Un Mac protégé avec Little Snitch
Pour mieux contrôler les connexions Internet de votre Mac

Top

"Little Snitch" ("petit mouchard" en anglais) est un petit logiciel qui va renforcer la protection de votre Mac en contrôlant efficacement toutes tentatives de connexion de votre ordinateur sur Internet. Il vous en fait part immédiatement par une fenêtre d'avertissement. À vous alors de décider si vous acceptez ou non cette communication de données.
"Little Snitch" apparaît comme un complément idéal au coupe-feu et je vous conseille vivement de l'installer sur votre Mac.

Présentation de "Little Snitch"

Vous avez un antivirus ? Un anti-spyware ? Vous avez un logiciel anti-spam ? Vous avez activé un coupe-feu sur votre Mac ? Vous vous croyez alors totalement à l'abri sur Internet ? Et bien non !!

 

Oui, même si vous avez activé un coupe-feu (le coupe-feu de votre modem-routeur ou le coupe-feu interne à OS X), il faut savoir que certaines informations sortent de votre Mac et sont transmises à votre insu (avec ou sans votre consentement d'ailleurs) à autrui via Internet !!

 

Quelles sont ces informations ? La plupart du temps il s'agit d'informations sur certaines applications que vous avez installées sur votre Mac ! Ces informations sont alors transmises aux sociétés éditant ces applications. Pourquoi ? Soit c'est dans un but avouable et vous permettre de mettre par exemple automatiquement à jour ces dites applications, soit c'est dans un esprit un peu plus tordu afin de communiquer via Internet à ceux qui les conçoivent toutes sortes d'informations sur votre configuration logicielle ou même sur votre vie privée ! Une sorte d'espionnage à votre insu.

 

"Little Snitch" va vous permettre de contrôler et gérer efficacement ces connexions sortantes.

 

La version 3 intègre également un outil coupe-feu permettant de mieux contrôler les connexions entrantes.

 

"Little Snitch" n'est ni un antivirus, ni un logiciel permettant de neutraliser un "spyware", un "keylogger" ou d'autres programmes malveillants. Contrairement à des logiciels comme "ClamXav" ou "MacScan" (voir ICI sur le site) qui détectent et neutralisent des programmes malveillants venus de l'extérieur (internet) et installés à votre insu sur votre Mac, "Little Snitch" contrôle les connexions Internet de votre Mac... Ce qui vous permet de contrôler, et d'autoriser ou non ces connexions.

 

"Little Snitch" est donc un outil qui ne fait pas doublon avec "ClamXav" ou "MacScan" mais qui apporte un complément indispensable.

 

"Little Snitch" coûte un peu moins de 30 €, mais vous pouvez le tester gratuitement en mode démo. En mode démo, l'application s'arrête au bout de trois heures et il vous faut alors la relancer !

Voici ICI le site de l'éditeur où vous pourrez télécharger ce logiciel.

 

Autre fonctionnalités de la version 3 de "Little Snich" :

Outre la possibilité de contrôler également les connexions entrantes, "Little Snich" propose des améliorations intéressantes dans sa nouvelle version 3 :

  • Mode "Silence" : En activant ce mode, vous pouvez ainsi bloquer l'affichage des fenêtres d'alerte. Vous pouvez activer le mode silence de sorte que toutes les connexions soient autorisées, ou de sorte qu'elles soient toutes refusées. En général, on n'utilisera ce mode que temporairement, afin de ne pas voir s'afficher les alertes durant un laps de temps.
  • Création de "Profils" : Pour chaque application, les règles peuvent être associées à des profils de lieu (cela concernera de facto essentiellement les portables), par exemple autoriser toutes les connexions pour "Mail" à la maison, mais les refuser toutes pour "Mail" si vous êtes connecté en Wi-Fi dans un lieu public. Il suffit de sélectionner tel ou tel profil en fonction du lieu de connexion.
  • L'interface du moniteur réseau a été grandement amélioré : affichage en temps réel avec graphe, communications réseau, possibilité d'afficher l'activité sur une certaine période, possibilité de faire des captures d'écran complètes de l'activité à un instant T, etc...
  • Gestion plus affinée des règles : "Little Snitch" analyse automatiquement les règles créées afin de détecter toute redondance, anomalie, ainsi que les règles invalides ou expirées.

 

 

Comment fonctionne "Little Snitch" ? Ce logiciel fonctionne automatiquement en arrière plan ! Une fois paramétré, "Little Snitch" est activé automatiquement et vous protège efficacement de l'envoi impromptu et non voulu d'informations via Internet, du "Phoning home", des chevaux de troie, vers et autres parasites et propose un haut niveau de sécurité pour les utilisateurs soucieux des questions de sécurité sur Internet !

 

 

 

Utilisation et paramétrage de "Little Snitch"

Une fois ce logiciel téléchargé, il suffit de double cliquer sur l'installateur pour activer l'installation de "Little Snitch" (on vous demandera votre mot de passe administrateur). Une petite application "Little Snitch Configuration" sera alors installée dans votre dossier "Applications". C'est cette petite application que vous allez utiliser pour paramétrer "Little Snitch" et pour modifier (quand bon vous semble) les règles et les préférences du logiciel.

 

Pour ce qui est du paramétrage, il est toujours possible de créer d'emblée des règles supplémentaires soi-même dans "Little Snitch", mais je laisserai cette option aux utilisateurs les plus expérimentés. Pour une utilisation à la fois optimale et simplifiée, le mieux est de laisser "Little Snitch" faire tout lui même ! C'est fort simple, il apprendra tout seul quelles sont les connexions autorisées ou non !

 

Il suffira de temps en temps d'afficher la fenêtre des règles afin de faire éventuellement un peu de ménage (supprimer les règles expirées ou les doublons par exemple).

 

Commencez par lancer cette application "Little Snitch Configuration"... D'ailleurs, vous constaterez qu'après avoir installé "Little Snitch", l'application "Little Snitch Configuration" se lance automatiquement....

 

Deux fenêtres s'ouvrent à l'écran : la fenêtre des préférences et celle des "règles" (Rules").

Nous allons tout d'abord paramétrer les préférences du logiciel.

 

Comment paramétrer les préférences ?

 
Onglet "General"

 

En cliquant sur le bouton "Stop", vous désactivez "Little Snitch". Pour le réactiver, cliquez alors sur le bouton "Start".

En cochant (je vous le conseille) la case "Show inactivity warning in menu bar", vous verrez un petit logo dans la barre des menus du Finder quand "Little Snitch" est désactivé :

 

 

--- -----------

 

 

Cet onglet vous permet également d'activer le mode "Silence" (Silent Mode). Pour cela, cochez simplement la case "Silent Mode". Durant toute la période, où cette case sera cochée (je vous conseille de ne l'utiliser que de manière temporaire), vous ne verrez s'afficher aucune fenêtre d'alerte (voir plus bas).

Une fois cette case cochée, choisissez soit d'autoriser toutes les connexions ("Allow connection attempts"), soit de refuser toutes les connexions ("Deny connection attempts").

 

NB : Ce mode silence peut être utile par exemple lors de l'utilisation de certaines applications P2P, où les connexions Internet sont très nombreuses. Afin d'éviter de voir un flot continuel de fenêtres d'alerte, mieux vaut alors activer temporairement ce mode silence en acceptant bien entendu toutes les connexions.

 

Il vous est également possible d'activer/désactiver ce mode silence en passant par le menu "Little Snitch" dans la barre du Finder :

 

 

 

---------------------------------------

 

 

 

Je vous conseille enfin de cocher également la case "Show status in menu bar" dans cet onglet "Général".

 

 

Onglet "Alert"

Vous pouvez laisser le paramétrage comme tel.

 

Onglet "Monitor"

Il est possible d'afficher à l'écran une fenêtre translucide indiquant toutes les connexions Internet de votre Mac :

 

 

------------------------------------------------------------------

 

 

 

Ce moniteur d'activité vous indique les diverses applications ou divers processus actuellement ouverts et connectés, ou s'étant connectés sur Internet depuis le début de votre session.

 

Sur cette exemple ci-dessus, vous constaterez que "Mail" s'est connecté à plus de 50 serveurs depuis le début de ma session active sur internet. Si je sélectionne cette ligne, et que j'ouvre le petit triangle situé à droite, je peux découvrir quels sont ces serveurs, comme par exemple les serveurs POP de Orange, Gmail ou Online (cela correspond aux serveurs POP de mes comptes e-mails), ou bien des serveurs comme PriceMinister, CDiscount, Fnac ou Amazon (cela correspond à des e-mails de newsletters de sites auxquelles je suis abonné).

 

 

-------------------------------------------------------------------

 

 

 

Tout en haut à gauche de la fenêtre, vous avez un menu déroulant vous permettant notamment d'effectuer à tout moment des captures d'écran complètes de l'activité réseau ("Make Snapshot"), ou de modifier l'ordre d'affichage des applications/processus dans cette fenêtre du moniteur.

Si je choisis par exemple de trier les applications/processus par quantité de trafic ("Traffic Amounts"), vous pourrez ainsi voir quelles sont les applications qui se connectent le plus à Internet depuis le début de votre session sur votre Mac.

 

Comme vous le constaterez ci-dessous, c'est sans surprise que vous retrouverez votre navigateur en tête de liste, suivi par "Mail" :

 

 

 

-------------------------------------------------------------------

 

En sélectionnant une de ces applications ou un de ces processus (cliquez dessus), vous pourrez avoir de plus amples informations en cliquant ensuite sur le bouton "i" tout en haut à gauche.

 

Par exemple pour l'application "Google Chrome" ou pour le processus "ntpd" (daemon synchronisant votre horloge avec le serveur distant) :

 

----------------------------------------

 

 

 

Ce moniteur d'activité permet ainsi de connaître pour chacune des applications concernées, quelles sont les connexions internet réalisées et ainsi de mieux les surveiller.

 

L'onglet "Monitor" permet, dans les préférences, de configurer sur mesure cette fenêtre moniteur : vous pouvez désactiver complètement cette fenêtre en cliquant sur "Off". Vous pouvez la réactiver en cliquant sur "On".

 

Concernant cette fenêtre, vous pouvez choisir de la voir s'afficher à l'écran quand vous décidez de passer le curseur de la souris sur l'icône d'activité réseau qui se trouve dans votre barre des menus du Finder (en cochant la case "Show automatically when mouse enters menu bar icon").

Paramétrer ensuite le curseur "Hide again" pour définir un delai plus ou moins court/long pour la disparition de la fenêtre de l'écran.

 

Une icône d'activité réseau s'affiche dans la barre des menus du Finder afin de vous permettre de visualiser l'activité réseau de votre Mac :

 

 

-----------------

 

 

En vert, une connexion entrante (download) - En rouge, une connexion sortante (upload).

 

 

Onglets "APS", "Advanced" et "Security"

Laissez tout comme tel.

 

Onglet "Update"

Permet de paramétrer la recherche de mises à jour du logiciel

 

Onglet "Régistration"

Concerne l'enregistrement de votre licence (numéro de série).

 

 

 

C'est tout ! Voilà c'est fait ! "Little Snitch" est activé et paramétré. Vous voilà ENFIN protégé pour de bon ! "Little Snitch" fonctionne automatiquement en tâche de fond et vous n'avez plus à vous soucier de quoi que ce soit ! Vous pouvez quitter "Little Snitch Configuration" sans souci, cela ne désactivera pas "Little Snitch".

 

Par défaut, un certain nombre de "règles" (c'est à dire d'autorisations ou non de communications) sont déjà prédéfinies dans "Little Snitch", mais un certain nombre vont rapidement venir s'y ajouter automatiquement !

 

Utilisez maintenant votre Mac comme d'habitude. De temps en temps des fenêtres d'alerte "Little Snitch" surgiront à l'écran, à chaque fois que des communications Internet, non encore listées par "Little Snitch" comme autorisées ou non, seront en passe d'être établies. Il va de soi que durant les premières heures d'utilisation de "Little Snitch" vous verrez surgir un certain nombre important de ces fenêtres, le temps que vous appreniez à "Little Snitch" quoi faire !

 

Une fois que ces connexions seront listées par "Little Snicth", vous ne verrez plus apparaître des fenêtres vous demandant votre autorisation ou non pour ces connexions. "Little Snitch" saura quelle connexion autoriser ou non.

 

Afin de vous faire comprendre le principe de ces fenêtres, voici par exemple quelques fenêtres :

 

 

 

--------------------

 

 

 

 

-------------------------

 

 

 

"Little Snitch" m'avertit ici que l'application "FileMaker Pro" cherche à se connecter au serveur "productupdates.filemaker.com" sur le port 443 https ! Ici, pas de problème, c'est l'application "FileMaker Pro" qui cherche à se connecter sur le serveur de FileMaker pour pouvoir vérifier s'il y a une mise à jour disponible.

 

"Little Snitch" me propose la possibilité d'autoriser ("Allow") ou d'interdire ("Deny") cette communication "Until Quit" (jusqu'à la fermeture de l'application) ou "forever" (toujours).

 

Vous avez également la possibilité dans cette fenêtre de :

  • Autoriser ou interdire "toutes les connexions" (Any connection) pour CETTE application.
  • Autoriser ou interdire la connexion au port 443 HTTPS pour CETTE application.
  • Autoriser ou interdire la connexion au serveur "productupdates.filemaker.com" pour CETTE application.
  • Autoriser ou interdire la connexion au serveur "productupdates.filemaker.com" et au port 443 HHTPS pour CETTE application.

 

Un menu déroulant contigu au menu "Until Quit" vous permet d'affiner votre choix. Cette interdiction/autorisation temporaire peut prendre fin quand vous fermerez votre session sur votre Mac ("Until Logout"), quand vous redémarrerez votre Mac ("Until Restart"), ou bien au bout de 15 mn, 30 mn, 1 heure ou 2 heures. Si vous choisissez "Once" dans ce menu déroulant, cette connection unique sera autorisée/interdite une seule fois.

 

Dans ce cas précis, comme il s'agit de l'application "FileMaker Pro" qui se lance au démarrage de mon Mac, et que je ne suspecte rien d'anormal, je vais donc cocher la case "forever" et cliquer sur le bouton "Autoriser" (Allow) pour une connexion au serveur "productupdates.filemaker.com" et au port 443 HTTPS pour CETTE application. Ainsi cette règle sera ajoutée dans la liste des règles de "Little Snitch" qui aura donc appris qu'il peut toujours autoriser cette communication !

Cette fenêtre ne me sera donc plus proposée à l'avenir !

 

Comme vous le voyez, à chaque fois qu'une fenêtre s'ouvre, il est important de bien paramétrer les autorisations/interdictions. Si vous faîtes une erreur, il vous est cependant toujours possible de vous rendre dans la fenêtre des règles de "Little Snitch" et de modifier/supprimer une règle....

 

Autre exemple :

 

 

 

--------------------

 

 

Cette fenêtre "Little Snitch" est apparue quand j'ai lancé la relève de mon courrier dans "Mail".

 

Possédant une adresse "Orange", lors de la relève du courrier, "Mail" cherche donc à se connecter sur le serveur IMAP de "Orange" pour aller récupérer mes emails pour cette adresse. "Little Snitch" me demande donc si j'accepte ou non cette connexion.

Je peux donc choisir "Forever" et cocher "Only imap4.orange.fr and port 993 (imaps)" et cliquer sur "Allow" pour accepter cette connexion sur le serveur POP d'Orange.

 

D'autres fenêtres "Little Snitch" me sont ensuite apparues dans les premières heures (voire minutes) et ont concerné des logiciels/applications comme "Pages" ou "iTunes"... (qui vérifient sur Internet les mises à jour disponibles ), ainsi que des connexions générées par le système (voir plus bas).

À chaque fois j'ai "appris" à "Little Snitch" que j'acceptais "forever" ces communications, et ces nouvelles règles se sont donc ajoutées automatiquement dans la liste des règles de "Little Snitch" (voir capture d'écran ci-dessous).

 

Ne soyez donc pas surpris si après avoir installé "Little Snitch" vous voyez surgir de nombreuses fenêtres de ce type à l'écran.... Le temps que vous appreniez vos desiderata à "Little Snitch", vous risquez fort d'en avoir beaucoup, ce qui est normal !! Par la suite, une fois que toutes les règles seront ajoutées automatiquement à "Little Snitch", vous en recevrez beaucoup moins....

 

Quand faut-il utiliser "Any Connection" ?

Si vous avez pleinement confiance dans un logiciel, il est parfois plus simple de choisir "Any Connection" et de cliquer sur "Allow", car ainsi vous ne recevrez plus aucune fenêtre d'alerte concernant ce logiciel, vu qu'il est autorisé à toutes les connexions....

 

 

 

Voici la fenêtre des "Règles" ("Rules") de "Little Snitch" :

 

 

----

 

 

 

La fenêtre des règles de "Little Snitch" liste toutes les règles créées par vos soins (via les fenêtres d'alertes) et vous permet de modifier/supprimer ou créer des règles manuellement.

 

Les connexions entrantes sont listées dans le menu "Incoming connections".

 

Les règles redondantes sont listées dans le menu "Redundant Rules". Par exemple, pour les applications "Dropbox" ou "Facetime", j'avais d'abord autorisé des connexions spécifiques, puis finalement autorisé toutes les connexions sortantes... Il y avait donc redondance engre ces règles... J'ai donc supprimé la règle redondante.

 

Il suffit de sélectionner les règles redondantes (apparaissant avec un triangle rouge) et de les supprimer en cliquant sur "Delete" :

 

 

------------------------------

 

 

 

 

 

Lors de l'utilisation de "Little Snitch", vous serez confronté à de "drôles" de termes dans les fenêtres d'autorisation, ne sachant pas forcément à quoi cela peut correspondre, s'il s'agit ou non d'une application ou d'une fonction interne à OS X. Il s'agira essentiellement de daemons ou commandes du système. Mieux ne vaut pas les "interdire", d'ailleurs "Little Snitch" en autorise déjà certains par défaut. N'y touchez pas !!!

 

Voici les principales connexions de fonctions/programmes que vous pourrez éventuellement apercevoir dans les fenêtres d'autorisation de "Little Snitch". Je vous invite à toujours les autoriser :

 

  • nmblookup : daemon système pour le partage de fichiers.
  • lookupd : daemon qui simplifie la tâche des routines de bibliothèques de type UNIX ayant besoin d'informations sur l'administration du système et du réseau.
  • cuspd : daemon système pour l'impression.
  • ntpd : daemon synchronisant votre horloge avec le serveur distant.
  • configd : Le processus "configd" entretient la configuration du système durant son exécution, c'est à dire qu'il distribue si besoin l'ensemble des données reflétant l'état du système aux autres processus systèmes. Ces actions sont réalisées au travers d'agents servant d'intermédiaires entre les processus et le système.
  • natd : daemon nécessaire au partage de la connexion internet.
  • mDNSResponder : permet le fonctionnement de "Bonjour".
  • host : outil DNS (pourconvertir un nom d'hôte en adresse IP et vice-versa).
  • nslookup : autre outil DNS whois : pour obtenir des informations sur un nom de domaine.
  • ntpdate : mise à jour de l'heure locale et du fuseau horaire.
  • AppleIDAuthAgent : propre à iCloud.
  • applepushservices : fonction "push" d'Apple.
  • awacsd : propre à iCloud.
  • helpd : service d'aide Apple.
  • NetAuthSysAgent : propre à iCloud.
  • PDApp : Support Adobe.
  • QuickLookUIHelper : nécessaire à la fonction "QuickLook" (coup d'oeil).
  • store agent : iTunes Store.
  • ubd : propre à iCloud.
  • wmnet-natd : propre au logiciel VMWare Fusion.
  • XProtectUpdater : Nécessaire pour mettre à jour la fonction anti malware d'OS X.

 

 

Bien sûr, l'intérêt de "Little Snitch" est surtout de nous donner la possibilité d'interdire des communications "non voulues" et qui sans ce petit logiciel se seraient réalisées à notre insu et sans même que nous nous en soyons rendus compte !

 

Donc, ouvrez l'oeil et à chaque fois qu'une fenêtre "Little Snitch" apparaît à l'écran, examinez bien quelle application essaie de se connecter sur quel serveur ! A vous de faire le tri entre les communications souhaitables (et voulues) et celles qui ne s'établissent qu'en qualité de mouchard ! Et bien sûr, refusez sans vergogne ces dernières !!

 

Par les temps qui courent, et sans tomber dans un excès de paranoïa, "Little Snitch" me semble un excellent complément au coupe-feu ! On n'est jamais assez prudent ! Et puis je n'aime pas qu'on se serve de mon Mac pour communiquer dans mon dos !