Sécurité Mac

Votre sécurité sur Mac, au delà des virus

Le Firewall de macOS : faut-il l’activer ?

Bien qu’il soit désactivé par défaut, macOS dispose d’un firewall intégré (aussi appelé « pare-feu » ou « coupe-feu » dans macOS, ce qui est plus français mais un peu moins courant). S’il est utile, voire vraiment nécessaire dans certains environnements, pourquoi n’est-il pas activé par défaut — ou pourquoi ne reçoit-on pas au moins un message nous informant qu’il est désactivé ?

Comme nous l’avons vu à propos des Comptes utilisateurs Mac, Apple évite de mettre en avant tout ce qui peut donner une impression de complexité ou d’insécurité à l’utilisateur. On branche et tout doit fonctionner rapidement. « Plug-and-Play »…, mais c’est malheureusement parfois au détriment de la sécurité.

Qu’est-ce qu’un firewall et à quoi ça sert ?

Nous éviterons d’être trop « techniques » : un firewall est une passerelle (ou « vigile »), qui filtre les informations qui sont autorisées à entrer dans votre Mac lorsqu’il est connecté à un réseau, que ce soit un réseau local ou internet (on parle de « trafic entrant »). C’est le cas du firewall de macOS.

Il existe également des logiciels comme Little Snitch , un utilitaire assez largement utilisé, qui vous alerte quand une application non-autorisée essaie d’établir une connexion sortante, que vous pouvez autoriser ou refuser. Il peut être utile à certains utilisateurs, pour contrôler quelles applications / processus sont autorisés à envoyer des informations « à l’extérieur ».

Ces informations qui circulent sur le réseau sont divisées en « paquets » pour pouvoir être transportées, et ces paquets sont contrôlés, regroupés et ré-ordonnés à chaque bout de la chaîne. Ils transitent par ce qu’on appelle des « ports », que vous pouvez considérer comme des portes : imaginez que l’information ne passe pas par une unique « porte cochère » de votre Mac, mais plutôt par un grand nombre de portes numérotées ayant une vocation particulière. Par exemple, le port 80 est le plus utilisé pour servir des pages web, les ports 25, 110 ou 993 sont utilisés par votre logiciel de messagerie, etc.

En bref, le rôle d’un firewall est de vous protéger des intrusions, en utilisant différentes méthodes de filtrage, qui peuvent être combinées.

Les différents types de firewall

Il y a deux moyens de filtrer les paquets, d’où deux types de firewall :

  • Les firewalls applicatifs : ils autorisent ou interdisent le trafic vers une application, indépendamment du port sur lequel arrivent les paquets. On pourrait par exemple interdire le trafic vers iChat ou tout autre logiciel, sans avoir à connaître le ou les ports qu’il utilise. C’est ce type de firewall qui est utilisé sur macOS depuis la version 10.5 (Leopard) et c’est le plus simple à configurer.
  • D’autres firewalls filtrent les paquets par ouverture ou fermeture de certains ports, indépendamment des applications qui les utilisent. Par exemple, si le port 110 est fermé, vous risquez de ne plus recevoir beaucoup de courrier dans votre logiciel de messagerie… C’est le port le plus utilisé pour la réception des e-mails via un serveur POP à travers une connexion non sécurisée, et ce quel que soit le logiciel de mail que vous utilisez. Mais cette fermeture du port 110 ne vous empêchera ni de recevoir le courrier arrivant sur un autre port, ni de relever votre mail dans un navigateur, qui n’utilise pas le port 110.Notez qu’il est également possible de bloquer le trafic provenant de certaines adresses IP (adresses spécifiques ou « plages » d’adresses). macOS a utilisé ce type de firewall (le logiciel UNIX IPFW) jusqu’à sa version 10.4 (Tiger) incluse. Il est toujours présent dans les versions plus récentes du système, mais accessible uniquement en ligne de commande (ou via un logiciel non fourni). Ce firewall, bien qu’offrant un nombre d’options de configuration limité dans les Préférences Système, était plutôt déroutant pour des utilisateurs inexpérimentés, d’où la décision d’Apple de le remplacer par un firewall applicatif.

Faut-il activer le coupe-feu de macOS ?

Certains auteurs jugent que c’est inutile, au prétexte que la plupart des utilisateurs sont protégés par le firewall intégré à leur routeur.

Nous ne sommes pas de cet avis. D’une part, parce que, même si vous vous connectez via un routeur NAT, cela n’offre pas une protection totale, d’autre part parce que vous pouvez utiliser votre Mac dans d’autres conditions, en particulier si c’est un MacBook…, et enfin parce que le firewall intégré à macOS est devenu extrêmement simple à configurer et consomme vraiment très peu de ressources. Nous ne voyons donc pas de bonne raison de se priver de cette protection supplémentaire. Si vous rencontriez un problème pour vous connecter à d’autres appareils Apple, par exemple, il n’est pas très compliqué de le désactiver, au cas où il en serait responsable, ce qu’on ne peut pas savoir avant d’avoir essayé.

[Notez tout de même que si vous avez installé un autre pare-feu n’utilisant pas IPFW, il peut y avoir conflit entre les deux, ce qui nous semble être la seule bonne raison de ne pas activer le pare-feu de macOS]

Comment configurer le coupe-feu de macOS ?

Comme nous l’avons vu plus haut, la configuration est devenue extrêmement simple, notamment depuis Mac OS 10.6. Les options disponibles sont limitées mais suffiront à la majorité des utilisateurs.

  1. Menu Pomme > Préférences Système > Firewall MacSécurité > Onglet Coupe-feu
  2. Si le cadenas situé en bas à gauche de la fenêtre est fermé, cliquez dessus et entrez identifiant et mot-de-passe d’un compte administrateur.
  3. Cliquez sur le bouton « Démarrer ».
  4. Cliquez sur le bouton « Avancé ». Les options qui conviendront à la plupart des utilisateurs sont « Autoriser automatiquement les logiciels signés… » et « Activer le mode furtif ». Notez que vous n’aurez pas à ajouter les applications manuellement : vous recevrez un message de demande d’autorisation au premier lancement de certaines applications. Les flèches situées à droite de chaque application vous permettent de modifier votre choix (Autoriser / Bloquer).

Il est bien sûr possible de bloquer toutes les connexions entrantes, à l’exception de celles qui sont nécessaires aux services internet de base mais, comme cela est précisé, cela empêchera l’utilisation de bon nombre de services de partage. A vous de voir si cela est un problème, en fonction de l’utilisation que vous en faites. De toutes façons, l’option est réversible…

Dans tous les cas, aussi bien pour des raisons de sécurité que de performances, nous vous recommandons :

  • De n’activer que les services de partage dont vous avez besoin (Préférences Système > Partage).
  • De maintenir scrupuleusement votre système à jour (réglages dans Préférences Système > Mise à jour de logiciels). Pensez toujours à faire une sauvegarde système, en particulier avant une mise à jour, certaines pouvant causer des problèmes inattendus… On est alors content de pouvoir revenir à l’état antérieur de son système.