de contrôle policier" du Système dans ses fonctions de blocage (l'effet graphique de la commande consiste à restaurer, dans le panneau Sécurité et confidentialité > Général > l'option : "Autoriser les applications téléchargées de : N'importe où" - avec pré-cochage par défaut). Mais elle ne suspend pas l'imposition d'une authentification par mot-de-passe admin une première fois > pour obtenir une dérogation en faveur d'une application exécutant des processus sur le Système.