Protéger son Mac avec le pare-feu Little Snitch

Protéger son Mac avec le pare-feu Little Snitch

Sécuriser les connexions de son ordinateur, c’est n’est pas l’activité la plus fun je vous l’accorde, mais ne pas s’en occuper ce serait comme fermer à double tour la porte d’entrée en laissant les fenêtres grandes ouvertes. Je vous expliquer comment installer et configurer Little Snitch sur Mac. C’est parti !


Image : surfez-couverts.com

Le contexte

Si vous l’avez raté, j’explique les raisons de l’utilisation d’un pare-feu (firewall) dans mon dossier Le pare-feu : gardien de votre ordinateur.

J’ai choisi d’illustrer ce guide par l’installation et la configuration du pare-feu Little Snitch, édité par Objective Development, car il s’agit de LA référence sur le marché. Les principes d’installation et de configuration diffèrent peu de ceux de ses concurrents. Comme la plupart proposent une période d’essai, rien ne vous empêche de leur donner leur chance à eux aussi. Je liste quelques alternatives dans le dossier cité précédemment.

Little-Snitch-Logo
Little Snitch v4

Le choix de l’outil

Commençons tout de suite par les choses qui fâchent : le prix. Sachez qu’une licence simple de Little Snitch coûte à ce jour 45€. Si vous voulez simplement vous faire votre opinion sans payer, vous pouvez bénéficier d’un essai gratuit en téléchargeant le logiciel sur le site officiel. En mode démo, le filtrage du réseau n’est valable que 3 heures. Attention, passé ce délai les connexions précédemment bloquées sont libérées. Il vous faudra alors réactiver le mode démo dans les Préférences. Après la période d’essai d’un mois le pare-feu sera totalement désactivé jusqu’à ce que vous achetiez votre licence. Sachez que vos réglages sont conservés dans tous les cas, même si vous tardez un peu. Activer votre licence vous permettra de profiter pleinement de votre pare-feu.

Petit aparté : comme d’habitude mais c’est encore plus valable ici, je vous déconseille d’utiliser un crack pour activer ce programme illégalement. Cela serait un non sens absolu : vous introduisez une faille potentielle dans un outil censé vous protéger des failles justement. Pour avoir l’esprit tranquille, mieux vaut y mettre le prix ou utiliser une solution open-source comme LuLu.

Evitons d’ouvrir des brèches dans nos pare-feux…

L’installation

Une fois le fichier d’installation téléchargé (LittleSnitch-4.5.dmg actuellement), exécutez-le et double-cliquez sur Little Snitch Installer.app

Mac OS vous demandera alors de confirmer l’ouverture de ce programme téléchargé depuis Internet. Si vous avez bien récupéré le programme sur le site officiel, pas de crainte à avoir. Pour être certain d’installer le bon programme, vous devriez vérifier sa signature. Je ne m’attarde pas sur ce sujet car il fera l’objet d’un prochain article.

Dans la nouvelle fenêtre, cliquez sur Continuer et suivez les étapes pour lancer l’installation. Une fois l’installation terminée, vous devrez redémarrer votre Mac.

Après reboot, Little Snitch vous proposera une petite visite guidée. Votre Mac (en version Catalina) vous demandera certainement d’autoriser une série de notifications relatives à Little Snitch. Je vous recommande de les accepter toutes, au moins dans un premier temps, afin de bien visualiser ce qu’il se passe. Il sera toujours possible de revenir sur votre décision par la suite.

La configuration

Lors de la visite guidée, vous devrez choisir entre deux comportements : Silent Mode et Alert Mode. Pour la bonne compréhension de ce guide et parce que sur ce blog on cherche à comprendre les choses, choisissons Alert Mode. Le résultat sera plus intrusif mais plus lisible.

Mode de fonctionnement de Little Snitch : silencieux ou alertes
Utilisez le mode Alertes pour garder le contrôle.

Vous pourrez alors entrer votre numéro de licence si vous en avez acheté une, ou utiliser le mode démo. A partir de maintenant, les premiers popups vous demandant d’autoriser ou d’interdire les connexions réseau commenceront à arriver.

Par défaut Little Snitch laissera passer iCloud et Mac OS Services. Ces connexions sont dignes de confiance pour l’immense majorité des utilisateurs donc inutile de modifier ce réglage. Ce laisser-passer est toutefois facile à retirer en vous rendant dans les règles du pare-feu (j’y reviens par la suite).

Ce sera ensuite à vous de choisir ce que vous autorisez ou non. Pour vous aider, voici un exemple détaillé des options disponibles pour une connexion donnée :

Une alerte classique demandant la création d’une nouvelle règle.

En cas de doute, vous pouvez toujours laisser passer la connexion. Elle est à priori déjà ouverte. Vous pourrez y revenir plus tard si le choix n’était pas le bon. Une autre façon de fonctionner, peut-être moins facile, sera de bloquer la connexion et d’attendre de voir si le programme garde bien le comportement attendu. S’il ne fonctionne plus correctement, il faudra certainement rouvrir l’accès. Toutes les règles que vous avez établies se trouvent dans l’interface des règles de Little Snitch :

La vue complète des règles de Little Snitch.

Toutes les autorisations d’accès et tous les blocages sont listés dans ce menu. Libre à vous de modifier les règles que vous désirez pour affiner vos réglages.

Petite astuce : si vous avez besoin momentanément d’ouvrir ou de fermer en un clic toutes les connexions définies dans ce menu (en cas d’urgence), vous pouvez le faire via les boutons du menu Operation Mode :

Laisser passer ou bloquer toutes les connexions d’un coup : le « panic button » !

Jusqu’à présent vous avez sûrement reçu essentiellement des alertes provenant des programmes tournant en tâche de fond de votre OS. A partir de maintenant, lorsque vous allez lancer un nouveau programme ayant accès à Internet, des décisions seront à prendre pour autoriser ou non l’accès à travers le pare-feu.

Utilisation avancée

Vous avez maintenant terminé les réglages de base de votre outil. Cela devrait vous aider à beaucoup mieux maîtriser les connexions entrantes et sortantes sur votre Mac et ainsi comprendre quels programmes sont en communication avec l’extérieur.

Little Snitch étant un programme très complet, de nombreux autres réglages sont disponibles. Il est possible d’aller plus loin dans l’optimisation et la personnalisation de son pare-feu, de manière à gérer par exemple :

  • La surveillance du réseau
  • Les règles redondantes
  • Les alertes personnalisées
  • Les profils automatiques
Grâce à l’outil de surveillance réseau, j’ai pu observer que mon application Microsoft Word communiquait avec Hong-Kong, connexion que j’ai bloqué par la suite.

Si les réglages avancés de Little Snitch et son utilisation plus poussée vous intéressent, dites-le moi dans les commentaires et j’écrirai un article dédié.

6 Replies to “Protéger son Mac avec le pare-feu Little Snitch”

  1. Bonjour
    Concernant les préférences dans l’onglet APS que conseillez vous ?
    Je n’ai rien de coché et j’ai un vpn donc dois-je cocher quelque chose ?
    Merci

    1. Bonjour Ced,
      cet onglet « Automatic Profile Switching » vous permet de sélectionner un profil (que vous aurez pré-configuré à l’avance dans la partie Rules), lorsque le pare-feu détecte que vous vous connectez à un nouveau réseau. Cela vous permettra d’appliquer par exemple des restrictions plus fortes, ou à l’inverse de ne pas afficher les alertes du tout, ce qui peut être plus confortable si vous voyagez beaucoup.
      La case à cocher concernant la localisation est juste une aide pour vous aider à identifier le réseau parmi la liste de tous les réseaux connus du logiciel.
      Vous n’êtes concernés par la case OpenVPN que si vous utilisez effectivement une solution OpenVPN. Ceci permet d’attribuer un profil différent à chaque serveur distant.
      En conclusion il n’y a rien de vital à cocher dans cette page pour une utilisation standard. Mais vous pouvez au moins cocher la première case en mode « Demander » pour vous rendre compte de ce qu’il se passe.
      Bon amusement !

  2. Bonjour, et merci pour votre article. j’aimerais bien savoir utiliser Little Snitch. Je ne suis pas un pro et j’ai de grande difficultés pour apprécier si je dois bloquer telle ou telle demande de connection. Est-ce qu’il vous serait possible, à l’aide d’exemples d’aider les utilisateurs à avoir des raisonnements étayés par un savoir ? C’est un travail assez lourd, mais certainement très utile. Qui n’a rien à voir : je n’ai pas trouvé comment m’inscrire pour etre informé de vos publications. Est-ce possible ? D’avance merci.

    1. Bonjour Ronparchita,
      Little Snitch n’est pas un logiciel simple à maîtriser. Je découvre moi-même régulièrement de nouvelles choses à son sujet. Mon approche est basée sur l’empirisme : j’interdis une connexion et je vois si ça bloque ou non mon utilisation, ensuite j’adapte. Cela peut prendre du temps… votre idée de donner des exemples concrets est intéressante, je vais y réfléchir, merci.
      Pour être informé des publications il existe pour l’instant deux solutions : vous abonner au flux RSS du blog ou suivre le compte Twitter @surfezcouverts

  3. Bonjour,
    Laisser Alert mode pour un navigateur, cela provoque l’effet ventilateur : lorsqu’on va sur un site, il y a des dizaines d’alertes qu’on est obligé d’accepter sans réfléchir pour que le site fonctionne car les URL ne permettent pas d’évaluer leur pertinence. Comment faire autrement qu’en acceptant toutes les demandes de connexions du navigateur ?

    1. Bonjour Olivier,
      je dois bien avouer que j’ai laissé Little Snitch ouvert concernant Firefox. Je sais que tout ce qui passe par le navigateur ne sera pas filtré, mais il est possible d’installer des outils dans le navigateur pour gérer le problème à ce niveau (uBlock Origin par exemple).
      Little Snitch va plutôt vous aider à identifier des programmes installés sur votre ordinateur, qui ne devraient théoriquement pas faire de connexions vers l’extérieur, ou alors uniquement des connexions que vous autorisez. Je vois régulièrement des logiciels installés qui tentent d’accéder à Google Analytics. On peut en général bloquer cette connexion qui ne vous apporte rien et continuer à utiliser le programme quand même.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *