Menu Fermer

Le fonctionnement d’un pare-feu ou Firewall sur Windows

Cette entrée fait partie d'une série de 3 sur 13 dans la série Dossier Firewall Windows Defender : le pare-feu de Windows 10

Qu’est-ce qu’un pare-feu sur Windows ? A quoi sert à un Firewall sur Windows ?
A-t-on besoin d’un pare-feu supplémentaire ou le pare-feu de Windows 10 est suffisant ?
Beaucoup de questions autour des pare-feu et parfois des idées arrêtées.

Ce dossier vous explique le fonctionnement de Windows Defender Firewall.
Le but est de répondre à toutes les questions que vous vous posez atour des firewall de Windows.

Le fonctionnement d'un pare-feu ou Firewall sur Windows

Introduction et définition des pare-feu

Un pare-feu ou Firewall est un logiciel ou équipement réseau qui permet de filtrer le trafic réseau.
Quand on parle de filtrage, on peut parler d’interdiction ou de limitations.
Un firewall est donc un maillon dans l’arsenal de protection et sécurité informatique.
Pour une présentation plus générale des pare-feu, suivez l’article : Firewall : définition et fonctionnement

Sur Windows, les pare-feu peuvent agir de différentes manières.
Ainsi, un pare-feu sur Windows peut effectuer du filtrage à plusieurs niveau, comme :

  • La possibilité d’internet l’accès au réseau pour une application en particulier ou composants de Windows.
  • Bloquer les connexions vers ou provenant d’une adresse IP spécifique.
  • Bloquer la connexion provenant ou vers un port spécifique, cela permet de bloquer un service internet spécifique.

Les pare-feu fonctionne dans les deux sens, puisqu’ils permettent de bloquer le trafic entrant et sortant :

  • Connexion entrante : une connexion provenant d’un ordinateur sur le même réseau ou hors du réseau vers l’ordinateur où le pare-feu est installé. Dans le cas d’un ordinateur public, il peut s’agit d’une connexion provenant d’internet
  • Connexion sortante : une connexion provenant de l’ordinateur où le pare-feu est installé à destination d’un équipement sur le même ou sur un autre réseau. En général, il s’agit de Windows ou une application tiers qui se connectent sur internet, comme par exemple, la connexion à un site WEB pour télécharger une page ou un fichier.

Un Firewall une protection supplémentaire face aux menaces

Un Firewall permet donc de protéger des connexions entrantes malveillants, comme des scans provenant de l’extérieur (souvent internet) ou bloquer les tentatives d’infections automatisé par des vers informatiques.
Le filtrage des connexions sortantes permet d’empêcher ou limiter le téléchargement et installation de logiciels malveillants, le blocage de connexions vers le serveur de contrôle ou l’utilisation de votre ordinateur à des fins malveillantes.

Le pare-feu sur Windows analyse en permanence l’activité des applications afin d’autoriser ou non les connexions réseaux.

Glasswire un pare-feu simple et efficace
Glasswire un pare-feu simple et efficace

Ne pas confondre le firewall et le proxy, VPN, les explications et différences sur la page suivante : Différences proxy, VPN et Firewall

Le fonctionnement des pare-feu sur Windows

Le pare-feu fonctionne sur des règles, qui autorisent ou interdisent à telles ou telles applications de se connecter.
Ou encore des règles qui peuvent interdire la connexions provenant/à destination d’une adresse IP ou ports spécifiques.

Lors de chaque connexion établies, le pare-feu vérifie si une règle correspond et applique celle-ci pour autoriser ou interdire l’établissement de connexion.
Par exemple, ci-dessous, on constate à droite que le pare-feu autorise le processus iexplore.exe.
La connexion vers le site Google est alors possible.

Un pare-feu qui autorise le navigateur WEB à se connecter
Un pare-feu qui autorise le navigateur WEB à se connecter

On passe alors Internet Explorer en rouge, interdiction… La connexion sur Google renvoi une erreur.

 Un pare-feu qui interdit le navigateur WEB à se connecter
Un pare-feu qui interdit le navigateur WEB à se connecter

Les pare-feu de Windows fonctionne surtout par autorisation sur les applications mais il est tout à fait possible de créer des règles sur une IP ou ports.

Les règles de Pare-feu

Lorsqu’un programme voudra établir une connexion entrante ou sortante, le pare-feu stoppera immédiatement la connexion et vous demandera l’action à effectuer. Vous avez généralement le choix entre :

  • Autoriser une fois la connexion ;
  • Autoriser tout le temps la connexion ;
  • Bloquer une fois la connexion ;
  • Bloquer tout le temps la connexion.

Comprenez donc que ces règles sont très importantes, si vous autorisez un logiciel malveillant, ce dernier pourra se connecter et la connexion vers le centre de contrôle sera effective.
Dès lors, le trojan pourra effectuer les opérations malveillants, comme envoyer les mots de passe récupérés depuis votre ordinateur.

Lors de l’installation d’un pare-feu sur Windows, ce dernier analyse l’ordinateur et autorise les applications Windows.
En claire, pour faciliter les choses, l’éditeur du firewall propose des règles toutes faites.

Lorsqu’une nouvelle application inconnue tente de se connecter, une popup s’ouvre alors afin de demander l’autorisation à l’utilisateur.
C’est ce dernier qui détermine, si l’application doit ou non avoir accès à internet.

Un pare-feu bloque automatiquement toute connexion non autorisée.
A noter un article plus ancien sur le site : Le fonctionnement et l’utilité d’un firewall

Le firewall et la protection contre les virus

Les pare-feu sont donc extrêmement utiles pour prévenir l’installation de logiciels malveillants ou bloquer le fonctionnement des virus.
Pour bien appréhender cela, il faut bien comment les virus sont distribués et s’installe dans les ordinateurs.
Pour cela, rendez-vous sur les dossiers suivants :

Le Firewall peut entrer en jeu lorsqu’un Trojan Downloader, c’est à dire un trojan qui tente de télécharger du contenu malveillant depuis internet.
En bloquant le Trojan Downloader, ce dernier ne pourra pas télécharger le trojan et l’installer sur l’ordinateur.

Le pare-feu peut aussi être utile pour bloquer la communication entre le cheval de troie et le serveur de contrôle.
Si le trojan ne peut se connecter il ne pourra pas échanger d’informations et ainsi livrer les données volées.
Aucun ordre ne pourra aussi être reçue, aucune mise à jour du Trojan pour échapper aux détections antivirus ne pourra être effectuée.
Cela peut donc perturber et limiter les logiciels malveillants sur votre ordinateur.

Schéma du fonctionnement d'un pare-feu
Schéma du fonctionnement d’un pare-feu

Limites et Contournements des firewall

Bien entendu, les auteurs de logiciels malveillants tentent de contourner ces protections afin de pouvoir installer des virus sur Windows.
Comme toute protection, celle-ci ne protège pas à 100%.

Les limites peuvent aussi être techniques, beaucoup de pare-feu afin de limiter les notifications configurent l’accès automatiquement aux processus. De nouvelles techniques peuvent être utilisées par les malwares/virus pour contourner des règles pré-établies et pouvoir se connecter au serveur de contrôle.
Une des techniques les plus communes est : l’injection de processus, malwares/virus prend le contrôle et manipule des processus systèmes, le plus courant étant svchost.exe

Or ce processus a besoin d’accéder à internet pour que des fonctionnalités de Windows puissent fonctionner, notamment pour mises à jour Windows Update.
Il y a donc de fortes chances qu’une règle pré-établie autorise svchost.exe à accéder à internet.

En tirant partie de règles prédéfinies trop flexible, il est donc fort probable que le programme malicieux puisse se connecter au serveur de contrôle.
la manipulation de processus systèmes (lancer un processus svchost.exe – le pare-feu aura créé un accès à ce processus), comme le malware restorer64_a.exe / restorer32_a.exe : Backdoor.Win32.HareBot et l’injection dans les processus systèmes.

Exemple d’injection de processus avec le malware Bedep :


Injection de processus et règles par défaut

La difficulté pour les éditeurs de pare-feu est d’offrir des règles par défaut, les plus efficaces, tout en ne pénalisant pas l’utilisateur (trop de popups, blocages ou problèmes au quotidien) et notamment pour les néophytes.

La vidéo suivante montre les limites de certains pare-feu et notamment à cause des règles prédéfinies à l’installation de ce dernier.
Au final, le ransomware Cerber s’installe sans problème.

Le gros problème de ce type d’infection et l’utilisation de processus systèmes Windows que le pare-feu autorise par défaut.
Ainsi, wscript, powershell, rundll32 ou encore regsvr32.exe sont autorisés.

Windows Defender Firewall

Depuis Windows XP Service Pack 2 et l’épidémie de vers informatiques, Microsoft a ajouté un pare-feu dans Windows.
Ce dernier permet de filtrer les connexions entrantes et sortantes depuis Windows Vista.
Enfin dans Windows 10, il se nomme Windows Defender Firewall.

Le pare-feu de Windows se présente sous deux formes : une forme simplifiée avec des règles par applications ou ports.
Les paramètres sont accessibles depuis le Panneau de configuration de Windows > Pare-feu Windows.

Le pare-feu de Windows

Le pare-feu de Windows
Les autorisations d'applications sur le pare-feu de Windows
Les autorisations d’applications sur le pare-feu de Windows

Une interface plus complexe et avancée où vous pouvez ajouter des règles.

Réglage avancée du pare-feu de Windows

Pour jouer sur ces règles, rendez-vous sur le dossier : 

Windows Defender Firewall est-il suffisant ?

Le pare-feu de Windows peut s’avérer suffisant, moyennant quelques modifications des règles par défauts.
En effet, par défaut le firewall de Windows autorise certains processus à se connecter à interne comme wscript.exe (Windows Script Hosting – voir les scripts malicieux sur Windows) ou Powershell (voir les virus PowerShell).
Cela permet de créer des scripts pour télécharger installer un cheval de troie.

Ainsi, le blocage de ces processus, à l’aide du pare-feu Windows peut améliorer grandement la sécurité de Windows.
Pour se faire, rendez-vous sur notre dossier : Firewall Windows les bons réglages.

Comme tout composant de Windows, un peu comme Windows Defender, le gros avantage est qu’il est léger et discret et ne provoque pas de perturbations majeures de Windows.

Les Pare-feu tiers

Il existe différents éditeurs de pare-feu, on trouve notamment :

Si vous avez jeté un oeil à la vidéo plus haut, vous avez pu voir que cela n’accroît pas forcément la sécurité de votre ordinateur.
Tout dépend des règles définies par l’éditeur.

Un autre bémol et notamment pour Comodo, ces pare-feu deviennent de plus en plus des suites intégrants leurs propres antivirus.
Ils deviennent donc de plus en plus des usines à gaz, accouplé à un antivirus gratuits, qui sont eux aussi de plus en plus lourds, cela peut causer de graves ralentissements de Windows ou des plantages de Windows (type BSOD).

Les routeurs et pare-feu

En général, en France, la connexion se fait à partir d’un routeur ou box.

Un routeur agit partiellement comme pare-feu pour les ordinateurs du réseau local qui y sont connectés. Le routeur n’autorise que les connexions initialisées depuis le réseau local.
C’est à dire qu’il va autoriser les connexions sortantes depuis un ordinateur du réseau local vers internet et bloquer les connexions depuis internet via ces ordinateurs (sauf si un transfert de ports a été configuré).

Les ordinateurs sont donc protégés des attaques provenant d’internet (mais pas votre routeur => piratages des routeurs en hausse).
Cependant, les connexions sortantes étant autorisées, toute connexion provenant de votre ordinateur vers un site est autorisé, donc potentiellement le téléchargement d’un Trojan par exemple, sauf si vous installez un pare-feu sur chaque ordinateur.

Conclusion

Je vous conseillerai de laisser le pare-feu de Windows mais en suivant les réglages de la page : Firewall Windows les bons réglages.
Pour sécuriser Windows, rendez-vous sur l’article : Comment Sécuriser Windows.

Naviguer dans la série<< Dossier Windows Defender Firewall : le pare-feu de Windows 10Windows Firewall Control : gérer pare-feu Windows Defender >>