Les amateurs de Linux installent souvent un système d'exploitation gratuit sur le matériel Apple, y compris le MacBook Air. Ils bénéficient donc d'un double avantage: à la fois un système d'exploitation pratique de la distribution habituelle et la fiabilité du matériel d'Apple. Même Linus Torvalds utilisait auparavant le MacBook Air de cette façon.
Cependant, ces temps heureux appartiennent peut-être au passé. La nouvelle gamme de matériel d'Apple est devenue plus hostile à Linux. Le problème est la nouvelle
puce de sécurité T2 , qu'Apple a ajoutée aux derniers modèles de ses ordinateurs.
Selon la communauté Phoronix Linux, il bloque efficacement le démarrage de Linux sur le Mac Mini. Apparemment, la situation est similaire sur d'autres modèles d'ordinateurs sur lesquels cette puce est installée.
La puce de sécurité T2 est chargée de chiffrer le stockage APFS, de vérifier le démarrage sécurisé UEFI, de gérer les Touch ID, de
désactiver le microphone matériel lors de la fermeture du couvercle de l'ordinateur portable et d'autres tâches de sécurité. T2 restreint un peu le processus de démarrage et vérifie chaque étape du processus avec des clés cryptographiques signées par Apple.
Maintenant, avec le chargement d'OS alternatifs, il y a des difficultés. Par défaut, même Microsoft Windows ne démarre pas sur les nouveaux systèmes Apple tant que la prise en charge de Windows n'est pas activée via le logiciel Boot Camp Assistant sur macOS. Cet outil installe le certificat Windows Production CA 2011, qui est utilisé pour authentifier les chargeurs de démarrage Microsoft. Mais il n'installe pas de certificat UEFI approuvé par Microsoft qui permet la vérification du code par les partenaires Microsoft, y compris celui utilisé pour signer les distributions Linux qui souhaitent prendre en charge UEFI SecureBoot pour les ordinateurs Windows.
La documentation T2 d'Apple clarifie ce fait et mentionne clairement Linux: «Il n'existe actuellement aucune chaîne de confiance pour Microsoft Corporation UEFI CA 2011, qui permet la vérification du code signé par les partenaires Microsoft. Cette autorité de certification UEFI est couramment utilisée pour authentifier les chargeurs de démarrage pour d'autres systèmes d'exploitation, tels que les variantes Linux », indique le document.
En d'autres termes, jusqu'à ce qu'Apple décide d'ajouter ce certificat ou que la puce T2 ne soit pas piratée afin qu'elle puisse être complètement désactivée ou autorisée à télécharger des clés arbitraires - jusque-là, il sera difficile de télécharger des distributions Linux sur du nouveau matériel Apple.
Support technique Apple a
publié une explication selon laquelle il est toujours possible de télécharger d'autres systèmes d'exploitation si la fonction Secure Boot est complètement désactivée lors du démarrage via Startup Security Utility en mode de récupération macOS.
On pourrait supposer que la désactivation du démarrage sécurisé sans problème permettrait à Linux de démarrer, mais ce n'est pas le cas. Les utilisateurs
signalent que même dans cette version, la puce T2 bloque toujours tous les systèmes d'exploitation sauf macOS et Windows 10. C'est plutôt étrange, car la définition du paramètre
No Security sur macOS Secure Boot indique qu'il ne fait aucune demande sur votre disque de démarrage la sécurité.
La puce T2 est intégrée aux derniers modèles d'ordinateurs portables de marque, y compris le MacBook Pro introduit au début de l'année et le MacBook Air qui vient d'être annoncé. Il est également utilisé dans les modèles portables Mac Mini.
Apple affirme que le T2 offre un niveau de sécurité sans précédent pour le Mac. Cependant, tout le monde n'a pas aimé l'innovation. L'insatisfaction est exprimée par certains développeurs. Par exemple, l'auteur de l'application Macs Fan Control
dit que son programme ne fonctionnera plus sous Windows sur les ordinateurs iMac Pro et MacBook Pro 2018: «Une sécurité supplémentaire est excellente (bien que nous ne l'ayons pas demandée), mais uniquement lorsqu'il n'y a pas de restrictions sont nécessaires et un utilisateur expérimenté peut les désactiver. Malheureusement, Apple n'est pas le cas: il s'oriente de plus en plus vers des interdictions et des restrictions, ce qui n'est pas bon pour les utilisateurs et développeurs expérimentés. Il semble que la puce T2 bloque l'accès au
SMC sous Windows, et ce contrôleur est nécessaire pour obtenir les valeurs des capteurs et des informations sur les refroidisseurs. »
Malgré l'enregistrement du
ticket correspondant
sur GitHub , le développeur demande de ne pas espérer que le problème puisse être résolu.