Comment désactiver la fonction de sécurité MacOS Catalina qui empêche les applications d'accéder aux dossiers Bureau, Documents et Téléchargements sans mon autorisation ?
La solution idéale serait quelque chose que je puisse faire une seule fois pour permettre à toutes les applications d'accéder à ces dossiers sans simplement leur accorder un accès complet au disque.
Mes dossiers Bureau et Documents sont stockés localement, pas dans iCloud Drive.
Cette fonctionnalité est désignée par Apple sous le nom de "Transparence, consentement et contrôle" (TCC), contrôle d'accès et contrôle des politiques de préférences en matière de vie privée (PPPC). Elle est conçue pour permettre à l'utilisateur de contrôler les applications afin de protéger sa vie privée. Dans certains cas, une application demandera l'accès à quelque chose dont elle n'a vraiment pas besoin et l'utilisateur peut empêcher l'application d'accéder à ces données ou au chemin du système de fichiers. C'est ennuyeux, mais c'est généralement un événement unique par application. Donc, à moins que vous ne procédiez fréquemment à une installation propre de MacOS, ce n'est pas très gênant.
Apple propose un moyen de créer une charge utile de profil de configuration pour établir une liste blanche des applications afin que les invites d'approbation de l'utilisateur n'apparaissent pas. Un serveur de gestion des appareils mobiles (MDM) serait le meilleur moyen de déployer la charge utile.
Il est possible de créer un profil de configuration Plist XML personnalisé et de le charger manuellement sur MacOS Catalina sans MDM, et cela pourrait fonctionner pour mettre sur liste blanche les applications que vous spécifiez. Mais c'est beaucoup de travail et à partir de MacOS 11 (10.16), Big Sur ne fonctionnera plus. Big Sur ne fera tout simplement pas confiance à un profil de configuration s'il ne provient pas d'un MDM approuvé.
Si vous voulez essayer de mettre les applications en liste blanche et d'installer manuellement un profil personnalisé, vous pouvez consulter cet exemple ici : https://support.apple.com/guide/mdm/privacy-preferences-policy-control-custom-mdm9ddb7e0b5/1/web/1 Vous pouvez utiliser le Configurateur Apple pour créer le profil de configuration avec cette charge utile et un double-clic sur le fichier .mobileconfig devrait installer le profil. Il existe également une commande de profil en ligne de commande.
Ceux qui utilisent MDM déploient généralement un grand nombre d'applications et de configurations et ils établissent une liste blanche des extensions de noyau et des entrées PPPC/TCC via les profils de configuration. Ils peuvent verrouiller un grand nombre de choses sur MacOS/iPadOS/iOS. Les administrateurs doivent mettre les applications sur une liste blanche afin que les utilisateurs ne soient pas submergés par un grand nombre d'invites d'approbation, mais aussi pour qu'ils soient moins nombreux à être surpris lorsqu'ils en voient une et qu'ils puissent faire un choix approprié ou au moins appeler le service d'assistance. Vous ne voulez pas que les utilisateurs cliquent sur des invites fréquentes sans réfléchir à la question posée. La plupart des Macs gérés par un MDM n'accorderaient même pas de droits d'administrateur aux utilisateurs et fourniraient un App Store spécifique à l'entreprise où des applications préemballées et préparées sont fournies. Ces applications seraient toutes sur une liste blanche d'approbations PPPC/TCC. Le Mac App Store peut être bloqué pour l'utilisateur. Ces applications peuvent être déployées par le MDM via l'intégration VPP (Volume Purchase Pricing) avec le service des achats de l'entreprise.
Donc, à moins de configurer votre propre serveur MDM et de créer manuellement un profil de configuration pour mettre toutes les applications sur une liste blanche et de mettre à jour cette liste au fil du temps. Puis le déployer. Il n'y a pas vraiment de bonne réponse ici. C'est encore beaucoup de travail de spécifier manuellement chaque application dans un fichier XML et ce n'est vraiment utile que si vous le faites sur plusieurs Macs.
Il y a un utilitaire Python tccutil.py sur Github qui peut mettre sur liste blanche des applications individuelles pour le tcc.db mais l'accès au tcc.db est bloqué par SIP (System Integrity Protection) depuis Sierra. TCC a été mis à jour depuis Mojave pour ajouter l'approbation de l'utilisateur pour Desktop, Documents, Downloads, etc. Cet outil ne fonctionnera pas si vous ne désactivez pas SIP. La désactivation de SIP est NON RECOMMANDÉ . Depuis Catalina, le volume System est en lecture seule. Il faudrait donc non seulement désactiver SIP mais aussi contourner le volume APFS en lecture seule du système, ce qui est possible. Encore une fois, NON RECOMMANDÉ . C'est beaucoup de travail qui, franchement, ne vaut pas la peine de faire l'effort de contourner une invite unique par application.
Il existe un exploit publié dans lequel une application malveillante pourrait se faire passer pour un identifiant et des signatures d'application de confiance afin de contourner les protections PPPC/TCC.
SOLUTION POSSIBLE :
Les applications basées sur X11 telles que Fontforge, Gimp, Inkscape, etc. ne fonctionnent pas comme de véritables applications MacOS. Elles exécutent une enveloppe autour d'un binaire de ligne de commande puis chargent les ressources X11 dans l'enveloppe. Par conséquent, vous devez accorder des permissions à l'application Terminal dans laquelle ces applications s'exécutent réellement.
Essayez d'aller dans Préférences système -> Sécurité et confidentialité -> Confidentialité -> Accès au disque complet -> Déverrouiller le panneau et cliquez sur + et ajoutez l'application Terminal. C'est assez dangereux et a des implications de sécurité mais selon les problèmes Github concernant Gimp, Fontforge, etc. Cela peut résoudre le problème en tant que contournement. Il est peu probable que ces applications résolvent complètement ce problème. Elles ont apporté des modifications récentes pour atténuer le problème sous MacOS.
Certains commentateurs ont demandé comment utiliser leurs applications X11 sur Catalina. J'ai donc pensé que j'allais poursuivre avec les recherches que j'ai effectuées sur cette question récemment lorsque j'ai eu des difficultés à utiliser FontForge.
Bien que la personne qui a répondu à l'origine ait raison de dire qu'il n'y a pas de moyen de faire cela pour toutes les applications, il existe une solution de contournement pour certaines applications qui sont plus susceptibles d'avoir des problèmes en demandant l'accès à ces dossiers, bien que cela pose des problèmes de sécurité.
Les versions récentes de GIMP et Inkscape ont corrigé ce problème. Les personnes qui rencontrent le même problème que moi devraient essayer de mettre à jour leurs applications. FontForge, cependant, n'a pas été mis à jour pour corriger ce problème et semble peu susceptible de le faire. La solution "briser le verre en cas d'urgence" dans ce cas est d'ajouter "/bin/sh" à la section Accès complet au disque des Préférences Système. Il est évident que c'est NON SÉCURISÉ . NE LE FAITES PAS à moins d'avoir une sauvegarde. Cependant, si vous avez une sauvegarde, cela résoudra presque certainement vos problèmes d'accès aux dossiers jusqu'à ce que FontForge mette à jour son logiciel. Si et seulement si vous avez fait une sauvegarde récente de vos fichiers. veuillez suivre les instructions ci-dessous.
Voir https://gitlab.gnome.org/GNOME/gimp/-/issues/3710#note_630890 y https://gitlab.com/inkscape/inkscape/-/issues/459 pour le contexte (les pages concernent GIMP et Inkscape mais la solution de contournement a été recommandée dans les rapports de bogue de FontForge).
LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.
