À propos du coupe-feu d’application

OS X comprend un coupe-feu d’application que vous pouvez utiliser pour contrôler les connexions à votre ordinateur effectuées à partir d’autres ordinateurs sur votre réseau.

OS X 10.5.1 et les versions ultérieures comprennent un coupe-feu d’application que vous pouvez utiliser pour contrôler les connexions en fonction de chaque app (plutôt qu’en fonction de chaque port). Cela vous permet de bénéficier plus facilement des avantages offerts par une protection coupe-peu et vous aide à empêcher les apps indésirables de contrôler les ports réseau qui sont ouverts pour les apps légitimes.

Configuration du coupe-feu d’application sous OS X 10.6 et les versions ultérieures

Pour activer le coupe-feu d’application, procédez comme suit :

  1. Sélectionnez Préférences Système dans le menu Pomme.
  2. Cliquez sur Sécurité ou sur Sécurité et confidentialité.
  3. Cliquez sur l’onglet Coupe-feu.
  4. Déverrouillez la sous-fenêtre en cliquant sur le cadenas situé dans le coin inférieur gauche, puis entrez un nom et un mot de passe administrateur.
  5. Cliquez sur Activer le coupe-feu ou sur Démarrer pour activer le coupe-feu.
  6. Cliquez sur Avancé pour personnaliser la configuration du coupe-feu.

Configuration du coupe-feu d’application sous Mac OS X 10.5

Assurez-vous d'avoir la version 10.5.1 de Mac OS X ou une version ultérieure. Effectuez ensuite les étapes suivantes pour activer le coupe-feu d’application :

  1. Sélectionnez Préférences Système dans le menu Pomme.
  2. Cliquez sur Sécurité.
  3. Cliquez sur l’onglet Coupe-feu.
  4. Choisissez le mode que vous souhaitez utiliser.

Réglages avancés

  

 

Bloquer toutes les connexions entrantes

L’option « Bloquer toutes les connexions entrantes » permet d’empêcher tous les services de partage comme le Partage de fichiers et le Partage d’écran, de recevoir des connexions entrantes. Toutefois, les services système suivants demeurent autorisés à recevoir ces connexions :

  • configd, utilisé pour le protocole DHCP ainsi que d’autres services de configuration réseau;
  • mDNSResponder, qui met en oeuvre Bonjour
  • racoon, utilisé par le protocole IPSec.

Pour utiliser les services de partage, assurez-vous que l’option « Bloquer toutes les connexions entrantes » n’est pas sélectionnée.

Autoriser des apps en particulier

Pour autoriser une app en particulier à recevoir des connexions entrantes, ajoutez-la dans les options du coupe-feu :

  1. Ouvrez Préférences système.
  2. Cliquez sur l’icône Sécurité ou sur Sécurité et confidentialité.
  3. Sélectionnez l’onglet Coupe-feu.
  4. Déverrouillez la sous-fenêtre des préférences en cliquant sur l’icône de cadenas, puis entrez un nom et un mot de passe administrateur.
  5. Cliquez sur le bouton Options du coupe-feu
  6. Cliquez sur le bouton « + » pour ajouter une app.
  7. Sélectionnez l’app que vous souhaitez autoriser à recevoir des connexions entrantes.
  8. Cliquez sur Ajouter.
  9. Cliquez sur OK.

Pour retirer une app de la liste des apps autorisées, cliquez sur le bouton « - ».

Autoriser automatiquement les logiciels signés à recevoir des connexions entrantes

Les apps signées par une autorité de certification valide sont ajoutées à la liste des apps autorisées automatiquement, plutôt que par des invites demandant à l’utilisateur de les autoriser. Les apps incluses avec OS X sont signées Apple et autorisées à recevoir des connexions entrantes lorsque ce réglage est activé. Par exemple, puisque l’app iTunes est signée par Apple, elle est automatiquement autorisée à recevoir des connexions entrantes par le coupe-feu.

Lorsque vous exécutez une app non signée qui n’est pas dans la liste du coupe-feu, une boîte de dialogue vous invitant à autoriser ou à refuser les connexions pour cette app s’affiche. Si vous cliquez sur Autoriser, OS X signe l’app et l’ajoute automatiquement à la liste. Si vous cliquez sur Refuser, OS X ajoute l’app à la liste, mais refuse toute connexion entrante qui lui est destinée.

Si vous souhaitez bloquer une app numériquement signée, ajoutez-la à la liste, puis cliquez sur l’option appropriée afin de refuser toute connexion.

Certaines apps vérifient leur intégrité lorsqu’elles sont ouvertes, et ce, sans utiliser la signature par code. Si le coupe-feu reconnaît une telle app, ce dernier ne la signe pas. À la place, la boîte de dialogue proposant les options « Autoriser ou Rejeter » s’affiche chaque fois que vous ouvrez l’app. Pour éviter de recevoir cette invite, mettez l’app à niveau avec une version signée par son développeur.

Activer le mode furtif

L’activation du mode furtif permet d’empêcher l’ordinateur de répondre aux demandes de détection. Toutefois, l’ordinateur répond quand même aux demandes des apps autorisées. Les requêtes inattendues, comme celles de type ICMP (ping), sont ignorées.

Limites du coupe-feu

Le coupe-feu d’application est conçu pour fonctionner avec les protocoles Internet les plus fréquemment utilisés par les apps, à savoir les protocoles TCP et UDP. Les réglages du coupe-feu n’ont aucune incidence sur les connexions AppleTalk. Pour que le coupe-feu puisse bloquer les requêtes « ping » entrantes du protocole ICMP, activez le mode furtif dans Réglages avancés. La technologie ipfw utilisée précédemment reste accessible à l’aide d’une ligne de commande (dans Terminal) et le coupe-feu d’application n’annule aucune des règles définies avec ipfw. Si cette technologie bloque un paquet entrant, le coupe-feu d’application ne le traite pas.

Date de publication: