C'est une nouveauté discrète de macOS Ventura et d'iOS 16, mais qui sera un pilier de la sécurité de ces systèmes. Apple va pouvoir pousser des correctifs qui s'appliqueront automatiquement, sans avoir à redémarrer le Mac, l'iPhone ou l'iPad à l'inverse des mises à jour classiques.
Les failles seront donc bouchées plus rapidement, sans que l'utilisateur ait à lever le petit doigt ni poireauter devant sa bécane pour être en sécurité. Les « grosses » mises à jour qui embarquent de nouvelles fonctions nécessiteront toujours un redémarrage par contre.
Des mises à jour de sécurité « rapides » sur iOS 16 et macOS Ventura
Techniquement parlant, Apple s'appuie sur une particularité mise en place avec macOS Catalina. Les fichiers du système sont stockés dans une partition séparée Macintosh HD, en lecture seule. Les données de l'utilisateur sont installées dans une partition Macintosh HD - Données, accessible en lecture et en écriture bien sûr. Les deux partitions font partie du même conteneur APFS et se redimensionnent à la volée en fonction des besoins.
macOS Catalina : le système installé sur une partition en lecture seule
Il restait toutefois possible, en désactivant SIP, de monter la partition Macintosh HD et d'y faire des modifications. Simplement, au redémarrage du Mac, le volume repassait en lecture seule. Avec macOS Big Sur, Apple a ajouté une sécurité : le volume système signé (SSV) qui contient l'OS ne démarrera pas si macOS détecte que des fichiers ont changé.
Jusqu'à présent, lors de l'installation de nouvelles versions de macOS, le SSV monte en arrière-plan, les fichiers sont mis à jour puis une nouvelle signature cryptographique est créée pour vérification ainsi qu'un instantané APFS (snapshot) de l'état du système. Avec ces outils, le Mac peut ensuite redémarrer sans problème.
Pour installer ses futures mises à jour de sécurité sans redémarrage, macOS Ventura s'appuie sur des images disque « cryptex », comme l'explique le site Threedots. Elles sont vues par le système comme des extensions du volume existant.
Ces images peuvent s'ouvrir et il est possible d'y modifier des fichiers indépendamment du SSV, mais pour macOS elles font partie du volume système. Par conséquent, Ventura peut apporter des correctifs dans des fichiers systèmes et des apps — comme WebKit, les frameworks JavaScript ou Safari — présents dans ces images cryptex, sans avoir à toucher le SSV.
Pour l'utilisateur, c'est complètement transparent et même indolore, puisque sa machine n'a même plus besoin de redémarrer. Et pour Apple, ce nouveau système renforce l'édifice sécuritaire de ses systèmes d'exploitation. Reste à voir à quelle fréquence le constructeur compte s'en servir, et si cela aura un impact sur le rythme des mises à jour de maintenance traditionnelles.
Source : ArsTechnica
