Coupe-feu, Gate Keeper, Confidentialité, SIP
Protéger votre Mac des attaques sur Internet

Top

Afin de protéger votre ordinateur d'éventuelles intrusions de la part de Hackers (pirates informatiques) mal intentionnés et de tous les filous qui s'en donnent à coeur joie sur Internet, vous devez vous munir d'un coupe-feu ("Firewall" en anglais), qui vous assurera une protection efficace. Un coupe-feu est un système permettant de protéger votre ordinateur (ou réseau d'ordinateurs) des intrusions venant de l'extérieur (Internet). Il agit donc comme un "filtre" afin d'autoriser ou non telles ou telles connexions avec des machines extérieures (serveurs etc...). Tout logiciel utilisant Internet (logiciel de messagerie, navigateur, logiciel FTP, logiciel de chat etc.... ) nécessite que votre Mac se connecte en effet sur des serveurs (machines) distants pour y récupérer des informations, pour assurer une communication entre votre ordinateur et ces machines distantes. Un ordinateur sans coupe-feu c'est comme une maison avec toutes les portes et fenêtres ouvertes. Autrement dit, votre maison est grande ouverte et tout le monde peut s'introduire sans même que vous vous en rendiez compte. Installer un coupe-feu sur votre Mac c'est déterminer en quelque sorte quelle "porte" et quelle "fenêtre" doit être ouverte ou non, c'est donc sécuriser l'accès à votre Mac. OS X inclut un coupe-feu interne.

Afin de protéger encore plus votre Mac, APPLE a introduit depuis MOUNTAIN LION une nouvelle fonction dénommé Gate Keeper qui s'appuie sur des tests d'identification de logiciels malveillants de MacOS pour protéger votre Mac contre les applications douteuses et les logiciels malveillants téléchargés sur Internet.

Outre la fonction "FileVault" (abordée plus en détail ICI sur ce site), le module "Sécurité et Confidentialité" dans "Préférences Système" regroupe les fonctions coupe-feu et "Gate Keeper". Nous allons examiner de plus près ces deux fonctionnalités, ainsi que la rubrique "Confidentialité" également proposée dans ce module "Sécurité et Confidentialité".

Nous évoquerons, à la fin de cette astuce, la nouvelle fonction Security Integrity Protection présente dans EL CAPITAN.

Présentation du coupe-feu interne à OS X

Alors que sous TIGER 10.4, on disposait d'un coupe-feu qui satisfaisait tout le monde, depuis LEOPARD 10.5, APPLE a décidé subitement de revoir son approche en matière de sécurité en nous proposant une protection non plus par ouverture/fermeture des ports, mais par autorisation/interdiction des applications... censée faciliter les choses pour l'utilisateur.... paraît-il...

 

Le coupe-feu fonctionne sur ce même principe sous EL CAPITAN 10.11, même s'il avait été amendé dans son mode de paramétrage sous SNOW LEOPARD 10.6. Cependant, force est de constater que la fenêtre de paramétrage du coupe-feu d'OS X n'est vraiment pas claire du tout et ne propose que peu d'explications.

 

Le coupe-feu de EL CAPITAN fonctionne bien sûr de concert avec le module "Partage" dans les "Préférences Système". Les services activés dans "Partage" apparaissent dans la liste du coupe-feu. Pour empêcher les connexions entrantes avec l'un de ces services, vous devez alors désactiver le service concerné dans le module "Partage".

Pour des utilisateurs plus avertis, préférant gérer eux-mêmes l'ouverture/fermeture de ports, les choses deviennent nettement plus compliquées avec ce type de coupe-feu.

 

Par défaut, le coupe-feu interne à EL CAPITAN n'est pas activé. Ce n'est pas plus mal, car vous n'en aurez vraisemblablement pas besoin (voir ci-dessous).

 

Faut-il activer ou non le coupe-feu interne à OS X ?

De nos jours, la plupart des internautes utilisent soit un modem-routeur, soit une "Box" (Freebox, LiveBox", "LaBox" etc...). Tous ces appareils sont déjà munis d'un coupe-feu interne que l'on peut paramétrer à sa convenance. Si c'est votre cas, alors n'activez pas le coupe-feu interne de EL CAPITAN car cela ferait doublon et pourrait même perturber le fonctionnement de votre Mac sur Internet. Laissez le bien "désactivé".

Paramétrez simplement comme vous le souhaitez (si cela est nécessaire), le coupe-feu de votre routeur/Box.

Par contre, si vous utilisez un simple modem (c'est de plus en plus rare, il faut bien l'avouer), alors il est absolument nécessaire d'avoir un coupe-feu pour protéger votre Mac. Dans ce cas présent (et uniquement ce cas là), je vous conseille d'activer le coupe-feu interne à EL CAPITAN.

 

 

 

Comment utiliser le coupe-feu interne à OS X ?

Ouvrez le module "Sécurité et confidentialité" dans "Préférences Système", puis allez à l'onglet "Coupe-feu" !

 

 

 

---------------

 

 

 

Le coupe-feu est par défaut désactivé. Toutes les connexions entrantes sont bien évidemment autorisées. Pour l'activer et le paramétrer, cliquez sur le cadenas en bas à gauche de la fenêtre, puis tapez votre mot de passe administrateur. Cliquez enfin sur le bouton "Activer le coupe-feu" afin d'activer le coupe-feu. Le coupe-feu est désormais activé, mais il est nécessaire de le paramétrer. Pour cela, cliquez sur le bouton "Options de coupe-feu".

 

Que voyons nous ?

 

 

 

----------------------------

 

 

 

 

 

"Bloquer toutes les connexions entrantes"

Si vous cochez cette case, seules les connexions distantes des "services essentiels" de votre Mac seront autorisées. Mais que sont ces services essentiels ? Ce n'est pas très clair, il faut bien l'avouer ! Les services essentiels sont un ensemble d'applications permettant à votre ordinateur de rechercher des services fournis par d'autres ordinateurs du réseau. Ce réglage empêche donc les connexions avec tout autre service ou toute autre application de partage. Ce réglage laisse ouverts les ports nécessaires au système comme "Bonjour", "DHCP" ou "IPSec" etc...

 

Si vous cochez cette case, le coupe-feu bloquera tous les services partagés comme le partage de fichiers, le partage d'écran, Messages Bonjour et le partage de musique iTunes...

 

Autrement dit, mieux vaut ne pas cocher cette case, sinon, vous ne pourriez plus faire grand chose !

 

 

Liste des connexions entrantes

Juste en dessous, vous trouverez une mini-fenêtre de paramétrage qui permet d'ajouter/supprimer et paramétrer des connexions entrantes. Comme vous le constatez sur la capture d'écran ci-dessus, plusieurs éléments apparaissent déjà dans ma liste : 2 services de partage (car j'ai en effet activé le partage d'imprimante et le partage de fichiers dans le module "Partage"), et plusieurs éléments correspondant à des applications : "Dropbox", "PasswordWallet", "Printopia", une extension appartenant à "Transfert d'images" etc...

 

Comme je le précisais en introduction, les services activés dans "Partage" apparaissent donc dans la liste du coupe-feu. Pour empêcher les connexions entrantes avec l'un de ces services, vous devez alors désactiver le service concerné dans le tableau de bord "Partage". Si vous activez un service de partage, tel que le partage de fichiers, OS X ouvre un port spécifique du coupe-feu pour que la communication du service puisse fonctionner. Ceci est automatique et vous n'avez pas besoin de le paramétrer manuellement dans le coupe-feu (heureusement !!).

 

 

Comment faire alors pour ajouter des applications et déterminer s'il faut autoriser ou bloquer les connexions entrantes de celles-ci ?

Vous avez deux possibilités :

  • Soit en cliquant sur le "+" situé en bas à gauche de la liste des connexions entrantes. Ajoutez l'application de votre choix, puis cliquez sur les flèches du haut et du bas (situées tout à droite de chaque application) pour autoriser ou bloquer les connexions entrantes de cette application. Voici par exemple pour mon application "Dropbox" (voir figure ci-dessus).

 

  • Soit en attendant que le système détecte de lui-même une tentative de connexion à une application non encore "autorisée". Une fenêtre de dialogue d'autorisation apparaît pour que vous choisissiez d'autoriser ou de refuser l'accès à cette application, comme sur cet exemple :

 

 

 

---------------------------------------------

 

 

 

Cliquez sur "Autoriser" si vous voulez que le coupe-feu de EL CAPITAN autorise les connexions entrantes pour cette application (si vous cliquez sur "Refuser", vous ne pourrez pas utiliser le logiciel, faute de connexion !).

 

Procédez de même pour vos autres applications nécessitant une connexion internet (*). Je vous conseille d'opter pour la seconde possibilité, ce qui vous facilitera grandement la tâche, car vous n'autoriserez des connexions entrantes que quand le système vous le demandera par une fenêtre de dialogue d'autorisation. Pas besoin de se casser la tête.

(*) Cela n'est pas nécessaire de le faire pour des applications comme "Mail", "Safari" ou votre logiciel FTP... Les ports utilisés par ces applications sont ouverts par défaut. C'est pour cette raison que je vous conseille d'opter pour la seconde possibilité, cela vous évitera "d'enfoncer des portes ouvertes".

 

Bien entendu, vous pouvez à tout moment aller dans la fenêtre du coupe-feu de EL CAPITAN pour modifier à votre convenance les paramétrages enregistrés.

 

 

"Autoriser automatiquement les logiciels signés à recevoir des connexions entrantes"

Si vous cochez cette case (elle l'est par défaut), l'étape d'ajout d'autorisation aux applications décrite juste ci-dessus devient AUTOMATIQUE avec les applications dites "signées".

Qu'est-ce qu'une application signée ? Il s'agit d'une application qui a été signée "numériquement" par une autorité de certification approuvée par le système (pour la signature du code). Toutes les applications Apple ont ainsi été signées par Apple et sont donc autorisées à recevoir des connexions entrantes AUTOMATIQUEMENT. D'autres applications tièrces le sont également. Par contre, d'autres, comme par exemple "PasswordWallet", ne le sont pas.

Si vous souhaitez bloquer une application signée numériquement, il faut donc l’ajouter à la liste des connexions entrantes, puis la bloquer de manière explicite en choisissant "Bloquer les connexions entrantes" à côté de son nom dans la liste des connexions.

 

Si vous lancez une application "non signée" qui n’est pas encore dans la liste des connexions entrantes du coupe-feu, dans ce cas la fenêtre de dialogue d'autorisation apparaît pour que vous choisissiez d'autoriser ou de refuser l'autorisation à cette application.

 

Certaines applications vérifient leur propre intégrité lorsqu’elles sont exécutées sans utiliser la signature du code. Si le coupe-feu reconnaît une application de ce type, il ne la signera pas, mais rouvrira par la suite la fenêtre de dialogue d'autorisation à chaque lancement de l’application. Vous pouvez éviter ce comportement en mettant à jour avec une version de l’application qui est signée par son développeur... ou en ajoutant manuellement l'application dans la liste des connexions entrantes.

 

Pour faire simple et pour résumer, je vous invite donc à laisser cette case cochée. Vous verrez ainsi moins de fenêtres de dialogue d'autorisations apparaître à l'écran, car toutes les applications "signées" s'ajouteront automatiquement. Vous n'aurez la fenêtre de dialogue d'autorisation QUE pour les applications non signées.

 

 

"Activer le mode furtif"

Certains ordinateurs pirates sophistiqués examinent les réseaux pour essayer d'identifier des ordinateurs à attaquer. Si les problèmes de sécurité vous inquiètent, vous pouvez utiliser le mode furtif d'OS X pour rendre difficile l'accès à votre ordinateur pour les pirates. Lorsque le mode furtif est activé, votre ordinateur ne répond pas aux demandes "ping" ni aux tentatives de connexion d'un port TCP ou UDP fermé. Le mode furtif empêche les données sortantes comme "ARP", "Bonjour" et les connexions à Internet de révéler la présence de votre ordinateur sur le réseau.

 

 

Gate Keeper

Comme je le disais en préambule, "Gate Keeper" est une nouvelle fonctionnalité apportée sous MOUNTAIN LION qui s’appuie sur les tests d’identification de logiciels malveillants d’OS X pour protéger votre Mac contre les applications jugées douteuses et les logiciels malveillants téléchargés sur Internet.

 

De ce fait, vous avez trois possibilités de paramétrage en matière d'autorisation en ce qui concerne le téléchargement et l'installation d'applications. Ces réglages sont disponibles tout en bas de l'onglet "Général" du module "Sécurité et confidentialité" :

 

 

---------------

 

  • La possibilité d'autoriser uniquement les applications provenant du Mac App Store.
  • La possibilité d'autoriser uniquement les applications provenant du Mac App Store et des développeurs identifiés.
  • La possibilité d'autoriser toutes les applications (n'importe où).

 

Dans l'absolu, on pourrait dire que cette fonction "Gate Keeper" est une sacrée évolution en matière de sécurité, mais les détracteurs sont nombreux. Certes "Gate Keeper" apporte indéniablement un plus en matière de sécurité, mais beaucoup estiment également - et on ne peut pas dire qu'ils ont totalement tort - qu'il s'agit aussi d'une privation de liberté, car APPLE continue par ce biais à reprendre en main le marché de la distribution de logiciels sur Mac, puisque la sécurité maximale, selon APPLE, c'est finalement de télécharger des applications sur le Mac App Store. APPLE examine en effet chaque application avant que celle-ci ne soit ajoutée à Mac App Store.

 

Si un développeur ne souhaite pas passer par Mac App Store (il en a encore le droit), il peut obtenir un identifiant de développeur unique auprès d’Apple, et l’utiliser pour signer numériquement leurs applications. Il sera donc un développeur identifié.

 

Quant aux autres, ceux qui ne passent ni par le Mac App Store, ni par un identifiant développeur, la sanction peut être sévère : Si une application a été développée par un développeur inconnu (ne disposant donc pas d’identifiant) Gatekeeper peut empêcher l’installation de celle-ci.

 

C'est ce qui se passe si par exemple on télécharge et lance "Cyberduck", "Onyx" et bien d'autres applications provenant de développeurs "non identifiés". Au lancement de ces applications, vous obtenez ce message pour le moins troublant :

 

 

 

------------------------------------------

 

 

 

 

Comment faire quand on a alors ce type de message pour une application dont on est pourtant sûr et certain qu'elle n'est pas un logiciel malveillant ? Cliquez simplement sur son icône, tout en maintenant la touche "ctrl" enfoncée, puis sélectionnez "Ouvrir". Une nouvelle fenêtre apparaîtra à l'écran vous permettant alors d'ouvrir cette application normalement.

 

ou

 

Dans "Préférences Système" / "Sécurité et confidentialité", cliquez sur "Ouvrir quand même" situé en regard de la mention "L'ouverture de xxxx est bloquée car l'application provient d'un développeur non identifié" :

 

 

-------------

 

 

ou

 

Cochez la case "N'importe où" à la rubrique sus-indiquée, vous n'aurez ainsi plus jamais ce type de message enquiquinant.

 

 

En conclusion, difficile d'émettre un jugement objectif sur Gate Keeper. Si on se place du côté des utilisateurs que nous sommes, on appréciera ce nouveau filet de sécurité qui protège certes nos Mac de tous logiciels malveillants, mais si on se place du côté des développeurs, "Gate Keeper" est pour le moins contraignant, car on peut comprendre que ces derniers puissent avoir la sensation qu'Apple souhaite plus ou moins les mettre au pas.

 

 

Confidentialité

Le dernier onglet du module "Sécurité et confidentialité" concerne différents paramétrage de confidentialité. Cet onglet vous permet de gérer les informations auxquelles votre Mac autorise l'accès.

 

Service de localisation

Si vous avez activé le service de localisation, alors certaines applications peuvent être autorisées à déterminer votre emplacement. C'est par exemple la cas de "Rappels" (voir astuce "Rappels" sur ce site) qui a besoin de vous localiser si vous voulez obtenir des alertes en fonction de votre emplacement.

 

 

--------------

 

 

 

Contacts

Cartaines applications souhaitent accéder à vos contacts. Quand c'est le cas, une fenêtre s'affiche à l'écran vous demandant d'autoriser ou non cette application à accéder à vos contacts. C'est le cas notamment de "Pages", "iCompta", Toast", Google Chrome", "SpamSieve" etc.....

 

Il va de soi que cet accès est nécessaire pour permettre aux applications concernées d'exploiter certaines fonctionnalités, par exemple pour "SpamSieve" de considérer les e-mails provenant de tous vos contacts comme de bon e-mails :

 

 

 

--------------

 

 

Calendriers / Rappels

Sur le même principe de fonctionnement que la rubrique "Contacts" ci-dessus, certaines applications souhaitent accéder à vos calendriers et vos rappels.



Twitter, LinkedIn et Facebook

Les applications ayant demandé l'accès à Twitter, LinkedIn et Facebook apparaissent dans ces rubriques.

 

 

Accessibilité

Cette rubrique permet de gérer les applications qui souhaitent accéder à votre Mac et le contrôler via des fonctions d'accessibilité (les fonctions d'accessibilité sont disponibles au module "Accessibilité" dans les "Préférences Système").

Un message d'alerte apparaît à l'écran vous demandant cette autorisation (vous pouvez accepter ou refuser) lors du premier lancement des applications concernées.

Donnez cette autorisation qu'aux seules applications que vous connaissez bien.

Vous pouvez modifier ce choix, simplement en cochant/décochant la case idoïne en regard de l'application concernée dans cette rubrique.

 

 

------------

 

 

Diagnostic et utilisation

Pour aider APPLE à mieux servir ses clients et à améliorer la qualité de ses produits, vous pouvez choisir d'envoyer automatiquement les informations concernant le fonctionnement et l'utilisation que vous faites de votre Mac. Il suffit pour cela de cocher la case "Envoyer automatiquement les données de diagnostic et d'usage à Apple".

 

 

Vous pouvez également autoriser Apple à partager les données liées à vos pannes afin d'aider les développeurs d'applications.

 

---------------

 

 

 

Ces informations sont seulement envoyées avec votre consentement et sont soumises anonymement à Apple.

 

Les données de diagnostic et d’utilisation peuvent inclure les informations suivantes :

  • Détails relatifs aux pannes et aux blocages des applications ou du système ou aux erreurs graves du noyau (kernel Panic)
  • Informations relatives aux événements sur votre ordinateur (par exemple, si une certaine fonction, telle que la réactivation de votre ordinateur, a été réussie ou pas)
  • Informations d’utilisation (par exemple, les données relatives à l’utilisation des logiciels, du matériel et des services Apple et de tierces parties).

 

Les données de diagnostic et d’utilisation contiennent les spécifications matérielles et logicielles de votre ordinateur, y compris des informations sur les périphériques connectés à votre ordinateur et les versions du système d’exploitation et des applications exécutées sur votre ordinateur.

 

Vous pouvez enrichir les données de diagnostic en y ajoutant des commentaires décrivant les actions effectuées lorsque le problème est survenu. Lorsque la zone de dialogue de diagnostic apparaît, il suffit de cliquer sur le triangle d’affichage et de saisir vos commentaires dans le champ prévu à cet effet (ne pas fournir d’informations personnelles).

 

Pour ma part, je n'ai pas coché ces cases (préférence strictement personnelle).

 

 

 

Quelques mots sur System Integrity Protection (SIP)

Sous OS X EL CAPITAN, APPLE a renforcé la sécurité du système en ajoutant une couche de protection supplémentaire, dénommée "System Integrity Protection" (SIP). Même en passant en mode "Root", il ne vous sera plus possible de modifier les dossiers utilisés par le système. Bref, sans rentrer dans des détails trop techniques, sachez simplement que EL CAPITAN est réputé encore plus sûr que ses prédécesseurs.... mais cela n'est pas sans conséquences.

 

En effet, protéger le système d'éventuelles failles ou bien contre de présumés malwares est certes une bonne chose, mais cela a pour conséquence de limiter vos droits administrateur et on peut alors parfois être confronté à certaines incompatibilités avec certaines applications ou lors de certaines opérations.

Pour l'utilisateur lambda, cela n'aura pas forcément d'impact, mais si vous êtes un tantinet bidouilleur ou si vous êtes développeur, ou si vous êtes simplement un peu plus expert que l'utilisateur lambda, le SIP peut vite apparaître comme une contrainte.


Il est heureusement possible de désactiver SIP en re-démarrant votre Mac sur la partition "Recovery HD" et en passant par le "Terminal" (voir astuce consacrée à "Recovery HD" pour plus d'infos sur cette partition de restauration). Tapez la commande suivante dans le "Terminal", puis re-démarrez le Mac sur votre partition sous EL CAPITAN :

 

 

csrutil disable

 

À noter que vous devrez effectuer cette désactivation à chaque mise à jour système.

 

Si vous voulez réactiver le SIP, re-démarrez votre Mac sur la partition "Recovery HD", lancez le "Terminal" et tapez cette fois la commande :

 

 

csrutil enable

 

 

Mon conseil : Pour la plupart des utilisateurs, mieux vaut bien entendu laisser le SIP activé. Seuls les utilisateurs un peu plus expérimentés, qui souhaiteront avoir plus de "liberté d'action" sur le système, pourront avoir l'utilité de désactiver le SIP le cas échéant.