Que se passe-t-il sans pare-feu ? L’époque où « se connecter suffisait pour être infecté » et les 5 moments où vous êtes encore exposé

Written by

ToolCluster

in

Vous déballez un PC neuf, et votre première préoccupation est la sécurité ── vous lancez donc l’installation de votre antivirus, qui vous annonce : veuillez d’abord ouvrir notre site web dans votre navigateur pour activer votre licence. Une minute. Aller sur internet avant que la protection ne soit installée… est-ce vraiment prudent ?

Si ce moment de doute vous parle, vous n’êtes pas seul. Il existe d’autres grands classiques du « suis-je exposé en ce moment même ? » :

  • Sur un PC tout neuf, on vous demande d’ouvrir le site d’activation avant même que l’antivirus ne soit installé. Suis-je sans protection à cet instant ?
  • Juste après une réinstallation propre du système, vous restez connecté un long moment à télécharger les mises à jour ── sans le moindre correctif de sécurité installé
  • Vous venez de déménager et le routeur est encore dans un carton, alors vous branchez le PC directement sur le modem nu pour avoir internet
  • À l’instant où vous rejoignez le Wi-Fi gratuit d’un café ou d’un hôtel, votre portable partage un réseau avec de parfaits inconnus

La réponse, d’emblée : les deux premiers cas sont essentiellement sûrs aujourd’hui. Les deux derniers, selon les circonstances, présentent un risque bien réel. Et la frontière entre les deux est tracée par votre pare-feu (le mécanisme qui inspecte le trafic arrivant de l’extérieur) ── épaulé par le routeur qui se tient devant lui.

Dans cet article, nous allons parcourir :

  • Ce qu’est réellement un pare-feu (§1)
  • L’époque où « se connecter suffisait pour être infecté » est réellement arrivée (§2)
  • Pourquoi vous êtes en sécurité aujourd’hui ── les couches de la défense en profondeur (§3)
  • Les 5 moments où vos défenses disparaissent (§4)
  • Ce qu’un pare-feu ne protège pas (§5)
  • Ce qui distingue les pare-feu domestiques, d’entreprise et cloud (§6)
  • Comment vérifier vos défenses en 3 minutes (§7)

Aucune connaissance préalable en sécurité n’est requise ── nous allons tout construire pas à pas.

💡 Astuce

Cet article fait partie de notre série sécurité, mais il fonctionne aussi comme la suite de la série « comment votre PC fonctionne vraiment » (adresses IP et DNS). Cette fois, nous regardons ce que le reste du monde envoie réellement à cette fameuse « adresse » qui est la vôtre.

1. Qu’est-ce qu’un pare-feu ? Du mur réel au poste de contrôle du trafic

1-1. Le nom vient d’un vrai mur

« Pare-feu » est à l’origine un terme d’architecture : un mur construit pour empêcher un incendie de se propager entre les sections d’un bâtiment. Même si le logement voisin s’embrase, le feu ne traverse pas le mur. L’informatique a emprunté le nom pour une barrière à la mission identique ── quel que soit le chaos à l’extérieur, il ne se propage pas à l’intérieur de votre réseau.

1-2. En pratique, c’est un poste de contrôle muni d’un règlement

Cela dit, un pare-feu réel se comporte moins comme un mur que comme un poste de contrôle. Il se tient entre votre PC et internet, inspecte chaque élément de trafic qui tente de passer, et le confronte à un règlement avant de décider de le laisser passer ou de le refouler.

  • « La réponse à une page web que vous avez demandée » → autorisée
  • « Une demande de connexion surgie de nulle part, que personne n’a sollicitée » → bloquée

1-3. Entrant vs sortant ── la distinction au cœur de tout cet article

Le poste de contrôle s’intéresse à la direction du trafic, et c’est la distinction la plus importante de cet article :

  • Trafic entrant (qui vient de l’extérieur vers votre PC) : la direction que le pare-feu surveille le plus étroitement. Les demandes de connexion qui arrivent alors que vous n’avez rien demandé sont bloquées par défaut
  • Trafic sortant (que votre PC envoie vers l’extérieur) : ouvrir un site web, une application qui vérifie ses mises à jour, etc. Autorisé par défaut ── et les réponses qui reviennent passent aussi, en tant que « suite d’une conversation que vous avez engagée »

« Est-il prudent d’ouvrir un site dans mon navigateur ? » ── la question de l’introduction trouve presque sa réponse dans cette seule distinction. Ouvrir un site, c’est du sortant. Le poste de contrôle laisse correctement passer les réponses aux conversations que vous avez engagées, tout en continuant d’arrêter les intrus.

1-4. Les ports ── les portes numérotées derrière votre adresse

Dans notre article sur les adresses IP, nous décrivions l’adresse IP comme votre « adresse sur le réseau ». Il se trouve qu’un niveau de détail supplémentaire se cache derrière l’adresse : les ports (des portes numérotées, de 0 à 65535, une pour chaque service qui tourne sur votre PC).

Internet
     │
     ▼
┌─[ Poste de contrôle = Pare-feu ]───────────────────┐
│ Règle : n'admettre que les réponses aux            │
│         conversations que vous avez engagées       │
└────────┬───────────────────────────────────────────┘
         ▼
   Votre PC (adresse = adresse IP)
   ├─ Porte 443  ── le trafic HTTPS de votre navigateur
   ├─ Porte 3389 ── Bureau à distance (normalement fermée)
   └─ Porte 135  ── services internes de Windows (à ne jamais exposer)

Et voici le point qui compte : dès la sortie d’usine, votre PC garde plusieurs portes ouvertes, à l’écoute. Partage de fichiers, administration à distance, tuyauterie interne du système ── des portes pensées pour votre réseau domestique ou de bureau. Que se passe-t-il si ces portes se retrouvent exposées directement à internet ? C’est exactement la question à laquelle l’histoire a répondu pour nous, au §2.

2. L’époque où « se connecter suffisait pour être infecté » est réellement arrivée

2-1. Été 2003 : les Windows du monde entier redémarrent tout seuls

En août 2003, un ver appelé Blaster (un ver est un logiciel malveillant qui se propage sur les réseaux de façon entièrement autonome) a déferlé sur la planète. Ce qui a rendu Blaster choquant, même pour l’époque, c’est sa méthode :

  • Pas d’e-mail, pas de pièce jointe
  • Aucune erreur de l’utilisateur, aucun clic, aucune action requise
  • Il tirait du code d’attaque directement sur une porte que Windows laissait ouverte sur chaque machine connectée (le service RPC, port 135)

Autrement dit, les machines étaient infectées du seul fait d’être connectées. Pire : chaque PC infecté rejoignait le camp des attaquants et arrosait à son tour des adresses IP au hasard avec le même exploit. L’année suivante, en 2004, un ver nommé Sasser a rejoué le même scénario contre une autre porte (le port 445), avec des résultats comparables.

2-2. Quand le « temps de survie » se mesurait en minutes

Les chercheurs en sécurité de l’époque suivaient un indicateur appelé « temps de survie » : combien de temps un Windows sans protection pouvait rester branché directement à internet avant l’arrivée de la première attaque. Dans les études du milieu des années 2000, la réponse était de quelques minutes à quelques dizaines de minutes. Non pas que quelqu’un vous visait vous ── mais des hordes de machines infectées balayaient mécaniquement toutes les adresses IP, si bien que votre tour arrivait toujours en quelques minutes.

  1. 1Connexion directeUn PC sans protection reçoit une adresse IP publique.
  2. 2Le scan arriveLes machines infectées qui balaient toutes les IP atteignent la vôtre en quelques minutes.
  3. 3Une porte ouverte est trouvéeLes ports 135/445 et autres portes toujours ouvertes sont découverts.
  4. 4L’exploit est livréDes données conçues pour abuser d’une faille du service sont projetées sur la porte.
  5. 5Infecté, puis propagateurVotre PC est pris de contrôle ── et se met à balayer internet en attaquant.

2-3. L’antivirus ne pouvait pas l’arrêter

« Un antivirus vous aurait sûrement sauvé ? » ── malheureusement, à l’époque, le plus souvent non. Les rôles étaient différents.

L’antivirus de cette époque était avant tout un extincteur à l’intérieur de la maison : il examinait les fichiers reçus et les programmes exécutés. Or Blaster n’arrivait pas sous forme de fichier ── il entrait comme du trafic réseau brut, droit sur une porte ouverte. Un extincteur d’intérieur ne peut rien contre un cocktail Molotov lancé par la fenêtre. Ce qu’il fallait, c’était un poste de contrôle devant les portes : un pare-feu.

⚠️ Piège courant

« Antivirus ou pare-feu ── l’un des deux suffit » est une confusion qui date précisément de cette époque. Ils gardent des endroits différents (le §5 fait le tri).

2-4. Le tournant ── Windows XP SP2 active le pare-feu par défaut

Face à ces épidémies, Microsoft a opéré un changement décisif dans la grande mise à jour de 2004, le Windows XP Service Pack 2 : le Pare-feu Windows, qui existait mais était livré désactivé, est passé activé d’office.

Le trafic entrant non sollicité s’est mis à être rejeté sans que l’utilisateur ne lève le petit doigt ── et ce simple changement des réglages par défaut a fait s’effondrer le modèle du « infecté rien qu’en se connectant ». Depuis, sur Windows comme sur macOS, le pare-feu n’est pas quelque chose qu’on installe. C’est quelque chose qui tourne déjà.

3. Pourquoi vous êtes en sécurité aujourd’hui ── la défense en profondeur

Il est temps de répondre aux inquiétudes de l’introduction. Votre PC d’aujourd’hui est protégé par ce qui revient à trois murs.

Internet
     │
     ▼
━━ Mur 1 : votre routeur NAT ━━━━━━━━━━━━━━━━━━━
   Le trafic qui démarre dehors ne peut pas entrer, par construction
     │
     ▼
━━ Mur 2 : le pare-feu du système ━━━━━━━━━━━━━━
   Le trafic entrant non sollicité est rejeté (activé par défaut)
     │
     ▼
   Les applications de votre PC
     ▲
━━ Mur 3 : l'antivirus ━━━━━━━━━━━━━━━━━━━━━━━━━
   Surveille à l'exécution tout ce qui a franchi les murs

3-1. Mur 1 : le routeur NAT ── une forteresse accidentelle

La connexion internet domestique passe presque toujours par un routeur. Les routeurs reposent sur le NAT (traduction d’adresses réseau ── l’astuce qui permet à tous les appareils de la maison de partager une seule IP publique), et cela se révèle être une défense redoutable.

Par le fonctionnement même du NAT, une connexion qui démarre de l’extérieur ne donne au routeur aucun moyen de savoir à quel appareil de la maison elle est destinée ── elle est donc simplement rejetée, destinataire inconnu. Seules les réponses aux conversations engagées de l’intérieur retrouvent leur chemin, guidées par la table de traduction du routeur. Le routeur NAT n’a jamais été conçu comme un produit de sécurité, et pourtant il fonctionne comme une barrière structurelle contre le trafic entrant.

3-2. Mur 2 : le pare-feu du système d’exploitation

Comme vu au §2-4, Windows (Pare-feu Windows Defender) comme macOS sont livrés pare-feu activé. Il bloque le trafic entrant non sollicité qui se serait glissé au-delà du NAT ── et, point crucial, également celui qui vient de l’intérieur du même réseau (du côté intérieur du mur NAT). Gardez ce « de l’intérieur du même réseau » en tête ; il devient important au §4.

3-3. Mur 3 : l’antivirus

Quand quelque chose franchit le poste de contrôle légitimement ── un fichier que vous avez téléchargé vous-même, une pièce jointe ── et s’avère malveillant, la couche qui l’arrête au moment de l’exécution, c’est l’antivirus. Windows embarque Microsoft Defender en standard, actif par défaut lui aussi.

3-4. Donc oui ── ouvrir le site d’activation est sûr

Répondons frontalement à l’introduction. Ouvrir la page d’activation de votre antivirus sur un PC tout neuf, c’est :

  • Du trafic sortant (une conversation que vous engagez ── §1-3), dont le poste de contrôle admet correctement les réponses
  • Une action qui se déroule alors que le routeur NAT (Mur 1) et le pare-feu du système (Mur 2) sont déjà actifs, dès la sortie d’usine
  • Et sous Windows, Microsoft Defender (Mur 3) tourne lui aussi dès le premier démarrage

En résumé : même avant d’installer une suite de sécurité tierce, vous n’êtes pas sans défense. La version réellement dangereuse de cette scène, c’était 2003, quand le port 135 trônait exposé à internet sans Mur 1 ni Mur 2. Un système fraîchement réinstallé qui télécharge ses mises à jour relève de la même logique ── les systèmes modernes dressent le pare-feu dès la fin de l’installation, les défenses sont donc debout pendant le téléchargement.

💡 Astuce

« Essentiellement sûr » ne veut pas dire « sûr quoi que vous fassiez ». Les murs gardent l’entrant. Aller volontairement visiter un site douteux ── du sortant ── appelle une autre forme de protection (§5).

4. Les 5 moments où vos défenses disparaissent

Nous voici au cœur du sujet. Chacun des trois murs peut s’évanouir dans des circonstances précises. Voyons quel mur disparaît dans chaque scénario, à l’aide du modèle du §3.

#ScénarioQuel mur disparaîtRisque
1Wi-Fi public des cafés et hôtelsDes inconnus entrent à l’intérieur du Mur 1Moyen
2PC branché directement sur le modemLe Mur 1 n’existe pasÉlevé
3Exploiter un VPS / serveur cloudPas de Mur 1, et des portes ouvertes volontairementÉlevé
4Redirection de port / DMZ / UPnPDes trous percés dans le Mur 1, par vousMoyen–Élevé
5Pare-feu désactivé « temporairement » et oubliéLe Mur 2 reste à terreMoyen

4-1. Wi-Fi public ── des inconnus à l’intérieur du mur

Rejoignez le Wi-Fi d’un café ou d’un hôtel, et votre portable partage désormais un LAN (le réseau intérieur du routeur) avec de parfaits inconnus. Le routeur NAT bloque le trafic venant de « dehors » ── mais le trafic entre appareils du même réseau intérieur, ce n’est pas « dehors ». Le Mur 1 ne peut rien contre la personne de la table d’à côté.

C’est ici que le Mur 2 ── le pare-feu du système ── justifie son existence. C’est exactement pour cela que Windows demande « Voulez-vous traiter ce réseau comme public ? » quand vous vous connectez quelque part de nouveau.

💡 Astuce

Sur un Wi-Fi public, réglez toujours le profil réseau sur « Public ». Windows ferme les portes de partage de fichiers et bascule sur ses règles d’entrée les plus strictes.

4-2. Directement sur le modem ── plus aucun mur, 2003 rejoué

Juste après un déménagement ── ou pendant un dépannage ── il peut arriver de contourner le routeur et de brancher le PC directement sur le modem nu. Votre PC détient alors une IP publique sans rien devant lui. Structurellement, vous voilà sur le même terrain que le « infecté rien qu’en se connectant » de 2003.

La bonne nouvelle : de nos jours, le Mur 2 ── le pare-feu du système ── est dressé par défaut, l’infection instantanée n’est donc plus l’issue attendue. Vous restez néanmoins en première ligne si le système ou un service à l’écoute recèle une faille inconnue. Il suffit de remettre le routeur entre les deux pour ressusciter le Mur 1 ── mieux vaut donc que le branchement direct au modem reste bref.

4-3. VPS et serveurs cloud ── les bots du monde entier arrivent en quelques minutes

Louez un VPS (serveur privé virtuel) pour héberger un site, et le tableau change : plus de mur NAT, et puisque vous publiez à destination du monde, vous ouvrez des portes (80/443) volontairement.

Et voici une réalité qu’il vaut mieux connaître à l’avance ── une IP publique commence à recevoir des scans indiscriminés dès le premier jour, et cela ne s’arrête jamais. Le schéma typique ressemble à ceci :

(Exemple hypothétique : trafic non sollicité typique
 frappant un serveur fraîchement publié)

 Immédiatement   tentatives de connexion au port 22 (SSH), plusieurs IP étrangères
 Quelques min.   tentatives de connexion au port 23 (Telnet)
 En quelques h.  des tentatives de login admin / root commencent, par vagues
 Plus tard       tentatives de connexion au port 3389 (Bureau à distance)
 Pour toujours   des centaines à des milliers de tentatives par jour, sans fin

L’histoire du « temps de survie » du §2 n’est pas de l’histoire ancienne ── dans le monde des serveurs publics, c’est encore le quotidien. Encore une fois, personne ne vous vise personnellement ; des bots balaient mécaniquement tout l’espace d’adressage IP, 24h/24 et 7j/7. C’est pourquoi la règle d’or sur un VPS est d’utiliser le pare-feu de votre fournisseur cloud (groupes de sécurité) et celui du système pour fermer toutes les portes sauf celles que vous publiez délibérément (suite au §6).

4-4. Redirection de port, DMZ, UPnP ── les trous que vous percez vous-même

Héberger un serveur de jeu, ou atteindre votre NAS domestique depuis l’extérieur, exige parfois une redirection de port ── percer le Mur 1 pour qu’une porte précise soit joignable depuis internet.

Le trou en soi n’est pas un mal. Le hic, c’est que la sécurité d’une porte ouverte dépend désormais entièrement de la qualité du logiciel qui y répond. Un firmware de NAS vieillissant, un serveur de jeu qui ne reçoit plus de mises à jour ── si ce qui se trouve derrière le trou est vulnérable, vous venez de reconstruire de vos mains le « port 135 » du §2.

  • Le mode DMZ (rediriger toutes les portes vers un appareil) n’est pas un trou ── c’est la démolition du mur. À éviter par principe
  • L’UPnP (un mécanisme qui permet aux applications de demander automatiquement des ouvertures de ports) est pratique, mais cela signifie qu’un logiciel chez vous peut percer des trous sans vous demander. Jetez un œil de temps en temps à la page d’administration du routeur pour repérer des ouvertures que vous ne reconnaissez pas

4-5. « Désactivé temporairement » ── et jamais réactivé

Quand le réseau fait des siennes, « couper le pare-feu un instant » est une étape classique de diagnostic. Le danger n’est pas l’étape elle-même ── c’est de reprendre sa vie normale avec le pare-feu toujours coupé. Entrez quelques jours plus tard dans le Wi-Fi public d’un café (scénario 4-1) avec le Mur 2 à terre, et vous avez assemblé la pire combinaison : des inconnus à l’intérieur du mur, et le poste de contrôle fermé pour congés. Le remède est une simple discipline : le diagnostic terminé, réactivez-le aussitôt.

5. Ce qu’un pare-feu ne protège pas ── ce que vous invitez vous-même

Nous avons couvert ce qu’un pare-feu défend. Savoir ce qu’il ne peut pas défendre est tout aussi important ── et l’angle mort du poste de contrôle est d’une constance remarquable : il ne soupçonne jamais ce que vous avez vous-même invité à entrer.

  • Sites de phishing et e-mails frauduleux : ouvrir le faux site, c’est votre propre trafic sortant. Le poste de contrôle le laisse passer
  • Logiciel malveillant que vous avez téléchargé et lancé vous-même : il passe légitimement, en « invité ». L’arrêter, c’est le travail du Mur 3 ── l’antivirus
  • Exploits visant votre navigateur ou vos applications : des données malveillantes arrivent par une porte que vous avez ouverte (la 443, par exemple), déguisées en réponse légitime. La défense ici, ce sont les mises à jour logicielles
MenacePare-feuAntivirusMises à jour
Attaque directe sur une porte ouverte (façon Blaster)✓ Bloque△ Limité✓ Scelle la faille elle-même
Tentatives de connexion depuis le même Wi-Fi✓ Bloque△ Limité✓ Scelle la faille elle-même
Exécution d’un malware téléchargé✗ Non✓ Bloque△ Indirect
Escroqueries par phishing✗ Non△ Avertissements au mieux✗ Non
Sites malveillants exploitant des failles du navigateur✗ Non△ Limité✓ Bloque

La conclusion du tableau est simple. Pare-feu (contrôle d’entrée) + mises à jour (sceller les failles des portes elles-mêmes) + antivirus (surveillance intérieure) + vous (ne pas inviter les ennuis) ── aucune couche ne couvre tout, et chacune garde un endroit que les autres ne peuvent atteindre. C’est l’idée de la « défense en profondeur ». Des habitudes comme ne jamais réutiliser un mot de passe relèvent de cette même « couche humaine » (voir notre guide des mots de passe, hachages et jetons).

6. Pare-feu domestique, d’entreprise et cloud ── ce qui change

« Pare-feu » est un seul mot pour plusieurs choses qui se tiennent à des endroits différents et gardent des périmètres différents.

TypeOù il se tientMission principale
Pare-feu personnelDans votre PC (intégré au système)Contrôle entrant/sortant par application
NAT/SPI du routeurÀ l’entrée internet du domicileBloque structurellement l’entrant pour tout le foyer
Pare-feu périmétrique d’entreprise / UTMÀ la frontière du réseau de l’entreprisePolitique d’entreprise dans les deux sens, journalisation et surveillance
Groupes de sécurité cloudDans l’infrastructure du fournisseurRestreint les portes avant même que le trafic n’atteigne votre serveur
  • Le pare-feu personnel (le Mur 2 du §3-2) brille par sa granularité par application : « autoriser cette application à communiquer, refuser celle-là »
  • Un pare-feu périmétrique d’entreprise se distingue du domestique surtout en ce qu’il surveille aussi le sortant ── il vérifie à la sortie si les PC du bureau n’expédient pas discrètement des données vers des serveurs étranges
  • Les groupes de sécurité cloud sont le mur que les utilisateurs de VPS configurent eux-mêmes. La pratique standard consiste à doubler avec un outil côté système comme ufw (une commande qui simplifie la configuration du pare-feu Linux) : « tout fermer sauf SSH et HTTPS » (pour le versant serveur de cette histoire, voir notre guide des patterns de sécurité Python)

Un dernier nom que vous croiserez : le WAF (Web Application Firewall), un poste de contrôle spécialisé pour les sites web. Il inspecte le contenu du trafic à la recherche de motifs d’attaque visant les applications web ── nom voisin, mais il garde une couche différente de celle des pare-feu de cet article.

7. Vérifiez vos défenses en 3 minutes

Terminons en transformant tout ce qui précède en une inspection rapide de votre propre installation.

7-1. Windows ── confirmer que le pare-feu est debout

Paramètres → Confidentialité et sécurité → Sécurité Windows → Pare-feu et protection du réseau : chaque réseau doit s’afficher comme « activé ». Vous pouvez aussi vérifier en ligne de commande :

Bash 
netsh advfirewall show allprofiles | findstr State

Si les trois profils (Domaine / Privé / Public) affichent ON, tout va bien. C’est aussi ici que vous attraperiez le « oublié de réactiver » du §4-5.

7-2. macOS

Réglages Système → Réseau → Pare-feu : confirmez qu’il est activé. Les autorisations entrantes par application se passent au même endroit.

7-3. Linux

Bash 
sudo ufw status verbose

Confirmez Status: active, et que les ports ouverts sont exactement ceux que vous visez.

7-4. La page d’administration du routeur ── l’inventaire des trous

Trois choses à passer en revue dans l’interface d’administration du routeur :

  • Règles de redirection de port : rien que vous ne reconnaissez pas ?
  • DMZ : confirmez qu’elle est désactivée
  • Ports ouverts automatiquement via UPnP : des applications inconnues s’y sont-elles installées ?

7-5. Regardez-vous depuis l’extérieur

Les services de vérification de ports (une recherche rapide en fera remonter plusieurs) montrent l’allure de vos portes vues du côté d’internet. Si tout s’affiche « closed » ou « stealth », les murs du §3 font leur travail.

⚠️ Piège courant

Ne scannez jamais que votre propre connexion. Scanner le serveur de quelqu’un d’autre ── ou celui de votre employeur ── sans autorisation peut être traité comme le prélude d’une attaque.

Résumé ── l’essentiel en 4 lignes

  1. Un pare-feu est un poste de contrôle qui bloque le trafic démarrant de l’extérieur. Il garde un endroit différent de l’antivirus, qui surveille les fichiers à l’intérieur
  2. En 2003, « quelques minutes connecté = infecté » était la réalité. Windows XP SP2 (2004) a activé le pare-feu par défaut, et l’époque a pris fin
  3. Un foyer moderne fonctionne en défense en profondeur : routeur NAT + pare-feu du système + antivirus. Ouvrir un navigateur sur un PC neuf ne vous laisse pas sans défense
  4. Le danger vit là où les murs disparaissent ── Wi-Fi public, branchement direct au modem, serveurs publics, redirection de port, et pare-feu restés désactivés. Sachez quel mur manque, et la parade est rarement compliquée

Pour le système d’adressage lui-même, voyez Qu’est-ce qu’une adresse IP ? ── et pour la façon dont les noms se relient à ces adresses, Qu’est-ce que le DNS ?. Ensemble, ils complètent le tableau de ce qui se joue entre votre PC et internet.

FAQ

Q1. Est-il dangereux d’ouvrir le site d’activation avant que mon antivirus ne soit installé ?

R. Aujourd’hui, c’est essentiellement sûr. Ouvrir un site web est du trafic sortant ── une conversation que vous engagez ── et le pare-feu admet correctement les réponses. Pendant ce temps, le routeur NAT, le pare-feu du système et (sous Windows) Microsoft Defender sont tous actifs dès la mise sous tension. Ce qui mérite votre attention n’est pas la direction du trafic mais la destination : assurez-vous qu’il s’agit du site authentique de l’éditeur, et ne vous laissez pas détourner vers une contrefaçon par un encart publicitaire dans les résultats de recherche.

Q2. Le pare-feu intégré de Windows suffit-il, ou en faut-il un tiers ?

R. Pour la défense entrante ── le cœur du métier ── l’intégré suffit : activé par défaut, mis à jour automatiquement, avec un contrôle par application. Ce que les suites tierces ajoutent réside dans d’autres couches : visibilité du sortant (quelle application parle à quel serveur), protection antiphishing, etc. En tout cas, inutile d’en acheter une au motif que « le pare-feu intégré a des trous ». Il n’en a pas.

Q3. Si j’ai un pare-feu, puis-je me passer d’antivirus ?

R. Non. Comme le montre le tableau du §5, un pare-feu ne peut pas arrêter ce que vous invitez vous-même ── fichiers téléchargés, pièces jointes, phishing. C’est le territoire de la couche antivirus, et l’inverse est tout aussi vrai : c’est une répartition des tâches, pas une substitution. Notez que Windows embarque Microsoft Defender en standard ── « je n’ai rien acheté » ne signifie donc pas « sans protection ».

Q4. Mon téléphone ne semble pas avoir de pare-feu. C’est grave ?

R. Les téléphones suivent une autre philosophie de conception. iOS et Android exécutent chaque application dans un bac à sable (une boîte isolée par application) et, au départ, n’ouvrent pratiquement aucune porte à l’écoute de connexions extérieures. De surcroît, les opérateurs mobiles vous font passer par leur propre NAT, si bien qu’il n’existe presque aucun chemin permettant à internet d’atteindre directement votre téléphone. Ce n’est pas que le poste de contrôle manque ── c’est que le bâtiment a été conçu presque sans portes à garder. Sur un Wi-Fi public, la même prudence s’applique qu’avec un PC.

Q5. La redirection de port pour les jeux en ligne est-elle dangereuse ?

R. Pratiquée selon le principe « ouvrir le minimum et maintenir à jour le logiciel derrière », c’est un risque maîtrisé. Ce qui la rend dangereuse : recourir au mode DMZ (qui redirige tout), oublier l’existence de l’ouverture et la laisser des années, ou garer derrière le trou un appareil ou un serveur qui ne reçoit plus de mises à jour. Si vous dépendez de l’UPnP, consultez de temps en temps la page d’administration du routeur et passez en revue la liste des ports ouverts automatiquement.

Comments

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

More posts