À propos du coupe-feu applicatif

OS X comprend un coupe-feu d’application que vous pouvez utiliser pour contrôler les connexions à votre ordinateur effectuées à partir d’autres ordinateurs sur votre réseau.

OS X 10.5.1 et version ultérieure comprennent un coupe-feu applicatif qui permet de contrôler les connexions au niveau de chaque application (plutôt qu’au niveau des ports). Cela vous permet de bénéficier plus facilement des avantages offerts par une protection coupe-peu et vous aide à empêcher les apps indésirables de contrôler les ports réseau qui sont ouverts pour les apps légitimes.

Configuration du coupe-feu applicatif sous OS X 10.6 et version ultérieure

Procédez comme suit pour activer le coupe-feu d’application :

  1. Sélectionnez Préférences Système dans le menu Pomme.
  2. Cliquez sur Sécurité ou Sécurité et confidentialité.
  3. Cliquez sur l’onglet Coupe-feu.
  4. Déverrouillez la sous-fenêtre en cliquant sur le cadenas situé dans le coin inférieur gauche, puis saisissez un nom et un mot de passe d’administrateur.
  5. Cliquez sur « Activer le coupe-feu » ou « Démarrer » pour activer le coupe-feu.
  6. Cliquez sur Avancé pour personnaliser la configuration du coupe-feu.

Configuration du coupe-feu applicatif sous Mac OS X 10.5

Assurez-vous de disposer de Mac OS X 10.5.1 ou d’une version ultérieure. Ensuite, procédez comme suit pour activer le coupe-feu applicatif :

  1. Sélectionnez Préférences Système dans le menu Pomme.
  2. Cliquez sur Sécurité.
  3. Cliquez sur l’onglet Coupe-feu.
  4. Choisissez le mode que vous souhaitez utiliser.

Réglages avancés

  

 

Bloquer toutes les connexions entrantes

L’option « Bloquer toutes les connexions entrantes » permet d’empêcher tous les services de partage (Partage de fichiers et Partage d’écran, par exemple) de recevoir des connexions entrantes. Toutefois, les services système suivants demeurent autorisés à recevoir de telles connexions :

  • configd, utilisé pour le protocole DHCP ainsi que d’autres services de configuration réseau ;
  • mDNSResponder, utilisé pour le service Bonjour ;
  • racoon, utilisé pour le protocole IPSec.

Pour pouvoir utiliser les services de partage, assurez-vous que l’option « Bloquer toutes les connexions entrantes » n’est pas sélectionnée.

Autoriser des applications spécifiques

Pour autoriser une app spécifique à recevoir des connexions entrantes, ajoutez-la dans les options du coupe-feu :

  1. Ouvrez Préférences Système.
  2. Cliquez sur l’icône Sécurité ou Sécurité et confidentialité.
  3. Sélectionnez l’onglet Coupe-feu.
  4. Déverrouillez la sous-fenêtre des préférences en cliquant sur l’icône de cadenas, puis saisissez un nom et un mot de passe d’administrateur.
  5. Cliquez sur le bouton Options du coupe-feu
  6. Cliquez sur le bouton « + » pour ajouter une application.
  7. Sélectionnez l’app que vous souhaitez autoriser à recevoir des connexions entrantes.
  8. Cliquez sur Ajouter.
  9. Cliquez sur OK.

Pour retirer une app de la liste des apps autorisées, cliquez sur le bouton « - ».

Autoriser automatiquement les logiciels signés à recevoir des connexions entrantes

Les applications signées par une autorité de certification valide sont automatiquement ajoutées à la liste des applications autorisées, sans qu’une action ne soit nécessaire de votre part. Les apps incluses avec OS X sont signées Apple et sont autorisées à recevoir des connexions entrantes lorsque ce réglage est activé. Par exemple, l’app iTunes étant signée par Apple, elle est automatiquement autorisée à recevoir des connexions entrantes à travers le coupe-feu.

Lorsque vous exécutez une app non signée qui n’est pas répertoriée dans la liste du coupe-feu, une boîte de dialogue vous invitant à autoriser ou à refuser les connexions pour cette app apparaît. Si vous cliquez sur Autoriser, OS X signe l’application et l’ajoute automatiquement à la liste. Si vous cliquez sur Refuser, OS X ajoute l’app à la liste, mais refuse toute connexion entrante qui lui est destinée.

Si vous souhaitez bloquer une app numériquement signée, ajoutez-la à la liste, puis cliquez sur l’option adéquate afin de refuser toute connexion.

Certaines apps vérifient leur intégrité lorsqu’elles sont ouvertes, et ce sans utiliser la signature par code. Si le coupe-feu reconnaît une telle app, il ne la signe pas. À la place, la boîte de dialogue proposant les options Autoriser ou Rejeter s’affiche chaque fois que vous ouvrez l’app. Pour éviter de recevoir cette invite, mettez l’app à niveau avec une version signée par son développeur.

Activer le mode furtif

Le mode furtif permet d’empêcher l’ordinateur de répondre aux demandes de détection, hormis celles des apps autorisées. Les requêtes inattendues, comme celles de type ICMP (ping), sont ignorées.

Limites du coupe-feu

Le coupe-feu applicatif est conçu pour fonctionner avec les protocoles Internet les plus fréquemment utilisés par les applications, à savoir les protocoles TCP et UDP. Les réglages du coupe-feu n’ont aucune incidence sur les connexions AppleTalk. Pour que le coupe-feu puisse bloquer les requêtes « ping » entrantes du protocole ICMP, activez le mode furtif dans Réglages avancés. La technologie ipfw utilisée précédemment reste accessible via la ligne de commande (dans Terminal). Le coupe-feu applicatif n’annule aucune des règles définies avec ipfw. Si cette technologie bloque un paquet entrant, le coupe-feu applicatif ne le traite pas.

Date de publication: