Cet appel mérite une réponse en demi-teinte : « Peut-être que oui, peut-être que non. »
Voyons d’abord ce qu’est ce fameux ‘pare-feu’ avant d’apporter une réponse.
Le Pare-feu
Le ‘Firewall’ (en anglais) est votre porte pour aller et venir de l’Internet, que se soit pour surfer ou échanger des courriels. Comme toute porte, elle est ouverte – ne fût-ce qu’un peu – ou fermée.
Nos ordinateurs personnels ouvrent cette porte quand nous décidons de visiter un site ou d’envoyer un email.
Ils sont censés refermer la porte quand nous terminons notre session sur le navigateur ou quand notre courriel est parti.
Version de base
Le Pare-Feu est un dispositif logiciel qui ‘surveille et contrôle’ ce qui sort et ce qui entre ; il bloque ce que nous avons inscrit dans des règles. Celui qui est intégré à notre système d’exploitation (Windows, Mac OS, Android, etc.) possède trois niveaux : fort – moyen – faible.
Nous devons choisir quel niveau nous voulons, sinon ce sera le niveau faible qui sera appliqué. Le niveau ‘fort’ va nous contraindre car il contrôle beaucoup de choses ce qui prend du temps.
Version spéciale
Si nous achetons un pack ‘Internet Security’ – généralement avec un antivirus – c’est ce firewall qui prendra le relais. Il est plus complexe à régler – car nous devons préciser certaines règles.
Problèmes
- Ces dispositifs ne font, généralement, que contrôler ce qui rentre. Ils considèrent que c’est nous qui décidons ce qui sort et qu’un contrôle n’est pas nécessaire.
- Les logiciels malveillants que nous ‘ingurgitons’ si facilement peuvent modifier les règles à leur guise. Ils peuvent ‘sortir’ des informations sans que nous le sachions.
- Cette ‘porte’, même contrôlée, donne directement sur notre salon, le contenu de notre ordinateur. S’il y a du vent dehors, il refroidit tout. L’intrus qui se présente voit directement ce qui peut l’intéresser à l’intérieur.
Infrastructure Firewall
Version ‘Pro’
Les professionnels remplacent la porte par un ‘sas’ – comme dans les banques ou les sous-marins. Il y a deux portes et entre les deux une zone tampon.
La zone entre les deux portes prend le nom de ‘zone démilitarisée’ (Demilitarized Zone ou DMZ) et contient tous les services ‘de base’ qui ne contiennent pas d’informations sensibles et assurent les échanges. L’un des dispositifs de la DMZ est le système surveillance et d’enregistrement des activités.
La version ‘Pro’ utilise donc 1 firewall (= portes) de chaque côté de la DMZ.
Comment ça marche ?
- Tout trafic entrant doit respecter certaines règles pour être autorisée à passer la ‘porte avant’.
- A l’intérieur de la DMZ la requête est formulée. Si elle est valide, cette requête est transmise ‘à l’intérieur’ au travers de la seconde porte qui dispose de ses propres règles.
- La réponse revient par cette porte arrière et, après vérification, est transmise vers l’extérieur en repassant par la porte avant si elle répond aux règles de sortie.
Ça paraît compliqué, mais si vous comparez à l’entrée dans votre agence de banque ou dans un aéroport, cela l’est moins :
- Vous utilisez votre carte de banque pour ouvrir la porte / vous obtenez votre carte d’embarquement et vous passez le contrôle d’émigration (avec votre carte d’embarquement et votre passeport)
- Vous pouvez obtenir différents services dans la zone: les distributeurs de billets, les terminaux pour déposer de l’argent ou effectuer un versement / les magasins hors taxe et les contrôles aux rayons X pour vous et vos bagages à main
- Si vous devez entrer dans la banque, pour un service particulier pour lequel vous avez un rendez-vous, vous devez sonner / vous présentez à nouveau vos carte d’embarquement et passeport pour monter dans l’avion.
Le système de surveillance voit tout ce qui entre, note les refus, enregistre les flux internes et ce qui sort de la DMZ. Dans un sens comme dans l’autre.
Le problème
- Le nœud du problème est dans les règles : si elles sont trop lâches, c’est une passoire ; si elle sont trop nombreuses ou trop rigides, c’est long ou ça retient trop. C’est donc presque un métier à part en entreprise que de configurer cette ‘infrastructure firewall’.
Il faut bien déterminer ce qui peut entrer et ce qui peut sortir, et sous quelles conditions. - Le système de surveillance doit également être réglé pour ‘voir’ un maximum de choses et enregistrer tout ce qui est utile. Reste ensuite à l’administrateur de la DMZ à étudier les enregistrements – il utilise un outil spécialement réglé pour alerter quand quelque chose de douteux se produit.
- Les logiciels malveillants sont souvent conçus pour passer entre les mailles du filet. Ils faussent ou trompent les règles afin de ‘sortir’ les informations qui intéressent leurs distributeurs : liste de noms (comme dans le cas de l’attaque de France Télévision), fichiers sensibles et autres données dont la vente ou l’emploi peut rapporter beaucoup d’argent.
Je vous ai – encore – fait peur ? Désolé ! C’est pour la bonne cause.
Un internaute averti en vaut deux – si ça pouvait être quatre se serait encore mieux 😉
Vos impressions sont les bienvenues, partagez-les.
A bientôt, plus en sécurité avec vos informations.
Jean-Luc
© Mats Tooming | Dreamstime Stock Photos
Google+