"polémique" sur le firewall

[snarkhunter]

Bonjour à tous,

C'est un peu en désespoir de cause que je m'adresse à vous aujourd'hui. Sur un autre forum d'assistance informatique, je viens en effet de m'accrocher sérieusement avec un administrateur, qui intervient également dans la section "Sécurité" du forum.

Son postulat, formulé assez péremptoirement, est en effet le suivant :

"Je n'ai pas de firewall sur mes PC. Je n'en ai jamais eu : cela ne sert strictement à rien, et je n'ai jamais été infecté/infiltré pour autant."

Bref, l'échange qui a suivi a été assez "musclé".

De mon point de vue, une telle affirmation (ou "recommandation", selon la façon dont on l'interprète) est aberrante, voire limite "criminelle". Elle contredit toutes les règles de sécurité sur le net ou, du moins, celles communément admises.

Puisqu'il y a ici d'autres experts, j'aimerais votre point de vue sur la question : est-il raisonnable d'avoir un PC sous "Windows" connecté au net en l'absence de tout pare-feu ?

Merci d'avance pour vos réponses à cette question, et bonne journée à tous.

[angelique]

bah si t'as un routeur ,box qui fait office de firewall en amont , effectivement un firewall logiciel ça sert à rien pour l'utilisateur lambda

[snarkhunter]

Merci de ta réponse. Ma réaction initiale :

Oui, mais... à condition que le firewall dudit boîtier soit activé et configuré ! Ce qui ne semble a priori, ni être le cas par défaut, ni être simple à réaliser : lorsque j'ai recherché sur les net ces informations pour mon cas personnel (accès via BBox), j'ai un peu "galéré" pour les trouver. Et j'ai ensuite renoncé à essayer de configurer le pare-feu, parce que bien incapable d'appliquer les informations trouvées.

... un exemple ?

Ce qui signifie que, sans cette étape complexe, il n'y a aucune protection offerte par ce boîtier.

Le cas que j'avais soumis sur l'autre forum était celui d'un boîtier "Numéricable" : donc... même motif, même punition. L'exploitation des ressources paraît inaccessible au "commun des mortels". Ce qui signifie donc a priori :

- qu'aucune protection n'est offerte en standard par ces boîtiers (ou, du moins, jusqu'à "preuve du contraire")
- que la mise en place d'une telle protection nécessite des connaissances qu'un simple utilisateur ne possède pas en général

Si je suis dans l'erreur, je ne demande qu'à en être convaincu. Pour le moment, je reste dans l'attente de la moindre preuve, du moindre argument, qui me le montrerait sans aucune ambiguïté. Et c'est bien là que le bât blesse : mon interlocuteur jusqu'ici, n'a fait qu'affirmer, contredire, critiquer, se moquer. Sans apporter la moindre explication ni la moindre démonstration de ses allégations.

Ayant déjà eu l'expérience de systèmes infectés (malgré des outils de sécurité installés sur les machines concernées), je me vois assez mal accepter de suivre aveuglément les recommandations de "balancer tous les logiciels de sécurité, qui ne servent à rien", en l'absence d'une démonstration de leur inutilité, lorsque le monde entier (... ou presque !) affirmerait plutôt le contraire.

C'est là mon dilemme. Et c'est là la raison de ma demande.

[angelique]

la plupart des Box standart du marché ont le mode routeur d'activé (exept freebox) sur un parametre standart ; dans ton cas :

http://www.degroupnews.com/galerie-D-52-4567.htm

et puis les infections , ça provient pas du reglage du routeur , box , mais sur l'attitude sur le net , le navigateur utilisé et l'autorisation javascript à tout va

*|explication basic: http://www.certa.ssi.gouv.fr/site/CERTA ... index.html

exemple JavaScript Obfusqué:




exemple Virut [ http://forum.malekal.com/virut-virtob-v ... t5177.html ] avec Frame piégée, c'est format pour que ce soit rapide et propre:



la box n'y est pour rien , et puis meme sans firewall logicielle , y'a toujours le parefeu basic de windows qui fait correctement son boulot.

[Malekal_morte]

Salut,

Son postulat, formulé assez péremptoirement, est en effet le suivant :

"Je n'ai pas de firewall sur mes PC. Je n'en ai jamais eu : cela ne sert strictement à rien, et je n'ai jamais été infecté/infiltré pour autant."

Les postulats en informatique - c'est mal surtout quand t'as des "moi je" "chez moi" "ça fait 10 ans que" "depuis que".
Tu peux arriver à un niveau de sécurité acceptable de diverses manières.

Antivirus + filtrage WEB (j'entends au niveau des navigateurs).
Antivir + Firewall
Pas d'antivirus et juste un IDS etc.
et même sans rien :p

Ca reste quand mm un outil interressant du point de vue de la sécu pour savoir ce qui se passe au niveau des flux réseaux, qui fait quoi et éventuellement bloquer, donc quoi qu'il en soit, ça pas à rien.
Mais faut pas non plus le coller à tout bout de champs "car c'est la règle" - tu mets un firewall à un débutant, y a des chances que ça passe mal.

Bref chacun fait ce qu'il veut et comme il préfére mais de là à imposer sa solution aux autres et de dire qu'elle est universelle et que c'est la "bonne".....

[chef]

bonjour,
ce que j'aime c"est le

je n'ai jamais été infecté/infiltré pour autant.

mdrrr.
bon sinon concernant les firewall ,antivus ect... c'est comme pour tout a toi de voir et surtout a toi de savoir se que tu fais.
pour ma part le 100% sans risque n'existe pas , en ayant internet.
donc si sa lui chante tant mieux pour la personne de qui tu parle même si je doute sur mon quote plus haut.
chaque personne fais se que elle veut , mais a moins d’être un pro comme malekal, la je comprend pas sont commentaire.
surtout que

qui intervient également dans la section "Sécurité" du forum.

pour ma part je parle point vu informatique et sécurité, c'est ici que je fais confiance les autres j'oublie, après chaque un sont choix.
tout simplement si tu regarde ici personne ne parle de ne pas utilisé de firewall ou antivirus, car le principe et que se forum et qu'il s'adresse a tout le monde et pas juste au pro.

[snarkhunter]

Eh bien, un grand merci à tous les deux pour ces explications (et liens), qui ont déjà le mérite d'être directes et claires. Si tout le monde pouvait en faire autant...

J'ai relevé sur le net les adresses et identifiants pour l'accès aux ressources du pare-feu "Numéricable" (IP 192.168.0.1 + admin/admin, ou admin/- selon les sources) : ce qui me premerttra ainsi d'aller vérifier l'état de "protection naturelle" sur la machine de ma parente concernée.

et puis les infections , ça provient pas du reglage du routeur , box , mais sur l'attitude sur le net , le navigateur utilisé et l'autorisation javascript à tout va

Là, je suis globalement moins d'accord. Pour une infection virale, oui. Mais il me semble qu'on peut très bien se faire infiltrer par un port non protégé, juste en étant connecté au net, non ? Il n'est pas nécessaire d'avoir exécuté le moindre code pour cela.

Il est certain que la navigation sur des sites "douteux" ne fait qu'augmenter les risques ; même avec une bonne protection, d'ailleurs. Mais on arrive là aux limites de la sécurité : elle repose avant tout sur l'élément humain. Si l'opérateur est défaillant, alors c'est toute la chaîne dont l'efficacité se trouve remise en question...

Je vais donc effectuer ces contrôles élémentaires. Merci encore pour vos informations et conseils très clairs.

L'origine de ma demande était en fait un gros souci depuis l'installation de "BitDefender 2011" (version imposée au renouvellement de la licence), qui s'avère catastrophique, mettant presque "à genoux" la machine sur laquelle il tourne. Et il ne semble pas que l'éditeur ait choisi de corriger ce problème - pourtant crucial - très rapidement...

Mais c'est une autre histoire, comme on dit !

Encore merci, et bonne journée (ou bon week-end) à toutes et à tous.

[SkyTech]

Salut,

Là, je suis globalement moins d'accord. Pour une infection virale, oui. Mais il me semble qu'on peut très bien se faire infiltrer par un port non protégé, juste en étant connecté au net, non ? Il n'est pas nécessaire d'avoir exécuté le moindre code pour cela.

Y a 10 ans j'aurai dis oui, là je dis non
Maintenant les connexions internet passent toutes par des routeurs / box, ces box font déjà office de pare-feu matériel, de plus il y a le pare-feu Windows depuis le SP2 de Windows Xp qui intègre un pare-feu (le minimum oui je sais ).

[snarkhunter]

Salut,

Là, je suis globalement moins d'accord. Pour une infection virale, oui. Mais il me semble qu'on peut très bien se faire infiltrer par un port non protégé, juste en étant connecté au net, non ? Il n'est pas nécessaire d'avoir exécuté le moindre code pour cela.

Y a 10 ans j'aurai dis oui, là je dis non
Maintenant les connexions internet passent toutes par des routeurs / box, ces box font déjà office de pare-feu matériel, de plus il y a le pare-feu Windows depuis le SP2 de Windows Xp qui intègre un pare-feu (le minimum oui je sais ).

Merci pour la précision concernant les routeurs/box.
Pour ce qui est du pare-feu intégré à Windows, non seulement il est nécessaire de l'activer si on souhaite l'utiliser (non pas que ce soit compliqué), mas il me semble bien que son utilisation est à proscrire si on a déjà un pare-feu logiciel actif. C'est donc l'un ou l'autre. Et on n'a déjà dit par ailleurs qu'il est tout de même assez rudimentaire, et d'une performance plutôt limitée.

[chef]

. Et on n'a déjà dit par ailleurs qu'il est tout de même assez rudimentaire, et d'une performance plutôt limitée.

on en reviens toujours au même tout dépend l'utilité que tu fais d'internet.
après tu peus lire ceci

https://www.malekal.com/le-fonctionneme ... r-windows/

[Sacles]

Bonsoir,

Pour ce qui est du pare-feu intégré à Windows, non seulement il est nécessaire de l'activer si on souhaite l'utiliser (non pas que ce soit compliqué), mas il me semble bien que son utilisation est à proscrire si on a déjà un pare-feu logiciel actif. C'est donc l'un ou l'autre. Et on n'a déjà dit par ailleurs qu'il est tout de même assez rudimentaire, et d'une performance plutôt limitée.

1. Il y a belle lurette que le pare-feu de Windows est activé "par défaut". Pour être plus précis, cette activation était incluse dans le Service Pack 2 (SP2) Windows XP (en 2003 si mes souvenirs sont bons).
2. Mon pare-feu est parfaitement compatible avec le pare-feu de Windows. L'installation de mon pare-feu (Look 'n' Stop) ne désactive d'ailleurs pas celui de Windows. Je l'ai cependant désactivé manuellement. Je n'ai pas écrit que le pare-feu de Windows pouvait cohabiter avec tout autre pare-feu.
3. Le pare-feu de Windows n'est pas moins bon qu'un autre pour le contrôle des entrées. Il est simple puisqu'il doit pouvoir être utilisé par Monsieur et Madame Toutlemonde. Il ne contrôle pas les sorties (mais depuis Vista, Microsoft permet l'activation d'un pare-feu avancé qui contrôle les sorties; lui n'est pas activé par défaut).

Salut.

[snarkhunter]

Merci aux derniers intervenants dans cette discussion, pour les précisions apportées.
Effectivement, dans l'hypothèse "FW logiciel", il est important de vérifier la compatibilité avec celui de Windows si on envisage de faire cohabiter les deux !

A part de légers soucis de "finition" qui subsistent (nettoyage du Registre par CCleaner encore à effectuer, pour effacer toutes les traces résiduelles de BD 2011, et configuration optimisée de KIS, qui lui a succédé hier), la machine concernée a retrouvé une vitesse d'accès au net décente. Ce qui confirme bien qu'il y a de gros problèmes avec BD 2011, de ce point de vue... En fait, quelle déception avec cet éditeur, qui s'était montré plutôt fiable jusqu'ici. Mais, comme on dit, il ne faut pas confondre vitesse et précipitation !

Grâce à vous tous (... cela inclut les "toutes" !), j'ai désormais pas mal de lecture en attente pour améliorer mes connaissances dans ce domaine. Je ferai de mon mieux pour revenir donner des nouvelles ensuite, et vous faire part de l'amélioration effective de la situation.

Encore merci. Passez un bon week-end. Attention au temps : froid et humidité ne sont pas une excellente chose !