Pourquoi Asahi Linux exige-t-il la désactivation des fonctions de sécurité pour être installé ?

Je dois également placer le MacBook en mode de sécurité "permissif" via la récupération pour terminer l'installation.

Il s'agit d'une idée fausse. Vous ne mettez pas le MacBook en mode de sécurité "permissif". Vous placez l'installation de Asahi Linux en mode permissif.

Les Apple Silicon Macs mettent en œuvre un mécanisme de démarrage sécurisé unique qui ne ressemble à aucun autre appareil informatique personnel. En général, les appareils sont soit totalement ouverts, soit verrouillés par les seuls logiciels approuvés par le fabricant, soit peuvent passer d'un état à l'autre grâce à un mécanisme (parfois plus, parfois moins sécurisé). Les machines Apple Silicon mettent plutôt en œuvre le mode de sécurité séparément pour chaque système d'exploitation installé dans le cadre d'une structure appelée Politique de démarrage et voici ce que signifient les modes de sécurité disponibles :

• Sécurité complète : Ne démarre que les systèmes d'exploitation approuvés par Apple, et l'installation nécessite de téléphoner à Apple (ce qui leur permet de révoquer les anciennes versions de logiciels vulnérables pour qu'elles ne soient plus installées).
• Une sécurité réduite : Ne démarre que les systèmes d'exploitation approuvés par Apple, mais n'importe quel système d'exploitation jamais publié peut être installé sans aucun problème.
• Sécurité permissive : Ne démarrera que Approuvé par l'utilisateur OS, où l'approbation nécessite une présence physique et une authentification. Secure Boot est toujours activé, mais maintenant il est vous qui choisit ce qu'il faut autoriser, pas Apple.

En raison de la façon dont le mécanisme est conçu, les nouveaux systèmes d'exploitation doivent d'abord être installés dans les locaux de l'entreprise. Sécurité totale (sous MacOS) ou Sécurité réduite (à partir d'un recoveryOS existant) avant d'être rétrogradé en mode Sécurité permissive plus tard. Cela doit être fait à partir d'une instance recoveryOS strictement contrôlée, et les exigences sont nombreuses :

• Il doit s'agir d'un recoveryOS signé par Apple
• Il doit être de la même version (du point de vue de la machine) que le système d'exploitation en cours de rétrogradation.
• Il doit s'agir d'une instance installée et appariée avec le système d'exploitation en cours de rétrogradation.
• Il a dû être lancé par une procédure très spécifique, impliquant de maintenir le bouton d'alimentation enfoncé depuis un état d'arrêt à froid pour prouver la présence de l'utilisateur.
• L'utilisateur doit entrer ses informations d'identification, qui doivent avoir été autorisées en tant que propriétaire de la machine (généralement un utilisateur administrateur d'une installation MacOS existante).

À ce stade, la sécurité de ce système d'exploitation spécifique peut être dégradée et le chargeur de démarrage du système d'exploitation personnalisé peut être installé. Ce processus signe localement le nouveau chargeur de démarrage du système d'exploitation avec une signature cryptographique, de sorte que son remplacement ne peut être effectué qu'en suivant à nouveau ce processus. Cela vous donne la possibilité d'avoir un système d'exploitation tiers entièrement contrôlé par l'utilisateur et démarré en toute sécurité. . Bien sûr, ces systèmes d'exploitation tiers doivent mettre en œuvre une chaîne de démarrage sécurisée complète pour être aussi sûrs que MacOS (Asahi Linux ne le fait pas encore, mais c'est prévu depuis le premier jour et cela arrivera un jour).

Le processus d'installation de Asahi Linux est, essentiellement, le suivant :

• Créer un nouveau conteneur APFS
• Installer un MacOS "stub" (téléchargé directement depuis le CDN d'Apple), de la version que nous avons choisie, contenant tout sauf le système de fichiers racine (cela inclut recoveryOS et tous les composants nécessaires à son fonctionnement, ainsi que le bootloader iBoot et le firmware apparié au système d'exploitation qui ne peuvent pas être remplacés dans l'installation d'un système d'exploitation tiers).
• Installez Asahi Linux (partitions EFI/ext4). Ceci est inerte à ce stade.
• Autoriser le démarrage du nouveau MacOS sur cette machine. Si vous installez à partir de MacOS, le processus d'installation par téléphone se déroulera en coulisses et l'autorisera à démarrer sur cette machine. Sécurité totale mode. Si vous installez Asahi Linux directement à partir d'un terminal recoveryOS, il vous demandera des informations de connexion et passera directement à l'étape suivante Sécurité réduite (qui est le niveau le plus bas que l'on puisse atteindre à partir d'un mode non apparié recoveryOS appartenant à la mauvaise installation MacOS), en évitant l'étape du téléphone d'accueil.
• Marquez le nouveau système d'exploitation comme option de démarrage par défaut et demandez à l'utilisateur de démarrer dans recoveryOS (en maintenant le bouton d'alimentation enfoncé). Ceci va, implicitement, démarrer dans la nouvelle instance de recoveryOS qui vient d'être installée, qui est l'instance de recoveryOS de l'ordinateur. uniquement qui peut autoriser une modification de Sécurité permissive pour le nouveau système d'exploitation. L'installateur de Asahi Linux utilise une astuce pour rendre cela plus ergonomique pour les utilisateurs, de sorte qu'il semble que vous sélectionnez l'installation de Asahi Linux et il va directement dans l'installation script au lieu que vous ayez à sortir un Terminal et le lancer manuellement, mais vous devez encore être dans le bon recoveryOS (qui est ce que vous obtenez en maintenant le bouton d'alimentation). Notez que le "boot picker" qui vous permet de choisir un OS est le suivant déjà un recoveryOS en marche !
• Changez le mode de sécurité de ce système d'exploitation en Sécurité permissive en demandant à l'utilisateur de fournir des informations d'identification au cours du processus.
• Enfin, installez le chargeur de démarrage Asahi Linux (qui le signe localement et l'autorise à démarrer sur cette machine - il s'agit d'un processus local, pas d'appel à la maison), en demandant à nouveau des informations d'identification.

À ce moment-là, vous redémarrez et vous êtes dans le nouveau système d'exploitation.

Comment cela affecte-t-il la sécurité des autres systèmes d'exploitation sur la machine ? Il n'y en a pas. Votre installation MacOS existante reste en sécurité totale, avec tous les privilèges que cela implique (comme la possibilité d'exécuter des applications iOS et de regarder du contenu protégé par DRM). L'image du système d'exploitation elle-même est toujours signée par Apple et vérifiée au moment de l'exécution, et ne peut pas être compromise à partir de Linux. Les données de l'utilisateur peuvent être si vous n'avez pas activé FileVault (bien qu'en pratique nous n'ayons pas de support pour APFS avec un cryptage transparent de toute façon, donc un attaquant devrait d'abord développer cela !) Si vous l'avez fait, le système d'exploitation tiers peut tout au plus détruire/corrompre vos données, mais pas les extraire ou les compromettre.

L'activation de FileVault présente également un avantage supplémentaire : elle oblige RecoveryOS à vous demander des informations d'identification dès le départ, ce qui signifie que vous ne pouvez pas utiliser cet environnement pour vous introduire dans votre machine ou contourner les exigences de connexion par mot de passe.

Ainsi, ces machines sont conçu pour que vous puissiez le faire sans compromettre la sécurité de votre système d'exploitation principal. Quant à savoir si vous parviendrez à convaincre l'équipe de sécurité de votre entreprise, c'est une autre question :-)

Vous trouverez une description plus détaillée de l'architecture de sécurité d'Apple Silicon sur la page Introduction au Silicium d'Apple sur la page du wiki Asahi Linux.