Vous savez peut-être déjà qu’un pare-feu constitue un élément clé de la sécurité de votre ordinateur. Mais que se passe-t-il exactement en arrière-plan ? Poursuivez votre lecture pour apprendre tout ce que vous devez savoir sur les pare-feu, y compris les catégories et types de pare-feu, leur mode de fonctionnement et leur utilité. Découvrez également comment améliorer la protection de votre pare-feu et la renforcer grâce aux fonctions supplémentaires de protection d’Avira Free Security.
À quoi sert un pare-feu ?
Dans la majorité des boîtes de nuit, un videur se tient à la porte pour veiller à ce que seuls les personnes « adéquates » ou invitées puissent entrer, empêchant ainsi l’entrée de celles susceptibles de causer des problèmes. Un pare-feu fonctionne de la même manière, mais plus discrètement, en arrière-plan.
Un pare-feu est un dispositif de sécurité de base qui contrôle le trafic de données entre deux réseaux, généralement un réseau public (externe) comme Internet et un réseau privé (interne). Il protège un ordinateur unique ou l’intégralité d’un réseau contre l’accès non autorisé et les cyberattaques, en empêchant des intrus d’espionner vos données personnelles ou d’injecter des malwares tels que des chevaux de Troie ou autres spywares dans votre appareil. En bref, un pare-feu garantit une navigation plus sûre.
Contrairement à un videur, un pare-feu surveille non seulement le trafic entrant de données, mais aussi le trafic sortant, afin de détecter les activités suspectes et potentiellement nuisibles. Il vérifie le trafic en fonction de règles qui autorisent ou refusent le transfert de données. L’efficacité d’un pare-feu dépend de ses règles prédéfinies : si le trafic malveillant n’est pas identifié comme tel, il ne pourra ni être repéré ni bloqué. C’est pour cette raison qu’il est conseillé de disposer d’un service de sécurité informatique interne efficace ou d’une protection antivirus performante sur votre ordinateur, capable de détecter et de neutraliser immédiatement les intrus.
Chaque ordinateur Windows ou Mac comprend un pare-feu intégré dans son système d’exploitation, qui est toujours activé par défaut. En général, votre routeur Internet dispose également d’un pare-feu permettant de protéger votre réseau domestique. Le pare-feu d’un routeur DSL surveille le trafic de données entrant dans votre réseau depuis l’extérieur ou sortant de votre réseau vers Internet. En revanche, le pare-feu intégré au système d’exploitation de votre ordinateur contrôle le trafic de données sur ce dernier. Cela signifie qu’il existe deux catégories différentes de pare-feu, que nous examinerons plus en détail ci-dessous.
Pare-feu matériel ou pare-feu logiciel
En fonction de l’emplacement où le logiciel de pare-feu est installé, on fait la distinction entre un pare-feu matériel, également appelé pare-feu réseau, pare-feu basé sur le réseau ou pare-feu externe, et un pare-feu logiciel, qui peut également être appelé pare-feu personnel, pare-feu de bureau ou pare-feu basé sur l’hôte. Même si les termes pare-feu matériel et pare-feu logiciel laissent entendre le contraire, un système de pare-feu inclut toujours une composante logicielle.
Théoriquement, les deux types de pare-feu opèrent de façon semblable, mais ils se distinguent sur le plan conceptuel. Contrairement à un pare-feu logiciel, un pare-feu matériel n’opère pas directement sur le système à protéger, mais sur un appareil séparé qui sécurise tous les ordinateurs reliés au réseau et qui est physiquement placé en amont de ces derniers. Les pare-feu installés sur des périphériques dédiés proposent habituellement des fonctions de sécurité complètes et sont plus sophistiqués, plus performants et moins vulnérables aux manipulations. Ce matériel conçu spécifiquement est équipé de processeurs, de mémoire et d’interfaces réseau puissants et optimisés pour fonctionner en tant que pare-feu.
Ces pare-feu forment un système unifié comprenant du matériel, un système d’exploitation et un logiciel de pare-feu spécialement conçu. Le matériel peut contenir des composants tels que des interfaces réseau pour connecter des réseaux, des segments de réseau ou des sous-réseaux. Le pare-feu associé régule l’accès entre ces éléments et s’assure que les menaces ne peuvent pas se propager.
Alors que le logiciel d’un pare-feu matériel peut surveiller le trafic de données entre différents types de réseaux grâce à cette segmentation de réseau, le logiciel d’un pare-feu logiciel inspecte les connexions de l’ordinateur avec les partenaires de communication au sein d’un réseau local ainsi qu’avec des réseaux externes.
Puisque les pare-feu matériels et logiciels se complètent et peuvent améliorer la sécurité, ils sont principalement utilisés ensemble dans les entreprises, les institutions publiques ou dans tout secteur stockant des données sensibles. La gamme de fonctionnalités et la technologie utilisée peuvent varier considérablement en fonction du type de pare-feu. Nous examinerons en détail les différents types de pare-feu et les techniques de filtrage plus loin.
Le pare-feu préinstallé sur votre ordinateur est un pare-feu logiciel, et votre routeur Internet est un pare-feu matériel. Bien que le pare-feu de votre routeur ne dispose que de fonctionnalités de sécurité de base par rapport aux appareils dédiés, il offre généralement une protection suffisante pour un usage privé.
Voici quelques conseils pour vous aider à optimiser la protection de votre pare-feu et à en tirer le meilleur profit.
Conseils pour utiliser correctement votre pare-feu
- Maintenez votre pare-feu à jour. Mettez régulièrement à jour votre système d’exploitation et votre logiciel de pare-feu pour maintenir une protection optimale.
- Ne désactivez jamais votre pare-feu. Désactiver votre pare-feu n’est généralement pas une bonne idée, surtout de manière permanente. Si l’une de vos applications de confiance est bloquée, vous pouvez créer une exception pour ce programme et autoriser son accès à Internet. Cela signifie que vous n’avez pas besoin de désactiver votre pare-feu et d’exposer ainsi votre appareil à des risques inutiles.
- Optimisez les paramètres de votre pare-feu. Les utilisateurs de Windows peuvent y parvenir facilement grâce à des outils de configuration tels qu’Avira Firewall Manager, qui est inclus dans Avira Free Security, pour configurer le pare-feu préinstallé de manière détaillée. Dans la section Sécurité > Pare-feu, vous pouvez configurer des règles pour des programmes et des ports individuels ainsi que pour des adresses IP et des plages d’adresses IP, et combiner plusieurs critères de filtrage. Bien sûr, vous pouvez aussi simplement accepter les paramètres recommandés.
- Renforcez la sécurité de votre routeur. Puisque votre routeur DSL constitue une passerelle vers Internet et le cœur de votre réseau domestique, il est important de garder son pare-feu activé et à jour. Heureusement, les mises à jour du micrologiciel sont souvent installées automatiquement.
- Lorsque vous utilisez un point d’accès Wi-Fi public, ajustez les paramètres de votre pare-feu et/ou utilisez un VPN. Puisque les points d’accès Wi-Fi publics sont souvent peu sûrs ou insuffisamment sécurisés, les utilisateurs de Windows peuvent utiliser le profil de réseau public du pare-feu au lieu du profil de réseau privé pour appliquer des paramètres plus restrictifs. Les utilisateurs de Mac peuvent activer le mode furtif pour s’assurer que leur Mac ne soit pas facilement détecté par d’autres utilisateurs du même réseau.
Toutefois, un pare-feu ne peut pas protéger votre appareil contre des menaces provenant de faux points d’accès ou d’autres appareils sur un réseau Wi-Fi non sécurisé, pas plus qu’il ne peut le faire contre les attaques de type « Man-in-the-middle », qui peuvent intercepter les communications entre votre ordinateur portable et Internet. Dans ce cas, un réseau privé virtuel (VPN) vous permettra de chiffrer votre trafic en ligne afin de le protéger contre l’accès non autorisé. - Installez et activez des solutions de sécurité supplémentaires. Renforcez la protection de votre pare-feu grâce à des mesures de sécurité complémentaires afin de vous prémunir contre les cybermenaces que le pare-feu ne peut pas contrer. Outre Avira Firewall Manager, que nous avons déjà évoqué, la solution complète Avira Free Security comprend une protection antivirus performante, un VPN, et bien d’autres fonctionnalités.
Conseil pratique : utilisez le pare-feu Avira comme couche de protection supplémentaire
En plus d’une multitude de fonctions supplémentaires, la solution avancée de cyberprotection Avira Prime vous offre également votre propre pare-feu sous la forme du pare-feu Avira. Elle complète le pare-feu Windows préinstallé et renforce la sécurité de votre PC.¹ Elle est conçue pour surveiller les applications et bloquer les programmes potentiellement dangereux avant qu’ils ne causent des dommages, y compris les applications suspectes ou non autorisées qui tentent de partager vos informations personnelles. Le pare-feu Avira renforce la protection de votre ordinateur contre les intrus et les attaques de votre système, et vous avertit lorsqu’une tentative d’intrusion a été déjouée.
Comment fonctionne un pare-feu ?
Avant de nous pencher sur les différentes techniques de filtrage et les divers types de pare-feu, étudions tout d’abord de manière générale comment les ordinateurs communiquent avec Internet.
Sur votre PC, la communication s’effectue par le biais de « portes » appelées ports, qui peuvent être ouvertes temporairement. Puisque chaque port est réservé à un processus ou service spécifique et se voit attribuer un numéro correspondant, les paquets de données peuvent être affectés à une application précise. Cela signifie que votre ordinateur « sait » si vous souhaitez envoyer un e-mail, télécharger un document ou accéder à un site Web. Il ouvre alors la porte appropriée pour permettre l’acheminement du trafic entrant et sortant.
Lorsque l’un de ces ports est ouvert, en théorie, n’importe qui peut l’utiliser pour envoyer ou recevoir des données via Internet. Plus le nombre de ports ouverts est élevé, plus les points d’entrée potentiels sont nombreux, ce qui facilite ainsi l’accès des intrus à votre système. C’est précisément là qu’intervient un pare-feu, en bloquant les ports selon certaines règles et en fermant les ports inutiles pour empêcher les accès non autorisés.
À ce propos, il existe des ports TCP spécifiques qui représentent des cibles privilégiées pour les cyberattaques, car ils utilisent des protocoles et services courants. Il s’agit par exemple du port 80 pour HTTP (Hypertext Transfer Protocol) ou du port 443 pour HTTPS (Hypertext Transfer Protocol Secure).
Il est donc d’autant plus important de configurer votre pare-feu avec soin, en tenant compte des politiques et des exigences de sécurité du réseau. La configuration spécifie, entre autres, quels ports doivent être ouverts pour le trafic de données afin d’assurer le bon fonctionnement du réseau et quels ports doivent être fermés ou bloqués pour la sécurité du réseau.
Cependant, ce n’est qu’une des nombreuses méthodes permettant de réguler le trafic de données. Une autre méthode consiste à bloquer le trafic provenant d’une adresse IP source spécifique ou dirigé vers une adresse IP de destination spécifique. De plus, le trafic peut également être bloqué en fonction du protocole utilisé, d’une application spécifique, ou selon son comportement ou son contenu.
À cette fin, des techniques de filtrage sont employées, qui fonctionnent à différents niveaux du modèle d’interconnexion des systèmes ouverts (OSI). Ce modèle de référence comprend sept couches, qui utilisent chacune des fonctions et des protocoles particuliers afin de permettre une communication efficace entre les appareils. Une distinction est faite entre les quatre couches relatives au réseau et les trois couches relatives aux applications, que nous appellerons ici les couches réseau et application.
Quelles sont les techniques de filtrage et les types de pare-feu existants ?
De nos jours, divers types de pare-feu et techniques de filtrage sont employés pour protéger les réseaux et les systèmes informatiques contre le trafic indésirable et les menaces potentielles. Les pare-feu peuvent offrir une large gamme de fonctions et combiner diverses technologies, c’est pourquoi ces formes combinées sont également appelées pare-feu hybrides.
Des pare-feu à filtres de paquets basés sur des règles simples aux pare-feu avancés de nouvelle génération comprenant des systèmes de détection et de prévention des intrusions (IDPS), en passant par les solutions centralisées de gestion unifiée des menaces, il existe une large gamme de types et de systèmes de pare-feu, dont certains ne peuvent plus être clairement distingués les uns des autres. Dans certains cas ou contextes, la désignation d’un type de pare-feu se réfère à la technologie utilisée (pare-feu à filtre de paquets), dans d’autres au niveau de fonctionnement (pare-feu réseau), et dans d’autres encore à l’emplacement (pare-feu cloud) ou au lieu d’utilisation (pare-feu matériel) ou à la génération (pare-feu de nouvelle génération). Cela rend également la catégorisation difficile.
Les types principaux de pare-feu comprennent :
Pare-feu à filtre de paquets/pare-feu sans état (pare-feu réseau) – 1ère génération
Comme leur nom l’indique, le filtrage de paquets sans état (SPF), ou filtrage statique, est employé. Il s’agit du type le plus ancien et le plus rudimentaire de technologie de filtrage, qui a été améliorée au fil du temps. Les pare-feu à filtrage de paquets fonctionnent au niveau du réseau et effectuent une inspection sans considérer l’état des paquets. Cela signifie que divers paramètres d’un paquet de données sont vérifiés indépendamment des paquets précédents, en d’autres termes, de manière statique. Dans ce contexte, les informations d’en-tête des paquets de données individuels, représentant de petites quantités de données formant le trafic de données entrant, sont analysées de manière isolée. Cela inclut les numéros de port et les adresses IP des expéditeurs et des destinataires, ainsi que le type de protocole.
Pare-feu à inspection avec état (pare-feu réseau) – 2e génération
Là aussi, leur nom en dit long : les pare-feu à inspection avec état, ou pare-feu à états, utilisent le filtrage dynamique de paquets ou l’inspection de paquets avec état (SPI). Contrairement au simple filtrage de paquets, l’inspection est effectuée avec état. Cela signifie qu’en plus du filtrage statique des paquets, l’état d’une connexion réseau est inclus dans l’inspection. Cela implique que les paquets de données sont attribués à une session active spécifique et analysés dans le contexte de cette connexion. Par exemple, lorsque vous accédez à une page Web, un pare-feu à état détecte la connexion TCP active entre votre ordinateur et le serveur Web, et peut autoriser ou bloquer les paquets de données en fonction de l’état de la session.
Pare-feu d’application et pare-feu d’application Web
Un pare-feu de couche application (ou de niveau application) (ALF), ou simplement pare-feu d’application, est un terme générique pour désigner les pare-feu qui, contrairement aux pare-feu réseau « purs », surveillent et contrôlent le trafic de données non seulement au niveau du réseau, mais aussi jusqu’au niveau des applications. Grâce à une analyse plus détaillée, ils peuvent protéger diverses applications et services, ainsi que leurs données, contre les cybermenaces.
Un pare-feu d’application Web (WAF) est une catégorie particulière de pare-feu d’application. Il surveille le trafic HTTP et HTTPS acheminé entre les navigateurs et les serveurs Web afin de protéger les applications Web des attaques ciblant spécifiquement les applications. Un pare-feu d’application Web protège non seulement l’application Web hébergée sur le serveur, mais aussi le serveur Web lui-même.
Les pare-feu d’application incluent également les proxys et les pare-feu de nouvelle génération, que nous examinerons brièvement dans les sections suivantes.
Les pare-feu d’application peuvent comprendre les techniques de filtrage suivantes :
Filtres d’URL : cette technique permet à un pare-feu de contrôler l’accès aux sites Web en fonction de leur adresse URL. Le pare-feu compare les URL demandées à une liste de sites Web autorisés ou interdits, puis détermine si l’accès doit être permis ou bloqué. Les filtres d’URL sont souvent utilisés pour restreindre l’accès à des sites Web inappropriés ou dangereux et pour renforcer la sécurité du réseau.
Filtres Web : contrairement aux filtres d’URL, qui fonctionnent sur la base des URL, un filtre Web analyse le contenu des sites ou applications Web afin de bloquer ou contrôler l’accès aux contenus indésirables. Cela peut inclure le blocage de certains types de fichiers, l’analyse des applications Web pour détecter des failles de sécurité ou la détection de code malveillant. Les filtres Web peuvent également prendre la forme de filtres de contenu, c’est pourquoi les deux termes sont parfois utilisés de manière interchangeable.
Filtres de contenu : ces filtres peuvent être intégrés au filtrage Web ou utilisés en tant que fonctionnalité autonome. Ils surveillent et analysent le contenu des paquets de données ou des pages Web afin d’identifier et de bloquer le contenu indésirable ou malveillant. Celui-ci peut inclure certains types de fichiers (tels que les fichiers exécutables ou les fichiers d’archivage), les codes malveillants (tels que les malwares ou les exploits) ou des contenus inappropriés (tels que des contenus violents ou pornographiques).
Pare-feu proxy
Les pare-feu proxy constituent une catégorie particulière de pare-feu d’application capables d’utiliser plusieurs filtres proxy spécialisés pour certains protocoles d’application. Un pare-feu basé sur un proxy sert d’intermédiaire (proxy) entre le client et le serveur. Il prend en charge les requêtes du client, les examine, puis établit une connexion distincte avec le serveur cible. Puisque l’appareil et le réseau n’interagissent jamais directement, car le pare-feu joue le rôle d’intermédiaire entre le système interne et externe, ce pare-feu est considéré comme très sécurisé.
Pare-feu de nouvelle génération – 3e génération
Ce pare-feu de dernière génération, qui agit au niveau de la couche application, peut combiner diverses technologies, et propose des fonctionnalités bien supérieures à celles des pare-feu classiques. Cela signifie que les pare-feu de nouvelle génération peuvent également bloquer des cybermenaces très complexes et offrir des niveaux de protection nettement supérieurs. Ils disposent parfois de composants supplémentaires, qui peuvent inclure des fonctionnalités de sécurité telles qu’un VPN, des systèmes de détection/prévention d’intrusion et d’autres services de gestion unifiée des menaces.
Les pare-feu de nouvelle génération utilisent, entre autres, l’inspection approfondie des paquets, une méthode avancée d’inspection des paquets avec état. Celle-ci inspecte non seulement l’en-tête, mais également l’intégralité du contenu d’un paquet de données, à la recherche de certains mots-clés ainsi que de motifs ou de signatures pouvant indiquer un contenu malveillant. Les pare-feu de nouvelle génération axés sur les menaces vont encore plus loin, en employant des technologies avancées telles que l’apprentissage automatique, l’intelligence artificielle, l’analyse comportementale et les méthodes heuristiques pour une détection sans signature. Cela leur permet également d’identifier les menaces émergentes et de se protéger de manière proactive contre les attaques inédites.
Pare-feu cloud et pare-feu virtuels
Les pare-feu cloud sont conçus spécialement pour une utilisation au sein des environnements cloud. Ils surveillent le trafic entre Internet et les ressources cloud, telles que les plateformes cloud, les données stockées dans le cloud, l’infrastructure et les applications. Les pare-feu basés sur le cloud peuvent également protéger le réseau interne/privé à travers plusieurs emplacements au sein d’une entreprise, grâce à un VPN. Ils peuvent être fournis en tant que solution de pare-feu en tant que service par un tiers ou être mis en œuvre dans le cadre d’une solution de sécurité cloud.
Les pare-feu virtuels s’exécutent sous forme d’appliance virtuelle ou de solution logicielle sur une machine virtuelle ou un serveur cloud et peuvent être déployés dans différents environnements, tels que les centres de données locaux, les clouds privés ou les clouds publics. Les fournisseurs de services cloud peuvent les proposer dans le cadre de leurs services cloud, ou les organisations peuvent les déployer et les gérer elles-mêmes.
En principe, n’importe quel type de pare-feu peut être déployé dans le cloud ou mis en œuvre en tant que pare-feu virtuel, puisque les désignations concernent uniquement l’environnement de déploiement et le contexte d’utilisation du pare-feu, tout comme les pare-feu matériels et logiciels mentionnés précédemment.
Les appareils mobiles comprennent-ils des pare-feu ?
Les smartphones Android et iOS ne disposent pas de pare-feu intégrés au sens traditionnel, mais ils intègrent des fonctionnalités de sécurité qui remplissent des fonctions comparables. Puisque l’architecture des smartphones diffère beaucoup de celle des ordinateurs, ils utilisent un modèle de sécurité différent, qui est souvent jugé plus sûr. Ce modèle s’appuie sur un environnement d’exécution isolé pour les applications et restreint l’accès aux ressources du système et aux données des autres applications. C’est pourquoi votre appareil vous demande des autorisations, comme l’accès à la caméra ou à vos contacts.
Tant que vous utilisez votre réseau Wi-Fi domestique ou votre réseau mobile, le risque d’intrusion extérieure est relativement faible. Lorsque vous naviguez sur Internet à l’aide de vos données mobiles, les données sont transmises de manière chiffrée entre votre appareil et la station de base de l’opérateur mobile. Cependant, les choses changent lorsque vous utilisez des points d’accès Wi-Fi publics non sécurisés. Dans ce cas, comme mentionné précédemment, même un pare-feu ne vous protégerait pas. Un VPN, par contre, offrirait une protection adéquate. Il vous permet à la fois de chiffrer les données envoyées et reçues en ligne, y compris sur votre smartphone, et de protéger vos données des regards indiscrets.
De nombreuses applications de sécurité incluent un VPN, telles qu’Avira Antivirus Security pour Android et Avira Mobile Security pour iOS. L’application Android contribue également à sécuriser un smartphone contre les menaces mobiles telles que les malwares, qui peuvent se dissimuler dans les applications et infecter votre appareil. Elle comprend également un gestionnaire des autorisations, qui vous permet de vérifier les droits d’accès dont disposent vos applications.
Optez pour une solution tout-en-un
Un pare-feu constitue la première ligne de défense pour votre PC et un élément essentiel de son système de sécurité. Toutefois, il ne peut pas le protéger contre toutes les menaces en ligne, en particulier parce que les pare-feu SPI sont généralement les seuls utilisés pour un usage domestique, et n’incluent pas de fonctionnalités telles que le filtrage d’URL ou le filtrage Web. En outre, un pare-feu ne peut pas empêcher les pirates d’exploiter les vulnérabilités d’un logiciel obsolète pour accéder à votre système.
Pour une protection complète de vos données et appareils, nous vous conseillons d’utiliser une solution tout-en-un gratuite telle qu’Avira Free Security, qui offre de nombreuses fonctionnalités supplémentaires en plus de la protection antivirus et d’un VPN. Ces fonctionnalités comprennent un gestionnaire de mises à jour pour Windows conçu pour combler les failles de sécurité des programmes, ainsi qu’une extension de protection du navigateur qui bloque les sites Web et contenus malveillants.
Alors, offrez au « videur » de votre ordinateur du personnel de sécurité supplémentaire, pour une cybersécurité améliorée par une équipe performante.
¹ Le pare-feu Avira fonctionne de manière autonome, même si le pare-feu préinstallé de Windows ne fonctionne pas.
