Le noyau macOS vérifie les signatures et l'intégrité des binaires Mach-O avant exécution

Contrairement à Linux ou aux anciennes versions de Windows, le noyau de macOS examine l’identité et l’intégrité des exécutables au niveau kernel, avant toute exécution d’instruction. Ces contrôles sont intégrés directement dans le binaire au format Mach-O, le standard des exécutables sur macOS. Ce mécanisme dépasse la simple vérification des permissions de lecture ou d’écriture. La signature de code repose sur trois piliers fondamentaux. Le sceau assure l’intégrité : l’utilitaire codesign génère un hachage cryptographique pour chaque « page » de code exécutable. Lors du chargement en mémoire, le noyau recalcule ces hachages. Toute modification par un éditeur hexadécimal, un virus ou un téléchargement corrompu provoque un désaccord, entraînant l’arrêt immédiat du processus par un signal SIGKILL, sans alerte visuelle. L’identité établit la confiance avec trois niveaux : signatures Apple pour les composants du système d’exploitation, Develo pour les développeurs enregistrés chez Apple (souvent notariées par les serveurs d’Apple contre les malwares), et signatures ad hoc sans certificat vérifié, suffisantes pour certaines fonctionnalités système sur les Mac Intel. Les entitlements, sous forme de dictionnaire XML embarqué, définissent les permissions autorisées. Introduit dans Big Sur, le Hardened Runtime oblige les binaires à déclarer explicitement l’accès au microphone ou aux plugins tiers ; toute action non listée est bloquée par le noyau. Les développeurs utilisent codesign pour signer les binaires. Toute signature peut être inspectée sur un exécutable macOS, révélant ces couches de sécurité. Ce système, hérité du format Mach-O utilisé depuis les origines de macOS, renforce la protection contre les altérations malveillantes.