Le fonctionnement d’un pare-feu ou Firewall sur Windows

AccueilWindowsSécurité WindowsLe fonctionnement d’un pare-feu ou Firewall sur Windows
malekalmorte

Qu’est-ce qu’un pare-feu sur Windows ? A quoi sert à un Firewall sur Windows ?
A-t-on besoin d’un pareu-feu supplémentaire ou le pare-feu de Windows est suffisant ?
Beaucoup de questions autour des pare-feu et parfois des idées arrêtées.

Ce dossier vous explique le fonctionnement des firewall sur Windows et répond à toutes les questions que vous vous posez atour des firewall de Windows.

Introduction et définition des pare-feu

Un pare-feu ou Firewall est un logiciel ou équipement réseau qui permet de filtrer le trafic réseau.
Quand on parle de filtrage, on peut parler d’interdiction ou de limitations.
Un firewall est donc un maillon dans l’arsenal de protection et sécurité informatique.

Sur Windows, les pare-feu peuvent agir de différentes manières.
Ainsi, un pare-feu sur Windows peut effectuer du filtrage à plusieurs niveau, comme :

  • La possibilité d’internet l’accès au réseau pour une application en particulier ou composants de Windows.
  • Bloquer les connexions vers ou provenant d’une adresse IP spécifique.
  • Bloquer la connexion provenant ou vers un port spécifique, cela permet de bloquer un service internet spécifique.

Les pare-feu fonctionne dans les deux sens, puisqu’ils permettent de bloquer le trafic entrant et sortant :

  • Connexion entrante : une connexion provenant d’un ordinateur sur le même réseau ou ors du réseau vers l’ordinateur où le pare-feu est installé. Dans le cas d’un ordinateur public, il peut s’agit d’une connexion provenant d’internet
  • Connexion sortante : une connexion provenant de l’ordinateur où le pare-feu est installé à destination d’un équipement sur le même ou sur un autre réseau. En général, il s’agit de Windows ou une application tiers qui se connectent sur internet, comme par exemple, la connexion à un site WEB pour télécharger une page ou un fichier.

Un Firewall permet donc de protéger des connexions entrantes malveillants, comme des scans provenant de l’extérieur (souvent internet) ou bloquer les tentatives d’infections automatisé par des vers informatiques.
Le filtrage des connexions sortantes permet d’empếcher ou limiter le téléchargement et installation de logiciels malveillants, le blocage de connexions vers le serveur de contrôle ou l’utilisation de votre ordinateur à des fins malveillantes.

Le pare-feu sur Windows analyse en permanence l’activité des applications afin d’autoriser ou non les connexions réseaux.

Glasswire un pare-feu simple et efficace

Ne pas confondre le firewall et le proxy, VPN, les explications et différences sur la page suivante : Différences proxy, VPN et Firewall

Le fonctionnement des pare-feu

Le pare-feu fonctionne sur des règles, qui autorisent ou interdisent à telles ou telles applications de se connecter.
Ou encore des règles qui peuvent interdire la connexions provenant/à destination d’une adresse IP ou ports spécifiques.

Lors de chaque connexion établies, le pare-feu vérifie si une règle correspond et applique celle-ci pour autoriser ou interdire l’établissement de connexion.
Par exemple, ci-dessous, on peut voir à droite que iexplore.exe (Internet Explorer) est autorisé en vert.
La connexion vers le site Google est alors possible.

On passe alors Internet Explorer en rouge, interdiction… La connexion sur Google renvoi une erreur.

Les pare-feu de Windows fonctionne surtout par autorisation sur les applications mais il est tout à fait possible de créer des règles sur une IP ou ports.

Les règles de Pare-feu

Lorsqu’un programme voudra établir une connexion entrante ou sortante, le pare-feu stoppera immédiatement la connexion et vous demandera l’action à effectuer. Vous avez généralement le choix entre :

  • Autoriser une fois la connexion ;
  • Autoriser tout le temps la connexion ;
  • Bloquer une fois la connexion ;
  • Bloquer tout le temps la connexion.

Comprenez donc que ces règles sont très importantes, si vous autorisez un logiciel malveillant, ce dernier pourra se connecter et la connexion vers le centre de contrôle sera effective.
Dès lors, le trojan pourra effectuer les opérations malveillants, comme envoyer les mots de passe récupérés depuis votre ordinateur.

Lors de l’installation d’un pare-feu sur Windows, ce dernier analyse l’ordinateur et autorise les applications Windows.
En claire, pour faciliter les choses, l’éditeur du firewall propose des règles toutes faites.

Lorsqu’une nouvelle application inconnue tente de se connecter, une popup s’ouvre alors afin de demander l’autorisation à l’utilisateur.
C’est ce dernier qui détermine, si l’application doit ou non avoir accès à internet.

Un pare-feu bloque automatiquement toutes connexions qui n’a pas été autorisée.

A noter un article plus ancien sur le site : Le fonctionnement et l’utilité d’un firewall

Les firewall et virus

Les pare-feu sont donc extrêmement utiles pour prévenir l’installation de logiciels malveillants ou bloquer le fonctionnement des virus.
Pour bien appréhender cela, il faut bien comment les virus sont distribués et installer, pour cela, rendez-vous sur les dossiers suivants :

Le Firewall peut entrer en jeu lorsqu’un Trojan Downloader, c’est à dire un trojan qui doit télécharger le cheval de troie qui doit être installé sur Windows.
En bloquant le Trojan Downloader, ce dernier ne pourra pas télécharger le trojan et l’installer sur l’ordinateur, ainsi la partie active ne pourra être mise en place.

Le pare-feu peut aussi être utile pour bloquer la communication entre le cheval de troie et le serveur de contrôle.
Si le trojan ne peut se connecter il ne pourra pas échanger d’informations et ainsi livrer les données volées.
Aucun ordre ne pourra aussi être reçue, aucune mise à jour du Trojan pour échapper aux détections antivirus ne pourra être effectué.
Cela peut donc perturber et limiter les logiciels malveillants sur votre ordinateur.

 

Limites et Contournements des firewall

Bien entendu, les auteurs de logiciels malveillants tentent de contourner ces protections afin de pouvoir installer des virus sur Windows.
Comme toute protection, celle-ci ne protège pas à 100%.

Les limites peuvent aussi être techniques, beaucoup de pare-feu afin de limiter les notifications configurent l’accès automatiquement aux processus. De nouvelles techniques peuvent être utilisées par les malwares/virus pour contourner des règles pré-établies et pouvoir se connecter au serveur de contrôle.
Une des techniques les plus communes est : l’injection de processus, malwares/virus prend le contrôle et manipule des processus systèmes, le plus courant étant svchost.exe

Or ce processus a besoin d’accéder à internet pour que des fonctionnalités de Windows puissent fonctionner, notamment pour mises à jour Windows Update.
Il y a donc de fortes chances qu’une règle pré-établie autorise svchost.exe à accéder à internet.

En tirant partie de règles prédéfinies trop flexible, il est donc fort probable que le programme malicieux puisse se connecter au serveur de contrôle.
la manipulation de processus systèmes (lancer un processus svchost.exe – le pare-feu aura créé un accès à ce processus), comme le malware restorer64_a.exe / restorer32_a.exe : Backdoor.Win32.HareBot et l’injection dans les processus systèmes.

Exemple d’injection de processus avec le malware Bedep :

La difficulté pour les éditeurs de pare-feu est d’offrir des règles par défauts, les plus efficaces, tout en ne pénalisant pas l’utilisateur (trop de popups, blocages ou problèmes au quotidien) et notamment pour les néophytes.

La vidéo suivante montre les limites de certains pare-feu et notamment à cause des règles prédéfinies à l’installation de ce dernier.
Au final, le ransomware Cerber s’installe sans problème.

Le gros problème de ce type d’infection et l’utilisation de processus systèmes Windows qui sont autorisés à l’installation sur le pare-feu.
Ainsi, wscript, powershell, rundll32 ou encore regsvr32.exe sont autorisés.

Le pare-feu de Windows

Depuis Windows XP Service Pack 2 et l’épidémie de vers informatiques, Microsoft a ajouté un pare-feu dans Windows.
Ce dernier permet de filtrer les connexions entrantes et sortantes depuis Windows Vista.
Le pare-feu de Windows se présente sous deux formes, une forme simplifiée avec des règles par applications ou ports.
Les paramètres sont accessibles depuis le Panneau de configuration de Windows > Pare-feu Windows.

Une interface plus complexe et avancée où vous pouvez ajouter des règles.

Réglage avancée du pare-feu de Windows

Pour jouer sur ces règles, rendez-vous sur le dossier : Tutoriel Pare-feu Avancé de Windows

Le pare-feu de Windows est-il suffisant ?

Le pare-feu de Windows peut s’avérer suffisant, moyennant quelques modifications des règles par défauts.
En effet, certains composants, comme les wscript.exe (Windows Script Hosting – voir les scripts malicieux sur Windows) ou Powershell (voir les virus PowerShell) sont utilisés pour installer des programmes malveillants.

Bloquer les connexions sur ces processus, à l’aide du pare-feu Windows peut améliorer grandement la sécurité de Windows.
Rendez-vous sur notre dossier : Firewall Windows les bons réglages.

Comme tout composant de Windows, un peu comme Windows Defender, le gros avantage est qu’il est léger et discret et ne provoque pas de perturbations majeures de Windows.

Les Pare-feu tiers

Il existe différents éditeurs de pare-feu, on trouve notamment :

Si vous avez jeté un oeil à la vidéo plus haut, vous avez pu voir que cela n’accroît pas forcément la sécurité de votre ordinateur.
Tout dépend des règles définies par l’éditeur.

Un autre bémol et notamment pour Comodo, ces pare-feu deviennent de plus en plus des suites incorporants leurs propres antivirus.
Ils deviennent donc de plus en plus des usines à gaz, accouplé à un antivirus gratuits, qui sont eux aussi de plus en plus lourds, cela peut causer de graves ralentissements de Windows ou des plantages de Windows (type BSOD).

Les routeurs et pare-feu

En général, en France, la connexion se fait à partir d’un routeur ou box.

Un routeur agit partiellement comme pare-feu pour les ordinateurs du réseau local qui y sont connectés. Le routeur n’autorise que les connexions initialisées depuis le réseau local.
C’est à dire qu’il va autoriser les connexions sortantes depuis un ordinateur du réseau local vers internet et bloquer les connexions depuis internet via ces ordinateurs (sauf si un transfert de ports a été configuré).
Les ordinateurs sont donc protégés des attaques provenant d’internet (mais pas votre routeur => piratages des routeurs en hausse).
Cependant, les connexions sortantes étant autorisées, toute connexion provenant de votre ordinateur vers un site est autorisé, donc potentiellement le téléchargement d’un Trojan par exemple, sauf si vous installez un pare-feu sur chaque ordinateur.

Conclusion

Je vous conseillerai de laisser le pare-feu de Windows mais en suivant les réglages de la page : Firewall Windows les bons réglages.
Pour sécuriser Windows, rendez-vous sur l’article : Comment Sécuriser Windows.

Print Friendly, PDF & EmailImprimer l'article en PDF
(Visité 1 146 fois, 3 visites ce jour)
Partager

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet