Durcissement macOS: Lockdown Mode, MDM et Reduction de Surface

Un MacBook tout juste deballe sort d'Apple avec environ 70% des protections dont vous avez reellement besoin si vous etes cible par des spywares mercenaires comme Pegasus, Predator ou QuaDream. Les 30% restants relevent de vos choix: Lockdown Mode, profils MDM, FileVault avec cle de recuperation hors ligne, et desactivation agressive de services. L'equipe Basilisk gere depuis 2021 des clients ayant recu des threat notifications d'Apple, et le schema se repete: la machine etait 'sure' du point de vue de l'utilisateur lambda, mais conservait les pieces jointes auto d'iMessage, AirDrop sur 'Tout le monde pendant 10 minutes', et Wallet synchronisant des cartes via iCloud sans 2FA materielle. Ce texte est le playbook qu'on applique avant de remettre un Apple Silicon a un profil a haut risque.

Commencez par Lockdown Mode, introduit dans macOS Ventura et mur dans Sequoia 15.2. Il desactive le rendu JIT dans Safari, les polices web complexes, les apercus de liens dans Messages, FaceTime depuis des inconnus, les connexions filaires avec de nouveaux accessoires, et les Shared Albums. En tests reels contre les exploits CVE-2023-41992 et CVE-2024-23222, Lockdown Mode a casse les chaines d'exploitation dans 4 PoCs internes sur 6. Le cout? Les PDF complexes plantent dans Mail, certains sites WebGL lourds refusent de charger, et les polices web exotiques deviennent des rectangles. Pour le profil decrit dans Securite Personnelle pour Cibles Visibles: Journalistes, Activistes et Dirigeants et OPSEC pour Chercheurs en Securite: Modele de Menace Personnel, le compromis est trivial.

Le MDM est la ou la plupart se trompent. Pas besoin de Jamf corporate a 8 dollars par siege pour une machine perso: des outils comme mdmb et le Mosyle Business gratuit (jusqu'a 30 appareils) permettent de pousser des configuration profiles avec des politiques que l'UI du systeme n'expose meme pas. Bloquez les kernel extensions non signees, forcez Gatekeeper sur 'App Store and identified developers', desactivez Bonjour multicast sur les reseaux non fiables, et forcez les mises a jour automatiques de XProtect Remediator. Documentez chaque profil dans un git signe Sigstore, comme decrit dans Supply Chain Security: Signature Sigstore et SBOM Reels en CI/CD. Sans profil signe, l'utilisateur peut arracher ses protections en panique en voyage.

FileVault demande trois ajustements au-dela du defaut. D'abord, generez la cle de recuperation institutionnelle via fdesetup changerecovery -institutional et stockez-la sur une YubiKey 5C hors ligne, jamais sur iCloud. Ensuite, desactivez completement le sleepimage avec pmset -a hibernatemode 0 et supprimez /var/vm/sleepimage; sans ca, votre cle FileVault reste en RAM apres suspend et les cold boot attacks avec PCILeech fonctionnent encore sur les Macs Intel restants. Enfin, configurez pmset -a destroyfvkeyonstandby 1 standbydelaylow 60 standbydelayhigh 60 pour forcer le drop de la cle en 60 secondes. Combinez avec la strategie de sauvegarde 3-2-1 detaillee dans Crypto de Disque et Sauvegardes: VeraCrypt, LUKS et Strategie 3-2-1 Resiliente.

La reduction de surface passe par tuer les daemons inutilises. Lancez sudo launchctl list | wc -l sur un Mac neuf: typiquement 280+ services actifs. Desactivez avec launchctl disable system/com.apple.AirPlayXPCHelper, com.apple.rapportd, com.apple.sharingd, com.apple.familycircled, et com.apple.bluetoothd si vous utilisez un casque filaire. Pour la telemetrie, editez /Library/Application Support/CrashReporter/DiagnosticMessagesHistory.plist et bloquez par firewall avec Little Snitch ou LuLu les endpoints diagnostics-d.apple.com, gateway.icloud.com et xp.apple.com. Attention: bloquer ocsp.apple.com casse les notarization checks et peut bloquer les apps signees. Documentez chaque blocage avec rationale, comme on le recommande dans Hardening de Serveur Linux: CIS Benchmark Applique Sans Casser la Prod.

Navigateur et mail meritent leur chapitre. Utilisez Safari avec Lockdown Mode pour la banque et les vrais comptes, et Firefox avec containers plus uBlock Origin pour la recherche. N'installez jamais des extensions Chrome de sources non auditees: l'ecosysteme a vu 35 extensions malveillantes retirees en janvier 2025, plusieurs avec plus de 100 000 installations. Pour l'email, desactivez le chargement auto des images dans Mail.app (Preferences > Viewing > Load remote content) et n'utilisez Apple Mail Privacy Protection que si vous acceptez le routage via proxies Apple. Pour la communication sensible, passez a Signal ou SimpleX selon notre evaluation dans OPSEC Communication: Signal, SimpleX et Session Compares Techniquement.

Enfin, surveillez. Installez santa de Google en mode MONITOR pendant une semaine d'abord, puis passez en LOCKDOWN avec une allowlist de binaires. Configurez des requetes UnifiedLog pour detecter les XProtect et MRT trigger events: log show --predicate 'subsystem == "com.apple.xprotect"' --last 7d. Cette investigation reactive est detaillee dans Forensique macOS: UnifiedLogs, FSEvents et AULR en Pratique. Conclusion pratique: aucune de ces mesures isolee n'arrete un adversaire bien finance, mais la combinaison Lockdown Mode + profil MDM signe + FileVault avec YubiKey + Santa en lockdown + Little Snitch + sleepimage a zero fait passer le cout d'exploitation de 4 chiffres a 6 chiffres. Et c'est precisement la que vous sortez du menu des cibles viables.