Partage et sécurité sous Mac OS X

Mac OS X offre de nombreuses fonctionnalités de partage très pratiques et généralement assez simples à configurer : partage d’écran, de fichiers, d’imprimantes, session ou gestion à distance, pour n’en citer que quelques-unes. Mais qui dit “partage” dit “autorisation d’accès” et il est donc important de savoir comment autoriser cet accès à qui vous le souhaitez, tout en vous protégeant de personnes et programmes malveillants. De “partage” à “piratage”, il n’y a pas loin. Mettons donc “prudence” entre les deux !

Le but de ce document n’est pas d’entrer dans le détail de tous ces services et de leur configuration, mais de vous donner une vue d’ensemble des règles de sécurité à respecter pour qu’ils ne vous exposent pas à des risques qui peuvent être très importants.

Utilisez les services de partage à bon escient !

Par défaut, Mac OS X n’active que les services réseau indispensables à une utilisation “courante” (web, mail, etc.). Quel que soit le niveau de risque, il est inutile d’activer des protocoles et d’ouvrir des portes qui ne sont pas utilisées. Une bonne règle en matière de sécurité est de fermer tous les accès, pour n’ouvrir ensuite que ceux dont on a réellement besoin. Et ceci reste vrai même si vous avez activé le firewall de Mac OS X (ou autre) et utilisez un routeur NAT : il y a toujours un risque potentiel de bug ou faille de sécurité exploitable.

N’en concluez surtout pas que nous vous déconseillons d’utiliser ces services de partage ! Encore une fois, ils peuvent s’avérer très pratiques. Nous vous conseillons simplement :

  • De ne les activer que si vous en avez besoin.
  • De les désactiver après utilisation si vous les utilisez rarement : il est tellement simple de les ré-activer !
  • D’être bien attentif à ce que vous souhaitez vraiment partager, avec qui, et comment.

Il est possible que certains services soientMac OS X - Partage activés sans que vous le sachiez, notamment si vous avez acheté votre Mac d’occasion et que le système n’a pas été réinstallé, ou simplement parce que vous n’êtes pas seul à l’utiliser ou avez testé un service et oublié de le désactiver ensuite.

Pour le vérifier, rendez-vous dans Préférences Système > Partage et décochez tous les services que vous n’utilisez pas. Notez que sur une installation “fraiche” de Mac OS X, aucun de ces services de partage n’est activé.

La courte description qui apparait quand vous surlignez un service, doit être suffisante pour vous indiquer si vous en avez besoin, mais si vous décidez d’activer un service, il sera nécessaire d’en savoir un peu plus pour ne pas prendre de risques inutiles et n’accorder l’accès qu’à des personnes de confiance. C’est particulièrement vrai pour des services comme le Partage d’écran, qui donne un accès total à votre Mac, ou le Partage de fichiers ! Nous allons donc nous intéresser prioritairement à ces deux services.

Le Partage d’écran de Mac OS X

Le terme “partage d’écran” peut prêter à confusion… Si vous lisez la courte définition qui en est donnée quand vous le surlignez dans la fenêtre Préférences Système > Partage, vous pouvez lire : “Le partage d’écran autorise les utilisateurs d’autres ordinateurs à visualiser et contrôler cet ordinateur à distance“. Vous en déduirez comme nous qu’activer ce service n’est pas tout à fait anodin et qu’il est indispensable de ne l’utiliser qu’avec une grande prudence !

A quoi sert Partage d’écran ?

Il permet de contrôler un Mac à distance, comme si vous étiez devant (performances et quelques fonctionnalités mises à part).
Vous (ou une autre personne) affichez sur un autre ordinateur, l’écran du Mac “distant”, grâce à un logiciel dit “client” intégré ou non à Mac OS X. Il existe en effet des clients VNC (Virtual Network Computing) gratuits comme Chicken pour Mac OS X, ou de nombreux autres clients qui permettent de contrôler un Mac depuis tout autre système d’exploitation (Windows, Linux, …).

Cela peut s’avérer très utile, notamment :

  • Si vous voulez réaliser des opérations sur votre Mac alors que vous êtes au bureau ou en déplacement.
  • Pour un administrateur système ou un dépannage à distance (voire une formation), par exemple.

Comment activer Partage d’écran ? Prudemment !

Tout d’abord, notez bien que les informations qui circulent via le Partage d’écran de Mac OS X ne sont pas chiffrées (il existe des moyens de sécuriser le protocole VNC, mais il ne l’est pas par défaut). Cela signifie que ces informations peuvent être capturées, y compris les mots de passe que vous saisiriez lors d’une session. Le mot de passe que vous utilisez pour ouvrir la session, en revanche, n’est pas concerné, car il fonctionne selon le mode dit “défi/réponse” (il ne circule pas en clair sur le réseau !).

Le Partage d’écran de Mac OS X et plus généralement les communications VNC non sécurisées, ne devraient donc être utilisés que dans un “environnement sûr”, ce qui n’est pas précisément le cas d’internet… Voici la recommandation d’Apple, qui n’a pas l’habitude d’être alarmiste :

“Data transmitted between computers is not encrypted or secure so only use this service in a secure environment. By default, Screen Sharing is turned off and should be off when it is not used. ”

soit en français :

“L’information transmise entre ordinateurs n’est pas chiffrée ou sécurisée, n’utilisez donc ce service que dans un environnement sécurisé. Le Partage d’écran est désactivé par défaut et devrait être inactif quand il n’est pas utilisé.

Cette mise au point étant faite, pour activer le Partage d’écran, il suffit de se rendre dans Partage, comme indiqué plus haut, de déverrouiller le cadenas en bas à gauche de cette fenêtre, en fournissant un identifiant et un mot de passe Administrateur (voir nos recommandations sur les Comptes Utilisateurs Mac) et de cocher la case correspondante dans la liste des services.

Partage d’écran est activé immédiatementPartage d'écran Mac OS X et votre Mac devient accessible à l’adresse qui s’affiche dans la partie droite de la fenêtre (vnc://192.168.0.11, par exemple). Un autre Mac du réseau pourra par exemple s’y connecter (sous réserve d’authentification ) à l’aide de l’application cliente Partage d’écran, située dans… /Système/Bibliothèque/CoreServices/. Notez que si vous avez activé l’option “Bloquer toutes les connexions entrantes” dans le pare-feu, le partage d’écran ne sera bien sûr pas possible, comme vous en avertira un message, et vous devrez aller décocher cette option.

Vous avez deux options d’autorisation d’accès :

Tous les utilisateurs : cela ne signifie pas tous les utilisateurs du réseau, mais tout utilisateur ayant un compte sur le Mac auquel on accède, qui devra bien sûr s’authentifier. Cela exclut bien sûr le compte Invité (ce qui n’est le cas que sous certaines conditions pour le Partage de fichiers, comme nous le verrons plus bas).

Uniquement ces utilisateurs : c’est évidemment l’option la plus sûre et que nous recommandons vivement, à moins que vous n’ayez vraiment une bonne raison et sachiez vraiment ce que vous faites ! Vous n’êtes pas obligé de laisser le groupe Administrateurs dans la liste : vous pouvez le supprimer en le sélectionnant et en cliquant sur le bouton “-” et ajouter seulement votre propre compte, celui de personnes de confiance ou un compte créé spécialement à cet effet. Notez que si vous êtes authentifié en tant qu’administrateur depuis un compte standard, il est possible que vous soyez obligé de passer dans un compte administrateur pour gérer cette liste (problème rencontré sur plusieurs Macs sous 10.7.3).

Les autres options sont accessibles via le bouton “Réglage de l’ordinateur” :

L’autorisation de contrôler l’écran peut être demandé par quiconque : cela permet d’autoriser des personnes ne figurant pas dans la liste d’accès.

Les visualiseurs VNC peuvent contrôler l’écran avec un mot de passe : un utilisateur ne figurant pas dans la liste mais disposant de l’adresse de votre Mac et de ce mot de passe, pourra se connecter à l’aide d’un client VNC. Notez que la longueur de ce mot de passe est limité à 8 caractères. Mélangez donc chiffres, lettres, minuscules et majuscules pour plus de sécurité.

Le Partage de fichiers de Mac OS X

Nous avons commencé par évoquer le Partage d’écran parce que, de tous les services de partage, c’est incontestablement celui qui présente le plus de risques potentiels et nécessite donc qu’on les connaisse et les limite au maximum. Mais le Partage de fichiers est de loin le plus utilisé et, comme vous vous en doutez probablement, il nécessite également que l’on sache ce que l’on fait…

Partage de fichiers vous permet d’autoriser l’accès à certains de vos dossiers / fichiers par d’autres utilisateurs ou par vous-même depuis un autre ordinateur, que ce soit un Mac ou un ordinateur “tournant” sous autre système d’exploitation. Le Partage de fichiers de Mac OS X vous permet d’utiliser différents protocoles, comme AFP (Apple Filing Protocol), SMB (Service Message Block –Windows) et FTP (File Transfer Protocol)… seulement dans les versions de Mac OS X antérieures à 10.7 (Lion). Ce partage est possible non seulement sur votre réseau local mais aussi via internet, une fois que votre Mac a été rendu “visible”, ce qui suppose que l’on ait réglé les problèmes potentiels de firewall, d’adresse IP dynamique, de redirection de ports, de NAT, etc., sans compromettre votre sécurité. Cela est évidemment plus simple sur un réseau local (sauf exception), mais la fonctionnalité Accès à mon Mac peut s’avérer très utile et généralement simple à mettre en œuvre.

Comment activer Partage de fichiers ? Toujours prudemment !

Il est aussi simple d’activer le Partage de fichiers que le Partage d’écran… (Préférences Système > Partage  –déverrouillez le cadenas en saisissant un nom et mot de passe administrateur, le cas échéant) et cochez la case… Partage de fichiers. Le partage est effectif immédiatement, à l’adresse qui s’affiche dans la partie droite de la fenêtre (afp://192.168.0.11, par exemple). Notez que c’est le protocole afp qui est utilisé par défaut. Notez également que, comme pour le Partage d’écran, si vous avez activé l’option “Bloquer toutes les connexions entrantes” dans le pare-feu, le Partage de fichiers ne sera bien sûr pas possible et que vous devrez aller décocher cette option.

Le message qui apparaît dans la partie droite de la fenêtre vous indique : “D’autres utilisateurs peuvent accéder aux dossiers partagés sur cet ordinateur, et les administrateurs à tous les volumes [...]“. Plusieurs remarques s’imposent :

  • Par défaut, les dossiers publics des comptes utilisateurs (~/Public ) sont accessibles, en lecture & écriture pour leur propriétaire et en lecture seule pour les autres utilisateurs. Modifiez éventuellement ces réglages à votre convenance, en utilisant les signes “+” et “-” situés sous “Dossiers partagés” et “Utilisateurs” ainsi que les flèches situées à droite des niveaux de permissions.
  • Tous les volumes” sont accessibles par les administrateurs… Cela inclut donc non seulement le volume de démarrage, mais tous les volumes montés, y-compris les supports externes, sauf configuration spécifique des comptes. Et cela est indépendant des dossiers que vous partagez et des permissions que vous avez définies. Cela signifie qu’un utilisateur disposant de privilèges administrateurs pourra faire via afp tout ce qu’il pourrait faire s’il était devant la machine. Cela n’est généralement pas un problème, mais il faut le savoir et ne pas avoir un compte administrateur “oublié”, par exemple…
  • Le compte Invité n’apparaît pas dans les options, mais c’est parce que Mac OS X l’inclut dans le groupe “Tous”. Si vous avez activé le compte Invité, pour qu’il ne permette pas à n’importe quel utilisateur ayant un accès à votre Mac via le réseau local (voire internet) d’accéder à vos dossiers partagés sans avoir à fournir de mot de passe…, vous devrez donc veiller à ce que l’option “Autoriser les invités à se connecter aux dossiers partagés” soit décochée quand vous le sélectionnez dans Utilisateurs et Groupes (Comptes dans les versions antérieures à 10.7).
  • Veillez à vérifier les autorisations pour chaque dossier présent dans la liste des dossiers partagés (le contenu de la sous-fenêtre “Utilisateurs” change quand vous sélectionnez un dossier sous “Dossiers partagés”).

Quel protocole choisir ?

Cela dépendra essentiellement des systèmes d’exploitation utilisés sur le réseau, mais la sécurité ne doit pas être oubliée.

Entre Macs : AFP est incontestablement le meilleur choix pour partager des fichiers entre Macs, en particulier sur un réseau local. C’est non seulement le plus sûr, mais il permet en plus de conserver toutes les métadonnées associées aux fichiers (propriété, permissions, ACLs, etc.).

Avec des PCs : SMB est le “standard” pour les PCs sous Windows, au même titre qu’AFP sur Mac. Si vous voulez que des postes sous Windows puissent accéder à vos fichiers partagés, c’est le protocole à choisir, loin devant..

FTP : c’est le protocole le plus répandu puisqu’il est largement utilisé pour les téléchargements, notamment, mais c’est aussi le moins sécurisé. Tout circule en clair (de manière non chiffrée), y-compris vos informations de connexion ! Apple ne l’a pas supprimé sans raison des options disponibles dans Lion (même si le démon FTP reste présent sur le système). C’est clairement un choix de dernier ressort, que ce soit pour des raisons de sécurité ou de fiabilité (pertes d’informations). Si vous devez le faire, nous vous conseillons de créer un compte utilisateur spécifique, avec des droits réduits au strict minimum, et pour le temps que vous en aurez besoin et pas plus.

 

En conclusion : comme nous vous le disions au début de ce document, notre objectif n’était pas ici de couvrir tous les services de partage qu’offre Mac OS X. Il nous semblait important de vous donner quelques recommandations qui les concernent tous et de consacrer un peu plus de temps à deux des services qui nécessitent le plus de précautions, afin que vous puissiez utiliser ces fonctionnalités parfois très utiles, sans vous exposer à des risques potentiellement importants.

 

Recevez les alertes & informations de sécurité par e-mail !