Langues

Mac OS X 10.5, 10.6 : à propos du coupe-feu applicatif

Mac OS X 10.5 et 10.6 incluent une technologie appelée coupe-feu applicatif. L’un des principaux objectifs d’un coupe-feu est de contrôler les connexions à votre ordinateur effectuées depuis d’autres ordinateurs du réseau.

Remarque : cet article s’applique à la version du coupe-feu applicatif incluse dans Mac OS X 10.5.1 et ultérieur.

Le coupe-feu de Mac OS X 10.5.1 et ultérieur est un coupe-feu applicatif. Ce type de coupe-feu vous permet de contrôler les connexions en fonction de l’application plutôt qu’en fonction du port. Vous pouvez ainsi profiter aisément de la protection offerte par un coupe-feu et empêcher des applications indésirables de prendre le contrôle des ports réseau qui ont été ouverts pour des applications légitimes.

Configuration du coupe-feu applicatif dans Mac OS X 10.6 ou ultérieur

Procédez comme suit :

  1. Choisissez Préférences Système à partir du menu Apple.
  2. Cliquez sur Sécurité.
  3. Cliquez sur l’onglet Coupe-feu.
  4. Déverrouillez le panneau en cliquant sur le cadenas dans le coin inférieur gauche et entrez le nom d’utilisateur ainsi que le mot de passe.
  5. Cliquez sur Démarrer pour activer le coupe-feu.
  6. Cliquez sur Avancé pour personnaliser la configuration du coupe-feu.

Les trois paramètres avancés du coupe-feu applicatif

1. Bloquer toutes les connexions entrantes :

Mac OS X 10.6 bloquera toutes les connexions à l’exception d’une liste limitée des services essentiels au fonctionnement de votre ordinateur.

Les services système qui sont toujours autorisés à recevoir des connexions entrantes sont :

  • configd, qui implémente DHCP et d’autres services de configuration réseau ;
  • mDNSResponder, qui implémente Bonjour ;
  • racoon, qui implémente IPSec.

Ce mode empêchera tous les services de partage (tels que le Partage de fichiers et le Partage d’écran figurant dans le menu Partage du panneau Préférences Système) de recevoir des connexions entrantes. Pour pouvoir utiliser ces services, désactivez cette option.

2. Autoriser automatiquement les logiciels signés à recevoir des connexions entrantes

Les applications déjà signées par une autorité de certification valide seront automatiquement ajoutées à la liste des applications autorisées, sans demander confirmation à l’utilisateur. Par exemple, du fait qu’iTunes est déjà signé par Apple, il sera automatiquement autorisé à recevoir des connexions entrantes au travers du coupe-feu.

3. Activer le mode furtif

Lorsque le mode furtif est activé, l’ordinateur ignore les requêtes visant à le sonder pour voir s’il répond. L’ordinateur continuera à répondre aux requêtes provenant des applications autorisées mais pas aux autres requêtes, telles que les requêtes ICMP (ping).

Applications signées numériquement

Toutes les applications qui ne sont pas dans la liste et qui ont été signées numériquement par une autorité de certification approuvée par le système (pour la signature du code) sont autorisées à recevoir des connexions entrantes. Toutes les applications Apple de Mac OS X 10.6 ont été signées par Apple et sont autorisées à recevoir des connexions entrantes. Si vous souhaitez bloquer une application signée numériquement, commencez par l’ajouter à la liste puis bloquez-la de manière explicite.

Si vous exécutez une application non signée qui n’est pas dans la liste du coupe-feu applicatif, une boîte de dialogue dans laquelle vous avez la possibilité d’autoriser ou de bloquer les connexions pour l’application s’affiche. Si vous choisissez Autoriser, Mac OS X 10.6 signera l’application et l’ajoutera automatiquement à la liste du coupe-feu applicatif. Si vous choisissez Refuser, Mac OS X 10.6 signera l’application, l’ajoutera automatiquement à la liste du coupe-feu applicatif, puis bloquera la connexion.

Certaines applications vérifient leur propre intégrité lorsqu’elles sont exécutées sans utiliser la signature du code. Si le coupe-feu applicatif reconnaît une application de ce type, il ne la signera pas, mais rouvrira par la suite la boîte de dialogue à chaque lancement de l’application. Vous pouvez éviter ce comportement en effectuant une mise à niveau vers une version de l’application qui est signée par son développeur.

Configuration du coupe-feu applicatif dans Mac OS X 10.5

Cet article s’applique à la version du coupe-feu applicatif incluse dans Mac OS X 10.5.1 ou ultérieur. Procédez comme suit :

  1. Choisissez Préférences Système à partir du menu Apple.
  2. Cliquez sur Sécurité.
  3. Cliquez sur l’onglet Coupe-feu.
  4. Choisissez le mode que vous souhaitez que le coupe-feu utilise.

Les trois modes de fonctionnement du coupe-feu applicatif

1. Autoriser toutes les connexions entrantes :

Il s’agit du mode le plus « ouvert ». Mac OS X ne bloquera pas les connexions entrantes sur votre ordinateur. Il s’agit du mode par défaut pour Mac OS X 10.5. Si vous avez effectué une mise à niveau depuis Mac OS X 10.4.x, votre coupe-feu applicatif sera par défaut dans ce mode.

2. Autoriser uniquement les services essentiels :

Il s’agit du mode le plus conventionnel. Mac OS X bloquera toutes les connexions à l’exception d’une liste limitée des services essentiels au fonctionnement de votre ordinateur.

Les services système qui sont toujours autorisés à recevoir des connexions entrantes sont :

  • configd, qui implémente DHCP et d’autres services de configuration réseau ;
  • mDNSResponder, qui implémente Bonjour ;
  • racoon, qui implémente IPSec.

Ce mode empêchera tous les services de partage (tels que le Partage de fichiers et le Partage d’écran figurant dans le menu Partage du panneau Préférences Système) de recevoir des connexions entrantes. Pour pouvoir utiliser ces services, désactivez cette option.

3. Définir l’accès de certains services et applications :

Il s’agit du mode le plus flexible. Vous pouvez choisir d’autoriser ou de bloquer les connexions entrantes pour chaque application présente sur votre système.

Utilisez le bouton « + » pour ajouter une application à cette liste. Vous pouvez sélectionner une application et cliquer sur le bouton « - » pour la supprimer. Lorsque vous cliquez sur le nom d’une application tout en maintenant la touche Ctrl enfoncée, vous avez la possibilité d’afficher l’emplacement de l’application dans le Finder.

Une fois l’application ajoutée à la liste, vous pouvez choisir d’autoriser ou de bloquer les connexions entrantes pour cette application. Vous pouvez même ajouter à cette liste des applications de ligne de commande.

Lorsque vous ajoutez une application à cette liste, Mac OS X la signe numériquement (si ce n’est pas déjà fait). Si elle est par la suite modifiée, vous serez invité à autoriser ou à bloquer les connexions réseau vers cette application. La majeure partie des applications ne se modifient pas elles-mêmes, mais il s’agit d’une fonction de sécurité qui vous avertit en cas de modification.

Applications signées numériquement

Toutes les applications qui ne sont pas dans la liste et qui ont été signées numériquement par une autorité de certification approuvée par le système (pour la signature du code) sont autorisées à recevoir des connexions entrantes. Toutes les applications Apple de Mac OS X 10.5 ont été signées par Apple et sont autorisées à recevoir des connexions entrantes. Si vous souhaitez bloquer une application signée numériquement, commencez par l’ajouter à la liste puis bloquez-la de manière explicite.

Si vous exécutez une application non signée qui n’est pas dans la liste du coupe-feu applicatif, une boîte de dialogue dans laquelle vous avez la possibilité d’autoriser ou de bloquer les connexions pour l’application s’affiche. Si vous choisissez Autoriser, Mac OS X 10.5 signera l’application et l’ajoutera automatiquement à la liste du coupe-feu applicatif. Si vous choisissez Refuser, Mac OS X 10.5 signera l’application, l’ajoutera automatiquement à la liste du coupe-feu applicatif, puis bloquera la connexion.

Certaines applications vérifient leur propre intégrité lorsqu’elles sont exécutées sans utiliser la signature du code. Si le coupe-feu applicatif reconnaît une application de ce type, il ne la signera pas, mais rouvrira par la suite la boîte de dialogue à chaque lancement de l’application. Vous pouvez éviter ce comportement en mettant à niveau avec une version de l’application qui est signée par son développeur.

Informations supplémentaires

Remarque avancée : le coupe-feu s’applique aux protocoles Internet les plus communément utilisés par les applications, à savoir TCP et UDP. Il n’affecte pas AppleTalk. Le coupe-feu peut être réglé de manière à bloquer les « pings » ICMP entrants en activant le mode furtif dans les paramètres avancés. Vous pouvez toujours accéder via la ligne de commande (dans Terminal) à la technologie ipfw utilisée précédemment. Le coupe-feu applicatif n’annule pas les règles définies avec ipfw ; si ipfw bloque un paquet entrant, le coupe-feu applicatif ne le traitera pas.

Dernière modification : 29 juin 2010
Avez-vous trouvé cet article utile ?
Oui
Non
Not helpful Somewhat helpful Helpful Very helpful Solved my problem
Imprimer cette page
  • Dernière modification : 29 juin 2010
  • Article : HT1810
  • Visites:

    2173757
  • Note :
    • 70.0

    (45 réponses)

Informations supplémentaires relatives à l’assistance produit