Un firewall, aussi appelé pare-feu ou garde-barrière, est un programme, ou un matériel, chargé de vous protéger du monde extérieur et de certains programmes malveillants placés à votre insu sur votre ordinateur. Placé entre vous et Internet, le firewall contrôle tout ce qui passe, et surtout tout ce qui ne doit pas passer de l'un vers l'autre.

Le monde n'est pas rose, et Internet est à son image. Chaque jour, des centaines, voire des milliers de personnes essaient, pour des raisons diverses, de s'introduire dans les ordinateurs des autres. Dans la grande majorité des cas, il ne s'agit que d'adolescents boutonneux qui veulent se prouver qu'ils sont les plus forts. Internet est leur Rock'n'Roll à eux, un moyen de marquer sa révolte face à la génération qui les a précédés.

Dans les faits, ils se contentent le plus souvent d'utiliser des programmes/scripts tout prêts, ce qui leur vaut le surnom de "scripts kiddies". Heureusement, ceci n'est pas une fatalité, et l'utilisation d'un firewall, même simpliste, y mettra un terme dans la plupart des cas. Les cas restants sont le fait de pirates professionnels, si tant est que l'on puisse les appeler ainsi. Avec eux, seule une politique de sécurité de grande qualité constitue une protection.

Cependant, ils n'ont pas de temps à perdre, et par conséquent ne s'attaquent qu'aux cibles qui en valent la peine. Donc, à moins de disposer de données confidentielles de haute importance sur votre ordinateur, vous ne risquez pas grand chose. Néanmoins, si vous avez une connexion illimitée, et de surcroît à haut débit, munie d'une adresse IP fixe, ou faiblement tournante, vous constituez pour eux une cible potentiellement utile.

Décrire le fonctionnement précis d'un firewall à quelqu'un qui n'a aucune connaissance du fonctionnement d'un réseau est une utopie. Cependant, il est parfaitement possible de le faire dans les grandes lignes. Lorsque vous êtes connecté à Internet, votre ordinateur fait deux choses bien distinctes.

D'une part, il envoie des données en direction du vaste monde, pour demander à consulter une page Web par exemple. D'autre part, il reçoit des données en provenance de ce vaste monde, par exemple la page Web que vous avez demandée. Les firewalls les plus simples se contenteront d'autoriser ou d'interdire l'accès au vaste monde à un programme. Cela veut dire que seuls ceux que vous aurez spécifiquement autorisés auront le droit d'envoyer et/ou de recevoir des données.

Les firewalls plus évolués rajouteront un contrôle au niveau du port, c'est-à-dire une autorisation ou une interdiction liée à un type particulier de données. Ainsi, votre navigateur Internet aura le droit d'accéder au Web, mais pourra ne pas être autorisé à faire du FTP, même si cette fonction est partiellement présente pour le téléchargement de fichier. Pour finir, les firewalls les plus évolués traiteront toutes les données au cas par cas.

C'est simple, il n'y a pas de différence, ou si peu. D'un côté, vous avez votre ordinateur, sur lequel tourne un firewall logiciel. De l'autre, vous avez une boîte, plus ou moins grosse, à qui l'on donne le doux nom de "firewall matériel" et qui, de par son prix, n'est absolument pas destinée aux particuliers. Seulement, dans cette boîte se cache rien de moins qu'un ordinateur, généralement réduit à sa plus simple expression et conçu spécifiquement pour cela.

Et sur cet ordinateur, on trouve un firewall logiciel. Dans la pratique, le firewall matériel étant supposé s'exécuter sur un système d'exploitation réputé pour sa sécurité, et disposer d'un firewall parfaitement configuré, il est donc potentiellement plus efficace. En contrepartie, il offre généralement moins de souplesse, ce qui complique les choses dès qu'il s'agit de lui faire prendre en compte un cas particulier propre à votre société.

Par conséquent, sauf à disposer d'une architecture réseau des plus basiques, un responsable informatique compétent en matière de sécurité reste préférable. D'autant plus qu'il saura tirer parti d'un système d'exploitation libre, OpenBSD par exemple, et d'un ordinateur inutilisé, pour vous installer, à moindre frais, un firewall efficace et parfaitement adapté à vos besoins. Enfin, si vous ne disposez ni d'un responsable informatique, ni des moyens financiers suffisants pour vous équiper d'un firewall matériel, il vous reste quand même une solution.

Celle-ci consiste à former l'un de vos employés à la sécurité informatique. Mais, attention, on ne s'improvise pas administrateur réseau et, à moins d'une vocation naissante, cette solution ne peut qu'être transitoire, et précédée d'une étude complète du sujet. A noter aussi que l'utilisation d'un firewall matériel ne dispense en aucune façon d'une formation préalable.

Tout dépend du type de connexion qui vous relie à Internet et de vos habitudes. En effet, les risques ne sont pas les mêmes selon que vous disposiez d'un modem poussif et dépassé, relié par une banale ligne de téléphone, ou d'une ligne à haut débit avec un ordinateur connecté en permanence.

Bien sûr, si vous y tenez, vous pouvez très bien vivre sans firewall. Tout ira bien, jusqu'au jour où quelqu'un aura profité d'une faille de votre ordinateur (ils en ont tous ou presque, alors ne vous croyez pas à l'abri) pour placer un petit programme de 50 Ko à peine. Une petite manipulation supplémentaire, et ce programme s'exécutera automatiquement à chaque démarrage de votre ordinateur.

A partir de maintenant, et pour chaque fichier que vous enregistrerez, un octet sur vingt (voir un sur cent, la différence étant minime) sera aléatoirement modifié par le programme. La question est donc de savoir combien de temps il vous faudra pour vous en rendre compte, et quel pourcentage de données seront irrémédiablement perdues car déjà corrompues lors du dernier Backup ?

Et puis, rien ne peut vous assurer que le pirate n'en aura pas profité pour consulter cette lettre, si importante que vous aviez tenu à l'écrire en utilisant Word, dans laquelle vous expliquiez à votre banquier que votre compte N°xxxxx était certes à découvert de xxxx Francs, mais que cela était dû à l'achat de votre nouvelle maison, située à l'adresse xxxxx, et que votre banquier serait bien aimable de vous autoriser à dépenser encore xxxx Francs pour vous permettre de changer la porte qui ne ferme toujours pas, et d'installer une alarme pour protéger votre collection de pierres précieuses d'une valeur inestimable.

Si, comme la plupart des gens, vous vous connectez à Internet via votre ligne téléphonique, alors vous êtes soit en RTC, soit en numéris. Dans ce cas, le risque n'est pas bien grand, à moins que vous ne passiez beaucoup de temps sur internet. Cependant, ce n'est pas une raison suffisante pour ne pas utiliser de firewall. En effet, les scripts kiddies se moquent bien du facteur temps, la seule chose qui les intéresse étant de rentrer sur votre ordinateur.

D'ailleurs, rien ne vous assure que demain ne sera pas le jour où, oubliant toute prudence, vous allez rester connecté plus d'une demi-heure d'affilée, captivé que vous serez par ce site si intéressant que vous venez de trouver. Et comme le risque augmente avec le temps...

Dans ce cas, inutile de se poser des questions, le firewall est de rigueur. En effet, le câble, et plus encore l'ADSL, vous permettent de rester connecté des heures entières, et cela, les pirates de tout poil le savent très bien. Par conséquent, vous attirerez les scripts kiddies aussi sûrement que le miel attire les abeilles. Imaginez l'aubaine que vous représentez pour eux. Ils vont avoir des heures entières pour essayer tous les programmes de piratage qu'ils ont trouvés,

les comparer entre eux, et surtout s'entraîner à les utiliser. Seulement, ce n'est pas le seul risque que vous encourrez. Pour les pirates professionnels aussi, vous représentez une cible intéressante. Pour eux, vous n'êtes qu'une étape sur la voie du succès, une sorte de point d'appui qui, pour commencer, fera le travail à leur place. Par exemple, il suffit de placer un programme sur votre ordinateur, et vous testerez, à votre insu, les failles de leur cible véritable.

Un autre programme, et vous voilà transformé en relais. C'est votre adresse IP, ce nombre magique et unique qui permet de savoir que c'est vous qui "parlez" et personne d'autre, qui sera visible depuis la cible. Le pirate sera donc à l'abri, pendant que vous subirez les assauts du service juridique de la société qui a été attaquée. Vous l'aurez compris, non seulement un firewall est une nécessité pour vous, mais en plus, il vaut mieux qu'il soit performant et bien configuré.

Et si vous pensez ne pas être capable de le configurer comme il faut, choisissez un firewall disposant plutôt d'une bonne ergonomie. Vous y perdrez un peu en efficacité et en souplesse, mais vous y gagnerez en sécurité.

Moi non plus, et pourtant cela ne m'empêche pas d'être victime de plusieurs dizaines de tentatives d'intrusion par jour. Ce qu'il faut bien comprendre, c'est que le script kiddie, non seulement ne sait pas que vous n'avez rien sur votre ordinateur, mais en plus il s'en contrefiche.

La seule chose qui l'intéresse est de rentrer chez vous. Et s'il est dans un bon jour, pour lui, rien ne peut vous garantir qu'il n'en profitera pas pour supprimer, ou modifier, quelques fichiers. Pire, pourquoi n'utiliserait-il pas votre connexion pour envoyer un nombre important de spams, dont vous serez alors, aux yeux de tous et surtout de votre FAI, le seul et unique auteur, avec les conséquences que cela implique (notamment la fermeture de votre compte par votre FAI). Je passe du temps sur IRC ou sur un / plusieurs chat(s).

Donc, vous permettez à quelqu'un de connaître votre adresse IP (indispensable au logiciel de chat et au serveur IRC). En plus de cela, vous lui permettez d'en savoir plus sur vous, notamment le prénom de votre femme, de vos enfants, et toutes ces petites choses que les gens utilisent le plus souvent comme mot de passe. Ne vous étonnez donc pas s'il relance souvent la conversation, ce n'est que pour s'assurer que vous restez connecté, le temps qu'il finisse de regarder vos fichiers.

Évidemment, ceci n'est pas systématique. Pour autant, ma plus grande victoire en matière de sécurité survint le jour où ma femme m'a dit "Tiens, j'ai rencontré quelqu'un sur le chat de xxxxx, et il m'a proposé de me passer un petit jeu amusant pour Sylvain. Je crois que j'ai bien fait de refuser, puisqu'il est parti tout de suite après."

Donc, vous permettez à quelqu'un de connaître votre adresse IP (indispensable au logiciel de chat et au serveur IRC). En plus de cela, vous lui permettez d'en savoir plus sur vous, notamment le prénom de votre femme, de vos enfants, et toutes ces petites choses que les gens utilisent le plus souvent comme mot de passe. Ne vous étonnez donc pas s'il relance souvent la conversation, ce n'est que pour s'assurer que vous restez connecté, le temps qu'il finisse de regarder vos fichiers.

Évidemment, ceci n'est pas systématique. Pour autant, ma plus grande victoire en matière de sécurité survint le jour où ma femme m'a dit "Tiens, j'ai rencontré quelqu'un sur le chat de xxxxx, et il m'a proposé de me passer un petit jeu amusant pour Sylvain. Je crois que j'ai bien fait de refuser, puisqu'il est parti tout de suite après."

En théorie, plein de choses, en pratique, rien. Vous pouvez faire un /whois/ sur cette adresse, pour envoyer un message au service abuse de son FAI. Mais, cela reviendrait à perdre votre temps (des alertes, vous en avez des dizaines par jour) pour pas grand chose. Vous pouvez aussi attaquer la personne à votre tour, mais attention, il pourrait choisir la première solution.

Et là, allez expliquer à votre FAI qu'il a commencé en premier. Mais, même si tout cela est bien tentant, il vaut mieux éviter. En effet, qui vous garantit que votre assaillant est bien celui que vous croyez ? Il pourrait tout aussi bien s'agir en fait de l'adresse IP d'un proxy mal configuré, et utilisé par un tiers à des fins malveillantes. Tout comme il pourrait s'agir d'une adresse IP spoofée (usurpée). Dans un cas comme dans l'autre, vous aurez puni ou fait punir une personne qui est aussi victime que vous.

Au contraire. Tout d'abord, vous ne savez pas comment ils vont interférer entre eux, créant peut-être une brèche dans votre sécurité. Ensuite, et surtout, vous aurez tendance à vous reposer sur eux, et à manquer de vigilance. Or, le meilleur firewall est placé entre la chaise et le clavier, c'est *vous*.

Cependant, cela n'est vrai que dans la mesure où ils sont tous deux placés sur le même ordinateur. Dans le cas d'un réseau d'entreprise, ou d'association/club/autre, il peut être utile d'utiliser deux firewalls, de part et d'autre de la DMZ. Mais cela dépasse le cadre de cette FAQ.

Oui, évidemment. Même s'ils sont parfois complémentaires, l'Anti-Virus éliminant les trojans/Troyens avant même que votre firewall n'ait à les bloquer, ils ne font pas le même travail pour autant.

NetBios est le nom de l'interface développée par Microsoft pour le partage de fichier et d'imprimante. Donc, si vous n'utilisez pas Windows, vous ne craignez rien de ce côté là. Attention toutefois, /samba/ offrant aux systèmes d'exploitation Unix une interface avec le monde Windows, il dispose des mêmes failles (en plus de celles qui lui sont propres).

Dans le cas contraire, sachez qu'il s'agit d'une faille de sécurité au coeur même de votre système. Par l'intermédiaire de NetBios, n'importe qui peut s'introduire dans votre ordinateur, et utiliser votre/vos disques durs, comme s'il s'agissait des siens. Il faut donc impérativement bloquer les ports 137, 138 et 139 en UDP et TCP, et dans les deux sens (entrée et sortie).

Attention, Windows ayant ceci de particulier que l'on ne sait pas toujours ce qu'il fait, ne pensez pas qu'il suffise de désactiver NetBios pour être à l'abri. En effet, Windows pourrait bien décider qu'il en a besoin, et le réactiver sans que vous ne vous en rendiez compte.

Lorsqu'un port est "fermé", cela signifie que votre firewall répond à la tentative de connexion par un message indiquant que la connexion n'est pas possible. Lorsqu'il est "furtif", ou "bloqué" votre firewall ne renvoie rien.

Cela dépend des personnes qui vous répondront, et de l'importance que votre assaillant porte à votre ordinateur. Ce qu'il faut savoir, c'est qu'il n'y a pas de réelle différence entre un port "fermé", et un port "ouvert" derrière lequel il n'y aurait pas de serveur. Mais, dans le même temps, le message renvoyé donne des indications sur votre ordinateur, et peut donc servir au pirate pour trouver d'autres moyens susceptibles de lui permettre d'entrer.

Oui, et non. Un firewall contrôlant tout ce qui entre et sort de votre ordinateur, il ralentira forcément la connexion. Maintenant, tout dépend de votre ordinateur (plus il est puissant mieux c'est), et de ce que fait votre firewall. Pour autant, il est rare que ce ralentissement ait des conséquences visibles, mais si tel était le cas, le mieux reste encore de changer de firewall.

Adresse IP
L'adresse IP est un numéro, unique, qui permet de savoir où se situe, et donc comment joindre, votre ordinateur. C'est grâce à elle qu'un site web, par exemple, sait où il doit envoyer les pages qu'il contient. Dans la majorité des cas, l'adresse vous est attribuée par votre FAI.

DMZ
Ce terme un peu barbare désigne la partie d'un réseau volontairement isolée du reste, et qui contient les différents serveurs nécessaires au réseau. Sa présence permet d'accroître le niveau de sécurité car elle constitue une zone tampon qu'il faudra traverser avant de pénétrer réellement dans le réseau.

Fournisseur d'Accès à Internet ( FAI )
Il s'agit du prestataire de service par l'intermédiaire duquel vous accédez à Internet.

Protocole ICMP
Derrière cette abbréviation, signifiant "Internet Control Message Protocol" (Protocole Internet de messages de contrôle), se cache un protocole destiné à gérer les informations relatives aux erreurs pouvant survenir sur le réseau.

Port
Il s'agit d'un numéro désignant un service particulier. C'est par son intermédiaire que les logiciels savent de quels types de données il s'agit. Il existe deux types de port. D'une part les ports dits "privilégiés", dont le numéro va de 0 à 1024. Ces ports sont clairement définis comme étant utilisés par un type précis de serveur, et uniquement lui. | D'autre part, on trouve les ports "non-privilégiés", dont le numéro est compris entre 1025 et 65535. Ces ports sont appelés ainsi car, contrairement aux autres, ils n'ont pas d'attribution propre, et peuvent servir à un peu tout. Cependant, les ports privilégiés étant quasiment tous attribués, les nouveaux protocoles se voient attribuer des ports dont le numéro est supérieur à 1024. On parle alors de ports "enregistrés".

Service / Serveur
Il s'agit d'un programme permettant de proposer des données (du contenu) sur le réseau. Un serveur Web, par exemple, est un service, au même titre qu'un serveur FTP.

Spyware / Espiogiciel
Il s'agit de programmes, généralement freeware, qui en plus de leur fonction de base (aide au téléchargement par exemple), font de l'espionnage commercial à votre insu. Par exemple, ils récupèrent la liste des programmes présents sur votre ordinateur, et l'envoient à une adresse donnée, ce qui permet de savoir l'utilisation que vous faites de votre ordinateur.

Trojan / Troyen
Un trojan/troyen est un programme ouvrant, à votre insu et pour vous nuire, un service particulier sur votre ordinateur. C'est grâce à ces programmes qu'un pirate peut accéder plus facilement à votre ordinateur.

Protocole TCP
Derrière cette abbréviation de "Transmission Control Protocol" (Protocole de Contrôle de Transmission), se cache le protocole le plus utilisé pour les échanges de données sur Internet. Et comme Internet est une suite continue d'échanges de données...

Protocole UDP
A l'inverse du protocole TCP, le protocole UDP (User Datagram Protocol) n'est utilisé que ponctuellement sur Internet. Ceci tient notamment au fait qu'il n'y a aucun contrôle, et donc aucune assurance que les données soient bien parvenues à destination.