Un outil indispensable : le firewall

Avant d'expliquer ce qu'est un firewall, il faut comprendre comment votre ordinateur communique avec les autres par internet. Je vais essayer d'expliquer les choses de façon sommaire et claire, je ne rentrerai pas dans les détails et je ne chercherai pas à montrer les choses exactement comme elles se produisent en vrai : le but est que l'explication soit compréhensible par tous.

Comment est-on identifié sur internet ?

Lorsque votre ordinateur se connecte à internet, il obtient une adresse par laquelle on peut le retrouver.

Une "adresse" ?

Exactement. De la même manière, vous avez une adresse postale par laquelle des gens peuvent vous envoyer des courriers. Si vous n'aviez pas d'adresse postale, personne ne pourrait communiquer avec vous. C'est la même chose avec un ordinateur, il doit obtenir une adresse quand il se connecte pour que les autres puissent communiquer avec lui.

Comment est composée cette adresse ?

C'est une suite de quatre nombres séparés par un point, chaque nombre pouvant aller de 0 à 255. Par exemple 84.103.48.126 (c'est mon adresse à l'heure où j'écrit ceci). Cette adresse s'appelle l'adresse IP (IP comme Internet Protocol, ou protocole internet). Elle accompagne chaque paquet d'information que vous envoyez, afin que l'ordinateur distant puisse répondre.

Votre adresse IP est en ce moment : 38.107.191.110

C'est quoi un "paquet d'informations" ?

Le réseau internet a été conçu durant la seconde guerre mondiale pour permettre à l'armée des Etats-Unis de s'échanger des informations. Pour renforcer la sécurité de ces informations, elles étaient toutes "découpées" en paquets d'informations avant d'être transmises. Le principe est resté le même, et chaque information que vous transmettez est séparée en plusieurs paquets, réassemblés à leur arrivée sur l'ordinateur distant. On parle plus souvent de "paquet" que de "paquet d'informations".

Quelques exemples de l'utilisation de ces paquets et de l'adresse IP ?

Ils sont utilisés quelque soit l'utilisation que vous faites de votre accès à internet ! Quand vous vérifiez vos messages e-mails avec un client de messagerie, vous envoyez des paquets accompagnés de votre adresse IP, et vous recevez des paquets accompagnés de l'adresse IP du serveur de la messagerie de votre fournisseur. Ca fonctionne de la même façon lorsque vous surfez sur le web, lorsque vous utilisez la messagerie instantanée ou lorsque vous jouez en ligne !

Mais... entre toutes mes activités internet... les paquets ne risquent pas de se mélanger ?

En effet, si les paquets envoyés et reçus ne contenaient que des informations et une adresse IP, tout risquerait de se mélanger ! C'est pour ça qu'on a inventé (tadadada.....) les ports de communication.

Uhh ? Ca ne me dit pas grand chose...

Les ports de communications, ce sont (résumé très grossièrement) les "portes" de votre ordinateur. Chaque porte débouche sur le logiciel ou programme qui est derrière. Un paquet doit donc contenir l'adresse de l'ordinateur où il se dirige, et aussi la porte à emprunter pour se retrouver au bon endroit. Ainsi chaque information arrive au bon logiciel !

Les informations ne sont pas traitées de la même façon dans chaque port. D'une façon générale, un protocole particulier (une manière de communiquer) est utilisé pour chaque port. Chaque protocole permet des services différents en fonction des besoins des applications.

Il existe combien de ports ?

Il en existe 65535. Les 1024 premiers sont réservés aux serveurs, les suivants aux clients. Lorsque qu'un client se connecte à un serveur, le logiciel "attend derrière" un port attribué de façon aléatoire, entre 1025 et 65535.

Hein ? Client, serveur ?

Le client est l'ordinateur qui fait une requête à un autre ordinateur, le serveur est l'ordinateur qui reçoit une requête et qui éxécute les demandes du client. Par exemple, lorsque vous vérifiez vos e-mails avec un client de messagerie (Outlook, Foxmail, Thunderbird...), vous envoyez en tant que client une requête au serveur e-mail de votre fournisseur d'accès, qui vous retournera des paquets contenant vos e-mails.

Un serveur est donc un système qui laisse un logiciel particulier derrière un port en permanence, de façon à pouvoir traiter les requêtes 24h/24h. Si on décide de faire de son ordinateur un serveur, il faut utiliser des méthodes de sécurité avancées, car les requêtes au serveur peuvent parfois être destinées à lui donner des ordres malveillants.

Mon ordinateur n'est pas un serveur... je n'ai pas de soucis à me faire...

Eh bien on est parfois plus serveur qu'on ne pense l'être. Windows met en écoute plusieurs ports serveurs, ils représentent un réel danger. De plus certaines instructions malveillantes peuvent être éxécutées sur des logiciels dont on ne soupçonnerait pas le danger, pas forcément sur un port serveur particulier.

Le logiciel répondra aux instructions du pirate, ou n'y répondra pas. Cette tentative de donner des instructions à un programme de l'ordinateur pour obtenir quelque chose de particulier s'appelle une intrusion.

Comme ça commence à faire beaucoup d'infos à la fois (je compatis), je vous propose de résumer le tout. C'est un exemple d'un ordinateur qui est connecté à internet, l'utilisateur navigue sur un site web, vérifie ses e-mails et discute avec un ami par la messagerie instantanée. Analysons les paquets entrants :

Comment faire pour empêcher les pirates d'envoyer des instructions à mes logiciels ?

Tout d'abord une chose peut paraître logique : si votre logiciel est fermé, les pirates ne peuvent plus en profiter pour y envoyer des instructions. Le premier réflexe à prendre est donc de fermer les applications dont on ne se sert plus, plutôt que de les laisser réduites. Ensuite, il faut éviter d'utiliser des logiciels de P2P, comme je l'ai déjà expliqué. Un tel logiciel se met "derrière une porte" pendant des heures et laisse donc le champ libre aux pirates (quand je dis "le champ libre", c'est vraiment que n'importe qui peut tenter une intrusion).

D'accord, je veux bien faire attention à ça, mais je ne peux pas non plus tout trier ce qui entre et qui sort de mon ordinateur...

Eh non, c'est pour ça qu'il existe le firewall (ou "mur de feu").

Le firewall est l'outil indispensable capable de trier les paquets entrants et sortants de votre ordinateur. Il ne laisse passer que ceux qui respectent les règles établies. Il peut ainsi bloquer les tentatives d'intrusion :

Le firewall doit aussi bloquer les connexions sortantes, imaginons qu'un logiciel malveillant ayant infecté votre système cherche à communiquer avec un pirate pour lui ouvrir la voie sur votre ordinateur : le firewall bloque cette connexion.

Est-ce que le firewall se contente d'agir en cas d'intrusion ?

Non, le firewall a aussi une action préventive. Il permet de rendre furtif un ordinateur connecté sur le réseau internet, cela en ordonnant à l'ordinateur de ne pas répondre aux tests qu'on lui envoie :

Lorsque vous n'utilisez pas le logiciel communiquant via un port X, il n'y a pas de raison que ce port X reste ouvert à tous. Le firewall a aussi pour rôle de fermer tous les ports qui n'ont pas lieu de communiquer, réduisant la surface d'attaque des pirates.

Et un pirate qui détecte un port fermé ne va pas essayer de l'ouvrir ?

C'est une possibilité, c'est pour cela qu'il faut avoir un ordinateur le plus furtif possible sur internet. Le firewall, pour compléter son action, ne se contentera pas de ne pas répondre aux tests qu'on lui envoie, il va aussi masquer tous les ports de l'ordinateur (si ces "portes" sont cachées, le pirate ne peux pas essayer de les "forcer").

On résume ? En gros, le firewall :

• Contrôle les paquets entrants
• Contrôle les paquets sortants
• Ferme les ports non-utilisés
• Masque tous les ports
• Ordonne à l'ordinateur de ne pas répondre aux tests qu'on lui envoie

Tout ce que le firewall bloque, c'est une tentative de piraterie informatique ?

Non, le firewall bloque tout paquet qui ne respecte pas les règles imposées. La plupart des paquets bloqués ne sont que des tentatives de connexion de la part d'ordinateurs distants, sans but nuisible. Le firewall évite que votre ordinateur ne devienne une passoire ou chacun peut entrer et sortir quand bon lui semble.

Comment je peux mettre un firewall sur mon ordinateur ?

Un firewall ça peut être deux choses :

A.Un composant matériel

Le firewall peut-être un micro-ordinateur à part entière, il s'achète et s'installe entre votre ordinateur et votre modem. Il gère ainsi les connexions indépendamment de votre PC et du système qui y est installé, ce qui fait toute sa puissance : il ne peut pas être désactivé ou corrompu.

Certains modems/routeurs intègrent un firewall, c'est le cas dans beaucoup de "tout-en-un" qui sortent aujourd'hui : la LiveBox de Wanadoo, la C-Box de Cegetel... renseignez-vous, vous possédez peut-être déjà un firewall matériel ;-)

Si vous possédez un viel ordinateur qui ne vous sert plus, vous pouvez également le transformer en firewall matériel en y installant un système de firewall basé sur Linux. Voici quelques distributions gratuites et fiables :

• Smoothwall
• IPCop
• E-smisth SME
• Mandrake MNF
• Clarkconnect

Une image pour illustrer le firewall matériel :

Ce firewall étant indépendant du système, il ne peut pas surveiller les applications qui se lance sur l'ordinateur. Si un logiciel malveillant cherche à établir une connexion vers internet, le firewall matériel ne l'interdira pas. Un firewall logiciel peut surveiller les applications qui souhaitent se connecter, c'est pour cela que je conseille aux possesseurs de firewall matériel d'utiliser en plus un firewall logiciel.

B.Un firewall logiciel

C'est un programme à installer sur votre ordinateur. C'est une solution que beaucoup préfèrent car elle est simple à mettre en place, facilement configurable, et elle permet de surveiller les applications souhaitant se connecter à internet. Cependant le firewall reste dépendant du système, et son action peut être enrayée.

Le must, c'est d'utiliser son firewall matériel si on en a un, et un firewall logiciel. On est ainsi bien protégé en permanence, et de façon complète :

Je vais vous présenter ci-dessous des firewalls logiciels. Attention ! Mal utiliser un firewall peut rapidement conduire à le transformer en passoire !

Quoi ? Il faut être bête pour mal utiliser un firewall ! Ca fait son travail tout seul !

Pas du tout, le logiciel ne fait pas tout tout seul. Si un programme souhaite établir un type particulier de connexion, c'est à vous que le firewall demandera l'autorisation. C'est à vous et vous seul d'analyser le problème en fontion du programme qui demande une connexion, et du type de connexion. Parfois on est vite agacé par les questions d'un firewall, et on a tendance à tout autoriser ! Certains programmes se retrouvent avec toutes les connexions possibles autorisées !

Certaines questions ne sont pas de mon niveau... je n'y comprend rien...

Il y a deux solutions :

• Utiliser un firewall adapté à ses compétences
• Se renseigner sur des forums de discussion

En effet il ne sert absolument à rien d'utiliser un firewall complexe si c'est pour tout autoriser car on ne sait pas répondre aux questions posées ! Autant ne pas avoir de firewall ! C'est vraiment un outil qui n'est efficace que s'il est bien configuré.

Le firewall intégré à Windows

Ce firewall qui sait se déboruiller pour masquer l'ordinateur sur internet est une véritable horreur lorsqu'il s'agit de surveiller ce qui sort de l'ordinateur. Il ne surveille ni les applications voulant se connecter, ni les paquets sortants. C'est un firewall incomplet, qu'il faut s'empresser de désactiver pour installer un vrai firewall.

ZoneAlarm FREE

ZoneAlarm est un firewall qui fait correctement son travail. C'est une excellente solution pour tout utilisateur ayant peu de connaissances sur les réseaux. Il pose, de façon globale, deux questions : "Est-ce que cette application peut agir en tant que client ?" et "Est-ce que cette application peut agir en tant que serveur ?". C'est un outil simple, qui guide l'utilisateur dans ses choix. Bref, même s'il est un peu lourd en ressources, je le recommande à tous les utilisateurs devant choisir leur premier firewall.

Liens utiles :

• Site officiel.
• Page de téléchargement (choisissez version gratuite, protection par firewall).
• Tutoriel de ce site.

Sunbelt Kerio Personal Firewall

Kerio est un bon firewall, utilisable par tous. Lui aussi guide plutôt bien l'utilisateur dans ses choix, il est simple à prendre en main. Il est lui aussi plutôt lourd. L'interface peut faire un peu fouilli, certains l'aimeront, d'autres pas. Un firewall qui a failli perdre sa gratuiteté, ouf !

Liens utiles :

• Site officiel (anglais).
• Page de téléchargement.
• Tutoriel, par vulgarisation-informatique.com

Après une période d'essai, le logiciel perd quelques fonctions. Inutile d'acheter la version complète, les fonctions principales restent toujours présentes.

Agnitum Outpost Firewall

Un très bon firewall gratuit ! Outpost est à la fois très léger et performant. Il n'est peut être pas aussi intuitif que Kerio ou ZoneAlarm, je ne vous le conseille pas si vous devez choisir votre premier firewall. Ce firewall possède de petits bonus qui en font un très bel outil de sécurité.

Liens utiles :

• Site officiel (anglais).
• Page de téléchargement.
• Tutoriel de ce site

Sygate Personal Firewall

Sygate Personal Firewall est un pare-feu qui fait correctement ce qu'on lui demande, qui est plutôt simple d'accès et qui dispose d'une interface très claire. Cependant, le logiciel a été racheté par Symantec, qui a arrêté son développement. On peut toutefois le trouver en téléchargement sur certaines pages webs, comme celle-ci . Si vous choisissez ce firewall, pensez bien qu'en cas de faille de sécurité ou de bug important le logiciel ne sera pas corrigé.

Jetico Personal Firewall

Jetico Personal Firewall est un outil qui peut paraître simple en apparence, mais qui peut très facilement faire commettre des erreurs aux débutants. A vrai dire je ne le recommande qu'aux personnes ayant de bonnes connaissances en réseaux. Une fois que l'on a pris en main le logiciel, il s'avère être léger, pratique, fiable, excellent.

Liens utiles :

• Site officiel (anglais).
• Page de téléchargement. Chosissez jetico personal firewall.
• Tutoriel de ce site

Look'n'Stop

Look'n'stop est le seul firewall payant que je vous présenterai, mais il est vraiment excellent. Il peut être utilisé par tous les internautes, il suffit de charger le jeu de règles évoluées fourni pour le configurer efficacement. Certains logiciels demandent la création de règles particulières, mais beaucoup d'entre elles sont déjà toutes prêtes. La difficulté réside dans la création de règles persos, si il n'en existe pas de déjà prêtes, il faut dans ce cas avoir de bonnes connaissances en réseaux. Avec une interface simpliste mais claire, ce firewall se montre très confortable à utiliser quand on apprend à le manier.

Liens utiles :

• Site officiel.
• Télécharger une version d'essai.

Vous trouverez sur cette page un jeu de règles de filtrage appelé "jeu de règle phantom". Conçu par un utilisateur du logiciel, ce jeu de règle, une fois installé sur le firewall, permet de bloquer tous les types de connexion avec une efficacité rare.

Zeb'Protect

Zeb'Protect n'est pas un firewall, mais c'est un outil qu'il me paraît important de mentionner. Vous rappelez-vous des ports serveurs que Windows laisse grand ouverts, ceux dont je vous ai parlé plus haut dans cet article ? Ce programme permet entre autres de les fermer pour de bon, et de boucher ce gros trou de sécurité. A utiliser en complément d'un firewall !

Liens utiles :

• Page de téléchargement
• Tutoriel pour l'utiliser

Un petit mot pour la fin : le firewall est un outil strictement indispensable à tout ordinateur ayant accès à internet. Il permet de gérer les connexions entrantes et sortantes d'un système, et de le masquer aux yeux des autres internautes. J'insiste sur le fait que ce n'est pas un outil qui travail tout seul, mais en partie sous vos ordres : réfléchissez donc aux questions posées si vous voulez conserver l'efficacité du firewall.

Ces deux pages m'ont été utiles pour construire cet article :

• Comment mon pc communique-t-il avec le reste du monde ?
• C'est quoi un firewall ? Comment ça marche ?

Retourner en haut de la page
Besoin d'aide ? Passez donc sur le forum

Site conçu par odSen en 2005 // Dernière MàJ : 9 novembre 2006 // e-mail : benoit[point]auneau[chez]gmail[point]com