Le Firewall de Mac OS X : faut-il l’activer ?

Bien qu’il soit désactivé par défaut, Mac OS X dispose d’un firewall intégré (aussi appelé “pare-feu” ou “coupe-feu” dans Mac OS X, ce qui est plus français mais un peu moins courant). S’il est utile, voire vraiment nécessaire dans certains environnements, pourquoi n’est-il pas activé par défaut –ou pourquoi ne reçoit-on pas au moins un message nous informant qu’il est désactivé ?

Comme nous l’avons vu à propos des Comptes utilisateurs Mac, Apple évite de mettre en avant tout ce qui peut donner une impression de complexité ou d’insécurité à l’utilisateur. On branche et tout doit fonctionner rapidement. “Plug-and-Play”…, mais c’est malheureusement parfois au détriment de la sécurité.

Apple est pourtant on ne peut plus clair dans ses Mac OS X Security Configuration Guides, qui sont écrits par ses experts en sécurité, pas son département marketing : non seulement ils recommandent d’activer le coupe-feu, mais de bloquer toutes les connexions entrantes, à l’exception des services internet de base : “We recommend that you block all incoming connections and allow only basic Internet services”.

Qu’est-ce qu’un firewall et à quoi ça sert ?

Nous éviterons d’être trop “techniques” : un firewall est une passerelle (ou “vigile”), qui filtre les informations qui sont autorisées à entrer dans votre Mac lorsqu’il est connecté à un réseau, que ce soit un réseau local ou internet (on parle de “trafic entrant”). C’est le cas du firewall de Mac OS X.

Certains firewalls permettent de filtrer également les informations qui sortent de votre Mac (qu’on appelle le… “trafic sortant”). C’est le cas, par exemple, du firewall intégré à Intego Mac Internet Security (anciennement VirusBarrier X6), antivirus de référence pour Mac, qui contrôle le trafic dans les deux sens.

On peut également citer Little Snitch , un utilitaire assez largement utilisé, qui vous alerte quand une application non-autorisée essaie d’établir une connexion sortante, que vous pouvez autoriser ou refuser. Il ne contrôle pas le trafic entrant, mais peut être utilisé en complément du firewall de Mac OS X. [Mise à jour] : depuis sa version 3, Little Snitch contrôle également les connexions entrantes.

Ces informations qui circulent sur le réseau sont divisées en “paquets” pour pouvoir être transportées, et ces paquets sont contrôlés, regroupés et ré-ordonnés à chaque bout de la chaîne. Ils transitent par ce qu’on appelle des “ports”, que vous pouvez considérer comme des portes : imaginez que l’information ne passe pas par une unique “porte cochère” de votre Mac, mais plutôt par un grand nombre de portes numérotées ayant une vocation particulière. Par exemple, le port 80 est le plus utilisé pour servir des pages web, les ports 25, 110 ou 993 sont utilisés par votre logiciel de messagerie, etc.

En bref, le rôle d’un firewall est de vous protéger des intrusions, en utilisant différentes méthodes de filtrage, qui peuvent être combinées.

Les différents types de firewall

Il y a deux moyens de filtrer les paquets, d’où deux types de firewall :

  • Les firewalls applicatifs : ils autorisent ou interdisent le trafic vers une application, indépendamment du port sur lequel arrivent les paquets. On pourrait par exemple interdire le trafic vers iChat ou tout autre logiciel, sans avoir à connaître le ou les ports qu’il utilise. C’est ce type de firewall qui est utilisé sur Mac OS X depuis la version 10.5 (Leopard) et c’est le plus simple à configurer.
  • D’autres firewalls filtrent les paquets par ouverture ou fermeture de certains ports, indépendamment des applications qui les utilisent. Par exemple, si le port 110 est fermé, vous risquez de ne plus recevoir beaucoup de courrier dans votre logiciel de messagerie… C’est le port le plus utilisé pour la réception des e-mails via un serveur POP à travers une connexion non sécurisée, et ce quel que soit le logiciel de mail que vous utilisez. Mais cette fermeture du port 110 ne vous empêchera ni de recevoir le courrier arrivant sur un autre port, ni de relever votre mail dans un navigateur, qui n’utilise pas le port 110.Notez qu’il est également possible de bloquer le trafic provenant de certaines adresses IP (adresses spécifiques ou “plages” d’adresses).Mac OS X a utilisé ce type de firewall (le logiciel UNIX IPFW) jusqu’à sa version 10.4 (Tiger) incluse. Il est toujours présent dans les versions plus récentes du système, mais accessible uniquement en ligne de commande (ou via un logiciel non fourni). Ce firewall, bien qu’offrant un nombre d’options de configuration limité dans les Préférences Système, était plutôt déroutant pour des utilisateurs inexpérimentés, d’où la décision d’Apple de le remplacer par un firewall applicatif.

Faut-il activer le coupe-feu de Mac OS X ?

Certains auteurs jugent que c’est inutile, au prétexte que la plupart des utilisateurs sont protégés par le firewall intégré à leur routeur.

Nous ne sommes pas de cet avis. D’une part, parce que, même si vous vous connectez via un routeur NAT, cela n’offre pas une protection totale, d’autre part parce que vous pouvez utiliser votre Mac dans d’autres conditions (en particulier si c’est un portable), et enfin parce que le firewall intégré à Mac OS X est devenu extrêmement simple à configurer et consomme vraiment très peu de ressources. Nous ne voyons donc pas de bonne raison de se priver de cette protection supplémentaire.

[Notez tout de même que si vous avez installé un autre pare-feu n’utilisant pas IPFW, il peut y avoir conflit entre les deux, ce qui nous semble être la seule bonne raison de ne pas activer le pare-feu de Mac OS X]

Comment configurer le coupe-feu de Mac OS X ?

Comme nous l’avons vu plus haut, la configuration est devenue extrêmement simple, notamment depuis Mac OS 10.6. Les options disponibles sont limitées mais suffiront à la majorité des utilisateurs.

  1. Menu Pomme > Préférences Système > Firewall MacSécurité > Onglet Coupe-feu
  2. Si le cadenas situé en bas à gauche de la fenêtre est fermé, cliquez dessus et entrez identifiant et mot-de-passe d’un compte administrateur.
  3. Cliquez sur le bouton “Démarrer”.
  4. Cliquez sur le bouton “Avancé”. Les options qui conviendront à la plupart des utilisateurs sont “Autoriser automatiquement les logiciels signés…” et “Activer le mode furtif”. Notez que vous n’aurez pas à ajouter les applications manuellement : vous recevrez un message de demande d’autorisation au premier lancement de certaines applications. Les flèches situées à droite de chaque application vous permettent de modifier votre choix (Autoriser / Bloquer).

Il est bien sûr possible de bloquer toutes les connexions entrantes, à l’exception de celles qui sont nécessaires aux services internet de base mais, comme cela est précisé, cela empêchera l’utilisation de bon nombre de services de partage. A vous de voir si cela est un problème, en fonction de l’utilisation que vous en faites. De toutes façons, l’option est réversible…

Pour plus d’informations sur le firewall de Mac OS X, vous pouvez vous reporter si besoin à l’article de la base de connaissances d’Apple, qui malgré son titre, concerne également Mac OS X 10.7 (Lion).

Notre conseil : l’utilisation d’un firewall nous semble être indispensable. Un firewall contrôlant le trafic entrant, comme celui de Mac OS X est un minimum : de nombreux malware, une fois installés sur une machine, envoient des informations à un serveur distant. Il est donc préférable de contrôler également les connexions sortantes, comme le fait, nous l’avons dit, le firewall intégré à l’antivirus Internet Mac Security  d’Intego.

Dans tous les cas, aussi bien pour des raisons de sécurité que de performances, nous vous recommandons :

  • De n’activer que les services de partage dont vous avez besoin (Préférences Système > Partage).
  • De maintenir scrupuleusement votre système à jour (réglages dans Préférences Système > Mise à jour de logiciels).