Mac OS X et la sécurité

6 juin 2008

Bien qu’il ne soit pas, à mon humble avis, l’OS le plus sécurisé, Mac OS X offre à l’utilisateur une sécurité relativement bonne par défaut. Mais avec le nombre croissant de Macs sur le marché, la multiplication des appareils wifi et des réseaux sans fils domestiques, les menaces potentielles augmentent considérablement. Voici mes quelques conseils en terme de sécurité, principalement en utilisant Mac OS X.

1. Utilisez des mots de passe forts

Commençons par éliminer un mythe: la sécurité totale en informatique est incompatible avec la mise en réseau. N’importe quel ordinateur sur un réseau peut être pénétré, avec suffisamment de temps et de moyen, par un autre ordinateur du réseau. Grosso modo, seul un ordinateur éteint peut être considéré comme sûr. Mais il reste encore l’accès physique à l’ordinateur… Ce qui nous amène à l’élément le plus critique de la sécurité: l’utilisateur.

L’utilisateur est la clé de voute en terme de sécurité, de part l’utilisation qu’il fait de son ordinateur et ses habitudes. La première bonne habitude à prendre est d’utiliser des mots de passe forts, c’est à dire des mots de passe alliant des lettres, des chiffres et des caractères de type ponctuation.

Mac OS X offre la possibilité, depuis le Panneau de préférences, de verrouiller par mot de passe un certain nombre de paramètres du système. Personnellement, je les verrouille tous. De même manière, je désactive l’ouverture de session automatique.

Si vous voulez utiliser un générateur de mot de passe, sachez que l’utilitaire intégré à Mac OS X Trousseau d’accès le fait très bien.

2. Le WiFi, point faible de la sécurité

« Sniffer » un réseau wifi? Rien de plus simple. Un peu de Google et n’importe qui peut apprendre rapidement comment pirater un réseau wifi domestique. N’importe quel réseau? Non, justement. L’argument incontournable en terme de sécurité et de wifi se trouve être le cryptage utilisé pour coder la connexion entre les périphériques. Sans rentrer grandement dans les détails, pour un minimum de sécurité je déconseille fortement les clé WEP, lesquelles peuvent être crackées en quelques minutes à peine. Si votre point d’accès wifi le permet (et aujourd’hui la grande majorité des routeurs, y compris de type « box », le permettent) utilisez un cryptage de type WPA2.

En plus du type de cryptage, la clé réseau que vous allez utiliser est tout aussi importante. De même que pour les mots de passe, évitez d’utiliser un simple mot, mariez les plaisirs: chiffres, symboles, majuscules, minuscules, ponctuation… Et bien sûr, évitez de stocker cette clé dans un simple fichier texte sur un ordinateur présent sur le réseau (une clé USB fera parfaitement l’affaire). Enfin dernier petit truc maison, je change deux ou trois fois dans l’an de clé wifi (comme les autres mots de passe d’ailleurs).

3. Rester à jour pas seulement pour le plaisir

Faire régulièrement les mises à jour pour son système, ou les programmes installés sur son système, est très important. Mac OS est régulièrement mis à jour et toutes (enfin…) les failles de sécurité importantes découvertes sont corrigées par Cupertino. Mac OS X opère chaque semaine une recherche de mise à jour et les propose à l’utilisateur, c’est une très bonne habitude à mon sens. En ce qui concerne les autres programmes, il est possible via des sites Internet comme MacUpdate de savoir quelle version de programme est la dernière…

4. Garder à l’abri ce qui doit être… à l’abri

Pour mettre à l’abri des documents, Mac OS X intègre un outil de cryptage des données: File Vault. Bien qu’efficace, je trouve cet utilitaire un peu pataud. Une autre solution peu consister à monter un disque, ou une partition, entièrement crypté en utilisant par exemple CheckPoint. Ces outils sont plus ou moins difficiles ou lourd à mettre en place, mais dans le cadre de données sensibles ils peuvent être efficaces. Leur profil est également différent, disons que j’utilise plus File Vault à la maison, et CheckPoint au bureau.

5. Encore des conseils, et de la lecture

Le Pare Feu: si la vérification de mise à jour périodique est une bonne habitude par défaut de Mac OS, il en a d’autre que je trouve moins sympathique, en particulier le Pare Feu désactivé par défaut. Ce que je recommande, c’est de l’activer pour tous les programmes et d’autoriser les programmes à se connecter uniquement sur autorisation de l’utilisateur. Une fois un programme autorisé, il est ajouté à la « liste blanche » et le Pare Feu ne vous demande plus d’autorisation de connexion. De la même manière il est possible de faire une liste noire, pour bloquer les connexions entrantes/sortantes d’un programme.

Simple à configurer, le Pare Feu intégré à Mac OS X 10.5 souffre un peu de cette simplification en cachant des options pour l’utilisateur lambda. Ainsi, certains processus comme Bonjour ne sont jamais bloqués. Pour configurer une couche supplémentaire du Pare Feu, il est possible d’utiliser ipfw. Il s’agit du Pare Feu open source utilisé avant Mac OS X 10.5, toujours présent dans l’OS, mais « remplacé » par le Pare Feu actuel. Pour configurer pleinement ipfw il existe un utilitaire, WaterRoof. Précieux, il est facile à configurer et offre de nombreuses possibilités. Je le conseille surtout dans le cadre d’une utilisation sur un réseau d’entreprise très sécurisé.

Les virus: la légende veut qu’il n’y ait « pas de virus pour Mac ». Malheureusement, c’est bel et bien une légende et victimes de leur succès, plus il y aura d’internautes Mac, plus les virus pour Mac vont se développer. Les mises à jour automatiques, Pare Feu et autres réglages de sécurité du navigateur (Safari ou Firefox, également pour moi) sont une première étape, une base. Si vous souhaitez aller un peu plus loin, vous pouvez utiliser ClamAV pour Mac. Un antivirus gratuit et efficace, à qui vous pouvez instruire une attention particulière pour vos dossier Téléchargements, par exemple.

Mot de passe Open Firmware: pour vous protéger des intrusions physiques sur votre ordinateur, vous pouvez utiliser un mot de passe (fort, n’est-ce pas?) de protection d’Open Firmware. Ce mot de passe protégera votre ordinateur dès son démarrage normal, avant même que l’OS ne soit chargé. Particulièrement efficace si quelqu’un tente d’accéder au disque dur en démarrant la machine sur un CD/DVD ou un disque USB, en démarrage par le réseau ou en mode « Single User ».

Analyse du réseau: à l’heure actuelle, quasiment toutes les applications que vous installez tentent de se connecter à Internet, pour divers raisons: mises à jour, envoi de données, etc. Il est quasiment impossible de contrôler tous ces accès de manière simple et efficace (sinon de manière fastidieuse via un Pare Feu), à part utiliser Little Snitch. Ce petit utilitaire rend bien des services pour qui veut avoir la main à 100% sur ce qui ce passe entre son Mac et n’importe quel réseau. Un outil très efficace, mais que je ne recommanderais qu’en cas de besoin de contrôle et de sécurité très élevé.

Enfin, voici un peu de lecture. Apple met à disposition un guide très complet des outils et paramètres de sécurité qu’il est possible d’utiliser dans Mac OS X. Ce guide (en anglais), est très très bien fait et accessible, et je recommande vivement de le lire. Il est disponible ici, pour Mac OS X 10.5 et 10.4.

Publicités

Une Réponse to “Mac OS X et la sécurité”

  1. fabien Says:

    Hello
    voici de bon conseil mais sache que le premier (mot de passe fort) n’est efficace que si open firmware est bridé (single user et target mode désactivé et filevault activé). si les deux premiers sont activé alors n’importe qui peut se créer un compte admin et se servir de ton ordi et de tes fichier s’il ne sont pas chiffré. Filevaault (ou équivalent) doit être actif sinon tes données seront accessible par n’importe qui.
    En résumé pour une bonne sécurité locale il faut bridé open firmware et activé filevault et seulement la un mot de passe fort à une utilité.


Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :