Si on prend le cas de votre ordinateur, un pare-feu c’est un logiciel (parfois un appareil physique) qui « isole » votre machine du réseau internet et même local ( vos autres ordinateurs connectés dans votre maison). Quand je parler « d’isoler » c’est un terme peu précis. En réalité un pare-feu vous permettra de surveiller et potentiellement bloquer des informations qui sortent de votre ordinateur et aussi celles qui rendre sur votre ordinateur. Pour pouvoir appliquer sa mission, un pare-feu à besoin de règles pour savoir ce qu’il peut laisser passer ou non. Cela dépendra de plusieurs facteurs comme :
En utilisant un pare-feu et en configurant ce genre de paramètre, vous pourriez bloquer ou autoriser n’importe quel échange sur votre pc.
Windows possède un pare-feu par défaut souvent critiqué pour être trop laxiste dans l’autorisation des connexions. Pourtant il est possible d’améliorer grandement sa sécurité en sacrifiant la facilité de configuration de nouveau logiciel pour l’accès au web. Évidemment, Microsoft ne peut pas rendre le pare-feu plus efficace en ajoutant des règles plus strictes sans compliquer la tâche au grand public pour l’utilisation de son système d’exploitation.
Sous Windows le pare-feu fonctionne avec des règles simples divisées en deux grandes catégories :
Une connexion entrante ou sortante est généralement appliquée sur un fichier exécutable. Ainsi, lors de l’exécution de ce programme, les règles autoriseront ou empêcherons les échanges entrants ou sortant de se programme.
Les profils du pare-feu Windows sont utilisés pour établir des règles et un comportement précis en fonction du réseau sur lequel vous êtes connecté. Il faut savoir que les règles de sécurité ne sont pas les mêmes entre un réseau privé, chiffré, et protégé par mot de passe (chez vous ou votre travail) et un réseau public ouvert à tous (fast-food, gare, centre commercial, etc.). Vous pouvez donc définir des règles très strictes et contraignantes dans un lieu public et au contraire un comportement plus souple et permissif sur un réseau privé.
Pour cela, le pare-feu Windows propose 3 profils :
Parfois, configurer une règle entrante ou sortante pour un fichier exécutable n’est pas approprié. Il peut arriver que plusieurs dizaines de fichiers exécutables ou des services aient besoin de règles spéciales pour un échange d’information. Dans ce cas, il est possible de créer des règles, non pas en fonction d’un chemin de fichier exécutable, mais d’autre caractéristique comme :
Ces règles avancées permettent de configurer plus finement le pare-feu de Windows afin de créer un équilibre entre la maintenabilité et la sécurité.
La stratégie par défaut du pare-feu Windows comprend une stratégie en deux-points :
Cette stratégie permet une gestion très simple pour un public large au sacrifice de la sécurité. Car le moindre logiciel installé aura automatiquement accès à internet, et ce avant même que vous lui en interdisiez l’accès.
Cette Autorisation des connexions sortante par défaut présente aussi un inconvénient majeur. Car elle consiste à autoriser les programmes que nous n’aurions pas régulés par oublie ou ignorance. Il faut savoir que bloquer un fichier exécutable ne suffit pas toujours à bloquer un programme. Certains programmes utilisent plusieurs fichiers exécutables pour se connecter à internet. Oublier ou ignorer un seul de ces fichiers revient à autoriser la connexion à une partie des fonctionnalités du logiciel.
Une stratégie plus contraignante reviendrait à :
De cette manière, tout logiciel ou service présent sur votre ordinateur nécessitera une règle de votre part pour se connecter à internet. Cette stratégie est beaucoup plus efficace en termes de sécurité, car l’oublie ou l’ignorance d’un programme conduira systématiquement à une interdiction de connexion.
Seulement, ce type de stratégie nécessite quelque contrainte importante :
Enfin, sachez que le fait de bloquer tous les programmes par défaut ne vous protégera pas à 100% des échanges d’information entre votre ordinateur et internet. Un programme malveillant qui n’aurait pas accès au web par défaut pourrait utiliser dos, PowerShell, ou votre navigateur web que vous auriez autorisé en connexion sortante pour vos besoins.
En résumé, même si cette stratégie ajoute une couche de sécurité au sacrifice du confort d’utilisation à votre système d’exploitation. Il faut absolument faire attention à la réputation des applications installées sur votre système.