Pour vous protéger des intrusions un firewall personnel doit filtrer les communications entrantes depuis Internet vers votre machine, dans l’autre sens, ne pas répondre à des demandes de présence intempestives et surveiller les programmes chargés en mémoire. Par « personnel » il faut entendre un parefeu logiciel chargé sur un ordinateur individuel.
Filtrer les communications entrantes
En filtrant les communications entrantes, un firewall vous protège des menaces suivantes :
- toute application communiquante ouvre un port sur votre ordinateur, pouvant servir aussi à une intrusion
(en exploitant à distance une faille de sécurité) - en particulier le système d’exploitation est fourni avec une multitude de logiciels communiquants, c’est
à dire une multitudes de ports potentiellement ouverts - une tentative de déconnexion à distance
- une connexion avec un troyen préalablement installé sur votre machine (pour une intrusion ou une prise
de contrôle à distance de votre ordinateur)
Filtrer les communications sortantes
Vos applications Internet communiquent vers l’extérieur, sans vous demander votre autorisation, par exemple pour :
- améliorer la qualité du service ( par exemple savoir si une nouvelle version du logiciel est disponible )
- récupérer un bandeau publicitaire ( adware ) : seul moyen de financer une application gratuite
- envoyer vos informations privées à leur serveur ( spyware )
- envoyer vos mots de passe ( troyen )
Un firewall personnel détecte ces communications et vous décidez une fois pour toutes celles que vous
autorisez et celles que vous interdisez.
Le mode discret (mode stealth)
Des pirates cherchent des ordinateurs connectés à Internet en envoyant des requêtes sur des plages
d’adresse IP (scan d’adresse IP). Par analogie cela correspondrait pour le pirate de prendre son téléphone
et composer tous les numéros possible dans une plage choisie au hasard (ou presque) : si un numéro sonne
« occupé » il sait que le correspondant est connecté.
Sans ce mode « stealth », votre machine répondra et le pirate saura que vous êtes connecté. A partir
de là il va pouvoir essayer de s’introduire sur votre ordinateur pour une raison ou une autre.
Ce mode empêche votre machine de répondre, comme si vous n’étiez pas connecté. Ainsi il
réduit la possibilité d’intrusion, en plus de la tentative elle-même.
Surveiller les programmes chargés en mémoire
La fonction première est évidemment d’autoriser ou d’interdire à tel programme sur votre ordinateur
de communiquer vers l’extérieur ou de recevoir des informations. Ce point a déjà été vu dans
les deux premiers paragraphes.
Une autre fonction est de savoir si, à l’intérieur d’une même machine, tel programme a le droit de
lancer tel autre programme. Par exemple une fonction malveillante cachée dans un programme sain (typiquement un
troyen). Cela permet de bloquer un éventuel programme malveillant qui aurait traversé les autres barrières.
Enfin il devrait permettre aussi de détecter si un programme a été modifié : certains
malware injecte leur code dans un programme habituellement
autorisé à communiquer (un exemple au hasard, le navigateur le plus utilisé au monde :
MSIE). La modification du programme qui en résulte devrait
pouvoir être détectée par le parefeu.
Comme certaines modifications sont légitimes, suite à une mise à jour souhaitée par
l’utilisateur, il faut indiquer au firewall qui pose la question, s’il doit bloquer ou autoriser.
On voit bien que l’amélioration nette de la sécurité offerte par un tel logiciel ne peut
l’être par aucun autre programme de sécurité, même s’il ne représente pas une parade absolue.