Homebrew n’autorisera plus le contournement de Gatekeeper pour les logiciels non signés ou non notariés

 (github.com/Homebrew)
1 points par GN⁺ 2025-11-14 | 1 commentaires | Partager sur WhatsApp
  • Le flag --no-quarantine, utilisé pour forcer le contournement de Gatekeeper sur macOS afin d’exécuter des logiciels non signés, va être supprimé
  • Ce changement est une mesure de renforcement de la sécurité et l’exploitation ira dans le sens du respect des politiques d’Apple en matière de signature de code et de notarisation
  • Comme macOS Tahoe sera la dernière version de macOS pour Intel, la nécessité de cette fonctionnalité diminue fortement
  • Sur les Mac ARM, il est impossible d’exécuter du code arm64 non signé
  • À partir du 1er septembre 2026, fin de la prise en charge des casks qui échouent aux vérifications de Gatekeeper

Motivation

  • Apple comme Homebrew évoluent tous deux vers la fin du support des Mac Intel, et --no-quarantine étant une fonctionnalité de contournement de sécurité, il n’y a plus de raison de la maintenir

Impact pour les utilisateurs

  • Avec la suppression de cette option, l’environnement d’installation sera aligné sur les standards de sécurité de macOS, et Homebrew ne fournira plus de fonctionnalité de contournement de sécurité

À lire aussi

1 commentaires

 
GN⁺ 2025-11-14
Commentaires sur Hacker News

  • Si je comprends bien, ce changement semble surtout affecter les cask de macOS
    les cask servent à installer des applications binaires au format dmg ou pkg, et la plupart sont déjà signées
    la fonctionnalité de Homebrew qui télécharge, compile et installe des logiciels open source ne semble pas affectée

    • Je ne suis pas d’accord avec l’idée que la plupart des gens n’installent pas beaucoup de cask
      en réalité, le seul vrai avantage de Homebrew par rapport aux autres gestionnaires de paquets, c’est justement les cask
      j’installe Homebrew dans un prefix isolé pour n’utiliser que les cask, sans l’ajouter au PATH
      j’utilise aussi quelques applications non signées
      à mon avis, ce qui compte plus que la signature, c’est le processus de curation et de vérification de Homebrew ou Debian
      si l’option --no-quarantine disparaît, il faudra approuver manuellement chaque mise à jour, ce qui est pénible
    • Par défaut, Homebrew distribue aussi l’open source sous forme de paquets binaires (bottles)
      si l’on regarde la liste officielle des paquets, elle s’étend sur des centaines de pages
      il y est explicitement indiqué que « l’objectif est de tout fournir sous forme de bottle »
      donc ce changement n’a pas d’impact direct, mais il faut garder à l’esprit qu’on n’est plus dans une logique centrée sur la compilation depuis les sources comme avant
    • Un responsable du projet Homebrew l’a confirmé lui-même — ce changement n’affecte pas les formulae, seulement les cask
    • Les applications les plus souvent citées dans cette discussion sont Librewolf et Freetube
      discussion associée : Homebrew Discussions #6334
    • J’installe toutes mes applications GUI avec Homebrew. J’ai actuellement plus de 30 cask, mais je ne sais pas vraiment lesquelles sont signées

  • J’avais prédit depuis longtemps que Gatekeeper serait progressivement renforcé, et c’est exactement ce qui se passe

    • En pratique, les gens s’en sont rendu compte il y a un an, quand Gatekeeper a été durci dans macOS 15 Sequoia
      articles liés : Ars Technica, MacRumors, Daring Fireball
    • Heureusement, les ordinateurs portables Linux s’améliorent de plus en plus
      au moment où mon MacBook Air M1 commencera à ralentir, je pense pouvoir passer complètement à Linux
    • Le fait qu’Apple bloque l’installation d’autres OS affaiblit la concurrence et nuit aussi aux utilisateurs à long terme
      acheter du matériel Apple revient à tolérer ce comportement
    • Gatekeeper peut toujours être désactivé
      vu la taille du marché Mac et la proportion de développeurs, je pense qu’Apple a peu de chances de bloquer totalement cela
    • En réalité, cette évolution était prévisible depuis le début. C’est juste que ces avertissements ont été ignorés à l’époque

  • Homebrew est davantage un gestionnaire de paquets convivial pour le grand public qu’un outil pour professionnels
    il y a beaucoup de mécontentement à cause des mises à jour forcées, de l’abandon des anciennes versions et de la fermeture des discussions
    c’est pour cela que j’envisage de migrer vers MacPorts

    • Homebrew est presque impossible à personnaliser, et sa gestion des dépendances est désastreuse
      l’attitude agressive des mainteneurs pose aussi problème
    • J’avais commencé avec MacPorts il y a 20 ans avant de passer à Homebrew, mais récemment je suis revenu à MacPorts
      l’époque où ça compilait sans problème même sur un vieux PowerBook me manque
    • Aujourd’hui, Homebrew ressemble presque à une extension de l’App Store
    • Il est décevant que Homebrew abandonne la prise en charge des anciennes versions de macOS
      comme Apple, laisser tomber les anciennes versions va à l’encontre de l’esprit open source
      la mention « fin du support Intel » m’a choqué
    • La distinction entre « pour pros » et « pour grand public » est floue. Je me demande même s’il existe vraiment des consommateurs qui utilisent Homebrew

  • Je pense que le vrai problème, c’est la communication peu aimable des mainteneurs de Homebrew
    techniquement, exécuter xattr à l’étape postinstall est la bonne approche, mais leur attitude devrait s’améliorer

    • La réaction de Mike McQuaid était excessive. L’autre personne était posée, mais la réponse a été inutilement agressive
    • Ils donnent l’impression qu’une discussion est ouverte, alors qu’en réalité il s’agissait surtout d’une discussion de pure forme

  • Au début, je ne comprenais pas exactement ce que signifiait ce changement
    j’étais perdu entre l’idée que les compilations depuis les sources via Homebrew seraient bloquées et celle que seuls les binaires signés pourraient être exécutés

    • En réalité, seuls les cask sont affectés, les formulae et les bottles restent inchangés
    • Les binaires de macOS ont un flag quarantine qui, s’il est défini, déclenche un contrôle de sécurité avant exécution
      l’option --no-quarantine a disparu, mais l’utilisateur peut toujours retirer ce flag lui-même
      au fond, c’est une mesure destinée à orienter les gens vers les binaires signés
    • La discussion a été fermée très tôt, donc il n’était plus possible de poser des questions
    • MacPorts fonctionne toujours bien, donc j’imagine que Homebrew finira aussi par trouver une solution
      les binaires compilés localement peuvent toujours être exécutés
    • Par exemple, les applications non signées comme ClickHouse ne peuvent pas être installées pour le moment

  • La suppression de l’option --no-gatekeeper n’est pas en soi un gros problème
    elle servait simplement à retirer l’attribut com.apple.quarantine
    le vrai problème, c’est que tous les cask exigent désormais une signature et une notarisation via l’Apple Developer Program
    pour les développeurs open source, le coût annuel de 99 $ et l’obligation de divulguer leur identité légale sont une charge
    ce serait bien qu’Apple permette une signature gratuite en s’appuyant sur Xcode Cloud
    discussion associée : #6334, #6482

  • Je comprends l’objectif de protection des utilisateurs, mais le fait que Gatekeeper se soit transformé en outil de monétisation de l’App Store pose problème

    • Je ne pense pas que le coût annuel de 90 $ (ou 99 $) soit excessif
      en revanche, cela peut être lourd pour des développeurs étudiants
      il serait préférable qu’Apple autorise la confiance envers des certificats tiers

  • L’option --no-quarantine et les restrictions de signature ARM64 sont deux sujets distincts
    les applications non signées ne s’exécutent pas même après suppression de l’attribut
    macOS autorise la signature adhoc, donc on peut l’utiliser pour lancer l’application

    • Gatekeeper décide de bloquer ou non l’exécution à partir de l’attribut com.apple.quarantine
      XProtect et AMFI effectuent ensuite des contrôles supplémentaires en arrière-plan
      si l’on retire cet attribut, n’importe quel binaire peut être exécuté tant que XProtect ne le bloque pas
    • L’explication ci-dessus est globalement correcte

  • Je trouve dommage que Homebrew verrouille les tickets aussi vite
    du point de vue de l’utilisateur, cela revient à ne plus pouvoir exécuter d’applications sur sa propre machine sans l’approbation d’Apple

    • Homebrew verrouille les tickets parce qu’il n’autorise les discussions que dans l’onglet Discussions
    • Depuis longtemps déjà, beaucoup estiment que les mainteneurs sont agressifs et hostiles au débat
    • Je ne suis pas d’accord avec l’idée que « Homebrew est convivial pour l’utilisateur »
    • On en arrive même à plaisanter en disant qu’il faut utiliser « l’ordinateur de Tim Cook comme Tim Cook l’entend »

  • Alacritty est lui aussi affecté par ce changement
    il est peu probable que les développeurs acceptent de payer la signature Apple
    ticket lié : alacritty/alacritty#8749

    • J’utilise moi aussi plusieurs cask, y compris Alacritty
      il faudra peut-être chercher une application de remplacement
    • Il suffirait peut-être d’ajouter un script supprimant l’attribut quarantine après l’installation pour contourner le problème
    • Un autre commentaire sur HN propose une méthode de contournement
    • Si c’est de l’open source, il n’y a pas vraiment de raison de le distribuer via un cask ; à mon avis, il vaudrait mieux compiler via une formula