Alors que sous TIGER 10.4, on disposait d'un coupe-feu qui satisfaisait tout le monde, depuis LEOPARD 10.5, APPLE a décidé subitement de revoir son approche en matière de sécurité en nous proposant une protection non plus par ouverture/fermeture des ports, mais par autorisation/interdiction des applications... censée faciliter les choses pour l'utilisateur.... paraît-il...

 

Le coupe-feu fonctionne sur ce même principe sous LION 10.7, même s'il avait été amendé dans son mode de paramétrage sous SNOW LEOPARD 10.6. Cependant, force est de constater que la fenêtre de paramétrage du coupe-feu de LION n'est vraiment pas claire du tout et ne propose que peu d'explications.

Le coupe-feu de LION fonctionne bien sûr de concert avec le module "Partage" dans les "Préférences Système". Les services activés dans "Partage" apparaissent dans la liste du coupe-feu. Pour empêcher les connexions entrantes avec l'un de ces services, vous devez alors désactiver le service concerné dans le module "Partage".

Pour des utilisateurs plus avertis, préférant gérer eux-mêmes l'ouverture/fermeture de ports, les choses deviennent nettement plus compliqué avec ce type coupe-feu.

 

Par défaut, le coupe-feu interne à LION n'est pas activé. Ce n'est pas plus mal, car vous en aurez vraisemblablement pas besoin (voir ci-dessous).

 

Faut-il activer ou non le coupe-feu interne à OS X ?

De nos jours, la plupart des internautes utilisent soit un routeur (en plus du modem), soit un modem-routeur ou encore une "Box" (Freebox, LiveBox" etc...). Tous ces appareils sont déjà munis d'un coupe-feu interne que l'on peut paramétrer à sa convenance. Si c'est votre cas, alors n'activez pas le coupe-feu interne de LION car cela ferait doublon et pourrait même perturber le fonctionnement de votre Mac sur Internet. Laissez le bien "désactivé".

Paramétrez simplement comme vous le souhaitez, le coupe-feu de votre routeur/Box.

Par contre, si vous utilisez un simple modem (c'est de plus en plus rare), alors il est absolument nécessaire d'avoir un coupe-feu pour protéger votre Mac. Vous avez alors deux possibilités :

• Activer le coupe-feu interne à LION
• Installer un logiciel coupe-feu. Ma préférence va pour "VirusBarrier X6" (*) qui est totalement compatible avec LION (voir ICI pour plus de détails).

 

(*) VIRUSBARRIER X6 englobe toutes les fonctionnalités coupe-feu et antivandale de "feu" "NETBARRIER".

 

 

 

Ouvrez le module "Sécurité et confidentialité" dans "Préférences Système", puis allez à l'onglet "Coupe-feu" !

 

 

 

---------------------------

 

 

 

Le coupe-feu est par défaut désactivé. Toutes les connexions entrantes sont bien évidemment autorisées. Pour l'activer et le paramétrer, cliquez sur le cadenas en bas à gauche de la fenêtre, puis tapez votre mot de passe administrateur. Cliquez enfin sur le bouton "Démarrer" afin d'activer le coupe-feu. Le coupe-feu est désormais activé, mais il est nécessaire de le paramétrer. Pour cela, cliquez sur le bouton "Avancé".

 

Que voyons nous ?

 

 

 

----------------------------

 

 

 

 

 

"Bloquer toutes les connexions entrantes"

Si vous cochez cette case, seules les connexions distantes des "services essentiels" de votre Mac seront autorisées. Mais que sont ces services essentiels ? Ce n'est pas très clair, il faut bien l'avouer ! Les services essentiels sont un ensemble d'applications permettant à votre ordinateur de rechercher des services fournis par d'autres ordinateurs du réseau. Ce réglage empêche donc les connexions avec tout autre service ou toute autre application de partage. Ce réglage laisse ouverts les ports nécessaires au système comme "Bonjour", "DHCP" ou "IPSec" etc...

Si vous cochez cette case, le coupe-feu bloquera tous les services partagés comme le partage de fichiers, le partage d'écran, iChat Bonjour et le partage de musique iTunes.

Autrement dit, mieux vaut ne pas cocher cette case, car sinon, vous ne pourriez plus faire grand chose !

 

 

Liste des connexions entrantes

Juste en dessous, vous trouverez une mini-fenêtre de paramétrage qui permet d'ajouter/supprimer et paramétrer des connexions entrantes. Comme vous le constatez sur la capture d'écran ci-dessus, 4 éléments apparaissent déjà dans ma liste : 2 services de partage (car j'ai en effet activé le partage de fichiers et le partage d'imprimante dans le module "Partage"), et deux éléments correspondants à deux applications : "Dropbox" et une extension appartenant à "Transfert d'images".

Comme je le précisais en introduction, les services activés dans "Partage" apparaissent donc dans la liste du coupe-feu. Pour empêcher les connexions entrantes avec l'un de ces services, vous devez alors désactiver le service concerné dans le tableau de bord "Partage". Si vous activez un service de partage, tel que le partage de fichiers, Mac OS X ouvre un port spécifique du coupe-feu pour que la communication du service puisse fonctionner. Ceci est automatique et vous n'avez pas besoin de le paramétrer manuellement dans le coupe-feu (heureusement !!).

 

 

Comment faire alors pour ajouter des applications et déterminer s'il faut autoriser ou bloquer les connexions entrantes de celles-ci ?

Vous avez deux possibilités :

• Soit en cliquant sur le "+" situé en bas à gauche de la liste des connexions entrantes. Ajoutez l'application de votre choix, puis cliquez sur les flèches du haut et du bas (situées tout à droite de chaque application) pour autoriser ou bloquer les connexions entrantes de cette application. Voici par exemple pour mon application "PasswordWallet" :

 

 

 

-----------------------------

 

 

 

• Soit en attendant que le système détecte de lui-même une tentative de connexion à une application non encore "autorisée". Une fenêtre de dialogue d'autorisation apparaît pour que vous choisissiez d'autoriser ou de refuser l'accès à cette application, comme sur cet exemple :

 

 

 

-----------------------------------------------

 

 

 

Cliquez sur "Autoriser" si vous voulez que le coupe-feu de LION autorise les connexions entrantes pour cette application (si vous cliquez sur "Refuser", vous ne pourrez pas utiliser le logiciel, faute de connexion !)

Procédez de même pour vos autres applications nécessitant une connexion internet (*). Je vous conseille d'opter pour la seconde possibilité, ce qui vous facilitera grandement la tâche, car vous n'autoriserez des connexions entrantes que quand le système vous le demandera par une fenêtre de dialogue d'autorisation. Pas besoin de se casser la tête.

(*) Cela n'est pas nécessaire de le faire pour des applications comme "Mail", "Safari" ou votre logiciel FTP... Les ports utilisés par ces applications sont ouverts par défaut. C'est pour cette raison que je vous conseille d'opter pour la seconde possibilité, cela vous évitera "d'enfoncer des portes ouvertes".

 

Bien entendu, vous pouvez à tout moment aller dans la fenêtre du coupe-feu de LION pour modifier à votre convenance les paramétrages enregistrés.

 

 

"Autoriser automatiquement les logiciels signés à recevoir des connexions entrantes"

Si vous cochez cette case (elle l'est par défaut), l'étape d'ajout d'autorisation aux applications décrite juste ci-dessus devient AUTOMATIQUE avec les applications dites "signées".

Qu'est-ce qu'une application signée ? Il s'agit d'une application qui a été signée "numériquement" par une autorité de certification approuvée par le système (pour la signature du code). Toutes les applications Apple de LION ont ainsi été signées par Apple et sont donc autorisées à recevoir des connexions entrantes AUTOMATIQUEMENT. D'autres applications, comme"Skype" le sont également. Par contre, d'autres, comme par exemple "PasswordWallet", ne le sont pas.

Si vous souhaitez bloquer une application signée numériquement, il faut donc l’ajouter à la liste des connexions entrantes, puis la bloquer de manière explicite en choisissant "Bloquer les connexions entrantes" à côté de son nom dans la liste des connexions.

Si vous lancez une application "non signée" qui n’est pas encore dans la liste des connexions entrantes du coupe-feu, dans ce cas la fenêtre de dialogue d'autorisation apparaît pour que vous choisissiez d'autoriser ou de refuser l'autorisation à cette application.

 

Certaines applications vérifient leur propre intégrité lorsqu’elles sont exécutées sans utiliser la signature du code. Si le coupe-feu reconnaît une application de ce type, il ne la signera pas, mais rouvrira par la suite la fenêtre de dialogue d'autorisation à chaque lancement de l’application. Vous pouvez éviter ce comportement en mettant à jour avec une version de l’application qui est signée par son développeur... ou en ajoutant manuellement l'application dans la liste des connexions entrantes.

 

Pour faire simple et pour résumer, je vous invite donc à laisser cette case cochée. Vous verrez ainsi moins de fenêtres de dialogue d'autorisations apparaître à l'écran, car toutes les applications "signées" s'ajouteront automatiquement. Vous n'aurez la fenêtre de dialogue d'autorisation QUE pour les applications non signées.

 

 

"Activer le mode furtif"

Certains ordinateurs pirates sophistiqués examinent les réseaux pour essayer d'identifier des ordinateurs à attaquer. Si les problèmes de sécurité vous inquiètent, vous pouvez utiliser le mode furtif de Mac OS X pour rendre difficile l'accès à votre ordinateur pour les pirates. Lorsque le mode furtif est activé, votre ordinateur ne répond pas aux demandes "ping" ni aux tentatives de connexion d'un port TCP ou UDP fermé. Le mode furtif empêche les données sortantes comme "ARP", "Bonjour" et les connexions à Internet de révéler la présence de votre ordinateur sur le réseau.

 

 

Conclusion

Pour la plupart des utilisateurs Mac, il ne sera pas nécessaire d'activer le coupe-feu interne à OS X, car le coupe-feu proposé dans les box et autres routeurs ADSL/Fibre sont largement satisfaisants. Mais si vous n'avez pas de box, ni de routeur ADSL, il est impératif de protéger votre Mac au moyen d'un coupe-feu actif. Si la solution interne à OS X vous semble trop légère et peu rassurante, je vous invite à opter pour "VirusBarrier X6".