Léopard: MacBidouille vous dit tout!

Le Firewall

Le Firewall, élément capital dans la sécurité d'un OS, a été totalement revisité dans cette nouvelle version de Mac OS X. Le Firewall ipfw utilisé jusqu'à maintenant par Apple et très largement dans le monde Linux/Unix a été remplacé par un logiciel maison nommé tout simplement Firewall, installé dans le répertoire /usr/libexec/ApplicationFirewall/.
Pourquoi un tel revirement, alors que ipfw est éprouvé depuis de nombreuses années, ce qui n'est pas le moins important pour un logiciel de Firewall ? Tout simplement parce qu'Apple a décidé de nous offrir une nouvelle approche de la sécurité réseau, plus proche de ce qui se fait sur Windows : une protection non plus par ouverture ou fermeture des ports, mais par autorisation ou interdiction des Applications. Ce n'est malheureusement pas la seule chose qu'Apple a récupérée de l'OS de Redmond, puisque l'interface est aussi grandement inspirée de l'obscurité de celles de Microsoft :

Pour que vous ne soyez pas perdu pour la suite, je vous laisse une petite demi-heure pour lire les textes présent sur cette interface et tenter d'y comprendre quelque chose.
....
Terminé ! Interrogation écrite :
Q) Comment bloquer complètement le Firewall pour qu'aucune communication entrante ne passe ?
R) Eh non ! Il ne suffit pas de sélectionner le choix numéro 2 "Bloquer toutes les connexions entrantes". Apple en effet laisse ouverts les ports utilisés par ses propres services utiles pour le fonctionnement du système comme bonjour, ntpd ou kerberos. Apple part donc du principe que ces logiciels ne possèdent pas de faille de sécurité qui pourraient être exploitée...
Q) Est-il possible de tout bloquer sauf un port spécifique que vous voulez déterminer vous-même ?
R) En utilisant ipfw ! Comme précisé plus haut, Apple a adopté une nouvelle approche orientée applications plutôt que services. Pour bloquer tous les ports sauf ceux utilisés par Skype par exemple, voici comment il faut configurer votre Firewall :

Soit vous ajoutez Skype manuellement, soit vous le lancez et validez la boîte de dialogue vous proposant d'autoriser les connexions entrantes liées à l'application. Sauf que vous n'êtes pas encore sorti de la galère, car Apple a ajouté une autre protection en marquant l'application en question par une signature. Et en ce qui concerne Skype, celui-ci teste au démarrage si le binaire a été modifié : si c'est le cas, il ne se lance plus et renvoie l'erreur "Check 1 failed. Can't run Skype", pour peu que vous soyez curieux et vous le lanciez dans le terminal. Sinon, depuis le Finder, il rebondit une fois ou 2 et s'arrête immédiatement, sans message d'erreur. Seule solution, réinstaller l'application. Pas très pratique... Heureusement, cela fonctionnera pour la majorité des applications, Skype et World of Warcraft étant les exceptions qui se sont fait remarquer jusqu'ici, ces logiciels étant largement utilisés.
En ce qui concerne les applications disponibles depuis les préférences de partage comme le partage Web ou le partage d'écran, elles seront automatiquement ajoutées dans le Firewall.
Dans les options avancées, il est aussi possible de passer en mode "furtif" :

Dans ce mode, au lieu de répondre par la négative lors d'une tentative d'accès à un service ou lors d'un ping, le Mac ne répondra pas et laissera la requête dans le néant. Enfin, il est possible depuis cette fenêtre d'activer et d'ouvrir l'historique des accès bloqués ou validés par le Firewall.
Malheureusement, on voit clairement que le Firewall de Leopard n'a pas été terminé à temps pour la sortie de l'OS. L'idée de base est bonne et semble plus "naturelle" pour l'utilisateur lambda. Mais l'interface gâche complètement cette nouvelle approche, puisqu'elle se réduit à sa plus simple expression informatique (3 boutons radios, des textes incompréhensibles)... Espérons que la prochaine mise à jour intègre une vraie interface digne de ce qu'Apple est capable de faire. D'autant que cette opacité joue un rôle dans la confiance que les utilisateurs peuvent y accorder, et n'arrange ni les problèmes de sécurité, ni les bugs engendrés par la signature des applications.