Le pare-feu appliqué à la maison

Publié le dim. 10 janvier 2016 dans Informatique

Le pare-feu (firewall) est un dispositif de sécurité informatique dont le terme est assez présent dans l'esprit du grand public, qui en réalité ne comprend pas trop à quoi ça correspond. Ajoutons à cela que certains logiciels se disent pare-feux alors qu'ils mettent en œuvre beaucoup plus de choses, qui relèvent de domaines plus étendus que celui du pare-feu, ça n'aide pas à comprendre.

Le rôle du pare-feu, c'est de filtrer des paquets réseau : bloquer, rediriger, etc. C'est bien joli, mais même avec des détails technique, le grand public (vous, peut-être ?) ne comprend pas vraiment et c'est normal ! Ce n'est pas son boulot, l'informatique ! Le grand public ne veut pas apprendre l'informatique !

Ce billet a pour objectif d'expliquer avec une analogie simple, celle de la maison, comment fonctionnent les flux réseau sur un ordinateur ainsi que le filtrage d'un pare-feu, à destination de néophytes qui souhaitent en savoir un peu plus. Volontairement, aucun autre aspect de la sécurité informatique n'est traité ici ; cela ne veut pas dire qu'ils sont négligeables, au contraire : c'est simplement un autre sujet.

Vous trouverez en italique les termes techniques et en gras les analogies avec la maison...

L'ordinateur et le réseau

Dans le cas d'un PC personnel, sur un réseau domestique :

  • la box, c'est les fortifications du village où vous habitez ;
  • le réseau domestique, c'est le village lui-même ;
  • l'ordinateur, c'est le terrain sur lequel vous as construit votre maison ;
  • le système d'exploitation, c'est la maison que vous avez fait construire ;
  • les ports, ce sont les portes et les fenêtres de la maison.

Dans le cas d'un serveur dédié, hébergé dans une salle informatique professionnelle :

  • le serveur, c'est le bout de campagne sur lequel vous avez construit votre maison ;
  • le système d'exploitation, c'est la maison que vous avez fait construire ;
  • les ports, ce sont les portes et les fenêtres de la maison.

Les logiciels "clients", les applications qui se connectent sur Internet...

Quand vous lancez un logiciel pour accéder à Internet, c'est comme si vous demandiez à l'aîné de vos enfants d'aller chercher le pain.

Un flux sortant se met en place entre votre ordinateur et un serveur : votre fils sort par une porte et va jusqu'à la boulangerie.

Votre ordinateur fait une requête, le serveur fait une réponse : votre fils demande le pain, le boulanger le lui donne.

Enfin, la réponse du serveur est un flux entrant, que votre ordinateur accepte car il y avait une requête : votre fils revient avec le pain sous le bras et vous dit « papa/maman, je suis rentré », vous lui ouvrez la porte.

Les logiciels "serveur", qui attendent des requêtes

À chaque fois que vous lancez un logiciel qui a pour but de recevoir des choses d'autres ordinateurs non précisés, alors vous mettez en place un serveur. C'est par exemple le cas quand vous lancez BitTorrent.

Quand vous lancez un logiciel serveur, il ouvre un port et y écoute : vous ouvrez une fenêtre et demander à l'une de vos filles d'y rester pour répondre aux gens qui viendront lui parler.

Quand un logiciel client, sur un ordinateur tiers, veut communiquer avec votre logiciel serveur, il se connecte au port et un échange de flux se met en place : une personne vient à votre fenêtre voir votre fille, une conversation se met en place.

Quand vous arrêtez ce logiciel serveur, il arrête d'écouter et ferme le port : vous demandez à votre fille de retourner dans sa chambre et vous fermez la fenêtre.

Le pare-feu

Le pare-feu logiciel, c'est un mur que vous mettez devant le mur de votre maison.

Les règles de filtrage en entrée, ce sont les murs ajoutés à l'extérieur de la maison : vous aurez beau ouvrir la fenêtre, le mur empêchera les gens de venir vous parler.
Les règles de filtrage en sortie, ce sont les murs ajoutés à l'intérieur de la maison : votre fils ne peutt plus sortir pour aller acheter le pain.
Sous Linux, le fait de construire un mur soi-même, c'est l'utilisation de la commande iptables.
Sous Linux (distribution Ubuntu par exemple), le logiciel ufw, c'est le maçon à qui vous allez demander de construire des murs, plutôt que de le faire vous-mêmes : il connaît son métier, il fera ça plus rapidement et mieux que vous.
Encore sur Ubuntu (et autres distributions), gufw, c'est la secrétaire du maçon, qui est quand même plus jolie...

La box

La box Internet, quant à elle, tient le rôle de routeur, séparant Internet de votre réseau interne : les fortifications séparent le reste du monde de votre village.

Sur une box, on peut définir une redirection de port afin de renvoyer certaines requêtes en entrée vers un PC du réseau interne : on peut créer un chemin balisé qui va d'une ouverture dans les fortifications jusqu'à votre fenêtre.

De l'inutilité d'un pare-feu par défaut

La base de la logique concernant l'inutilité d'un pare-feu en entrée est la suivante.

Lorsqu'aucun port n'est en écoute, des potentiels attaquants peuvent faire ce qu'ils veulent, ils ne pourront pas entrer dans la machine. Et ce même s'il y a une redirection de port sur la box.

Lorsqu'aucune fenêtre n'est ouverte, des potentiels attaquants peuvent faire ce qu'ils veulent, ils ne pourront pas entrer dans la maison. Et ce même s'il y a un chemin balisé dans le village.

Les attaques possibles

Bien sûr, comme dans les histoires d'aventure, en informatique il peut y avoir des attaques, de différents types. Voici une liste non exhaustive d'attaques possibles et une analogie concise...

  • exploitation de faille côté serveur : votre fille est à la fenêtre, un inconnu vient le voir et lui dit "hey, je sais que le réveil posé sur ta table de chevet est bleu", du coup elle le laisse passer parce que bon, si cette personne connaît la maison c'est qu'elle a le droit d'entrer ;
  • attaque DDoS : tout plein de monde vient voir votre fille en même temps, elle ne sait plus où donner de la tête, elle ne peux plus répondre aux demandes ;
  • remplissage des logs : variante de l'attaque précédente : du monde vient voir votre fille mais pas nécessairement en même temps, elle note la venue de chacun sur une feuille de papier, mais au bout d'un moment tellement de monde est venu la voir que la maison est remplie de feuilles de papier, on ne peut plus y circuler ;
  • exploitation d'un mot de passe faible : une personne se déguise en votre frère Gérard, votre fille n'y voit que du feu et se laisse berner, elle laisse cette personne entrer parce que bon quand même, tonton Gérard a le droit d'entrer ;
  • exploitation de faille côté client : le pain que le boulanger a donné à votre fils n'est pas ce qu'il croyait, c'est en fait une petite boîte, dans laquelle est placée une petite souris, une fois rentrée dans votre maison cette souris aura tout le loisir de sortir et entrer comme elle le veut, sauf si vous avez mis un mur à l'intérieur de la maison (blocage de flux sortant). Mais s'il y a un mur à l'intérieur de la maison, votre fils risque de ne plus pouvoir aller chercher le pain.

Les défenses possibles

Voici une liste, non exhaustive, de moyens de défense et des analogies, encore une fois...

  • mise à jour des logiciels "clients" : c'est la première chose à faire : lorsque le médecin se rend compte que votre fils a une infection, il le soigne avant qu'un parasite ne puisse en profiter pour s'installer dans votre maison ;
  • mise à jour des logiciels "serveurs" : c'est la même logique que ci-dessus, mais appliquée à votre fille : si vous vous assurez que personne ne connaît la couleur de son réveil en mettant des rideaux aux fenêtres, personne ne réussira à la berner ;
  • mots de passe sûrs : si tonton Gérard est très difficile à imiter, votre fille ne se laissera pas berner ;
  • ne pas installer n'importe quoi : si vous n'avez pas besoin que quelqu'un vienne vous parler, ne demandez pas à votre fille d'écouter à la fenêtre ;
  • filtrage sélectif : là, le pare-feu est utile : si seule tata Gertrude a le droit de parler à votre fille, alors à chaque fois que quelqu'un vient la voir un vigile vérifie que ce quelqu'un vient précisément de chez tata Gertrude, toute personne ne venant pas de chez tata Gertrude étant renvoyée chez elle ;
  • anti-virus : l'anti-virus scrute le pain que votre fils a ramené de la boulangerie afin d'assurer que oui, en effet, c'est bien du pain ; si ce n'est pas du pain, c'est mis en quarantaine ;
  • pare-feu applicatif : ceci revient à mettre un vigile à la sortie de votre maison, celui-ci n'autorisant que les personnes connues à sortir ; mais si votre fils a été infecté et qu'il est sous le contrôle d'un organisme parasite, il serait tout de même autorisé : impossible de savoir qu'il n'est plus lui-même.
Commentaires
Il n'y a aucun commentaire sur cet article.

Écrire un commentaire