Tout site web doit être protégé. Tout comme votre ordinateur personnel, les serveurs en ligne peuvent être la cible d’attaques. Vous devez trouver un moyen d’empêcher les pirates informatiques ou d’autres sources de trafic illégitime. C’est là que les pare-feu entrent en jeu.
En bref, qu’est-ce qu’un pare-feu ? C’est une barrière entre un ordinateur et le « monde extérieur ».
Les acteurs malveillants peuvent causer des dégâts sur votre serveur si vous laissez votre site web non protégé. C’est pourquoi vous devez faire tout ce qui est en votre pouvoir pour sécuriser votre site WordPress. La mise en place d’un pare-feu devrait être l’une de vos premières tâches.
Mais il existe de nombreux types de pare-feu différents et vous ne savez peut-être pas par où commencer.
Voyons tous les types de pare-feu, quand vous en aurez besoin et comment en installer un sur votre serveur.
Qu’est-ce qu’un pare-feu ? Que fait un pare-feu ?
Chaque fois que vous visitez un site web, vous vous connectez en fait à un autre ordinateur : le serveur web. Mais comme un serveur n’est qu’un ordinateur spécialisé, il est susceptible de subir le même type d’attaques que votre propre PC.
Il n’est pas sûr de se connecter aussi directement à un autre appareil sans aucune protection entre les deux. Une fois cette connexion établie, il est beaucoup plus facile d’infecter l’autre partie avec un logiciel malveillant ou de lancer une attaque DDoS.
C’est à cela que sert un pare-feu. C’est l’intermédiaire entre vous et tout autre appareil qui essaie de se connecter à vous ou, dans le cas d’un serveur web, entre celui-ci et les centaines ou milliers de connexions qu’il établit avec d’autres chaque jour.
Comment fonctionne exactement un pare-feu ?
Un pare-feu surveille simplement le trafic entrant et sortant sur un appareil, en recherchant tout signe d’activité malveillante. S’il détecte quelque chose de suspect, il le bloque instantanément pour l’empêcher d’atteindre sa destination.
C’est un gros système de filtration pour votre ordinateur ou votre serveur.
Lorsqu’ils ont été mis au point, les pare-feu étaient de très simples analyseurs de paquets qui autorisaient ou bloquaient le trafic entrant en fonction d’un ensemble minimal de règles prédéfinies. Ils étaient très faciles à contourner.
De nos jours, ils ont évolué en des éléments de programmation complexes qui sont bien plus efficaces pour empêcher les tentatives d’intrusion et constituent un élément de logiciel essentiel pour tous les appareils.
Quand avez-vous besoin d’un pare-feu ?
Vous vous demandez peut-être : quand un pare-feu est-il nécessaire ? En ai-je vraiment besoin ?
Un pare-feu est nécessaire pour toute machine qui se connecte à l’internet. Non seulement votre ordinateur, mais aussi votre serveur web, votre téléphone, vos appareils connectés ou tout ce qui vous vient à l’esprit et qui peut utiliser l’internet.
Un appareil non protégé est un moyen facile de détecter les intrusions et les infections.
Cela pourrait permettre aux pirates informatiques de s’emparer de votre ordinateur, d’installer ce qu’ils veulent, de vous surveiller lorsque vous saisissez des informations sensibles comme des références bancaires, ou même de regarder votre webcam/caméra et d’écouter via votre microphone.
Dans le cas d’un serveur web, si un pirate informatique parvient à passer, il pourrait défigurer votre site web, intégrer un logiciel malveillant qui infecte vos visiteurs, modifier vos identifiants de connexion à l’administration de WordPress, ou démanteler entièrement votre site.
Sans pare-feu, votre site web et même vos appareils personnels sont vulnérables aux attaques DDoS, un vecteur d’attaque qui envoie des milliers ou des millions de faux paquets pour surcharger votre serveur et faire tomber votre site web ou Internet.
Vous n’êtes pas convaincu ? Voici contre quoi un pare-feu peut vous protéger, vous ou votre site web :
- Les intrusions : Les pare-feu empêchent les utilisateurs non autorisés d’accéder à votre ordinateur ou à votre serveur à distance et de faire ce qu’ils veulent.
- Les logiciels malveillants (malware) : Les attaquants qui parviennent à s’infiltrer peuvent envoyer des logiciels malveillants pour vous infecter ou infecter votre serveur. Les logiciels malveillants peuvent voler des informations personnelles, se propager à d’autres utilisateurs ou endommager votre ordinateur de toute autre manière.
- Des attaques par force brute : Tentatives de pirates informatiques pour essayer des centaines de combinaisons d’identifiants et de mots de passe afin de découvrir vos informations de connexion d’administrateur (ou d’autres utilisateurs).
- Attaques DDoS : Les pare-feu (en particulier les pare-feu d’applications web) peuvent tenter de détecter l’afflux de faux trafic qui se produit lors d’une attaque DDoS.
Types de pare-feu
Il existe de nombreux types de pare-feu, chacun étant conçu pour une situation différente. Certains sont mieux adaptés à des ordinateurs individuels, tandis que d’autres sont conçus pour un filtrage à l’échelle du réseau.
Ils fonctionnent tous différemment et sont plus efficaces pour bloquer certains types de trafic. Si vous vous demandez ce que vous devriez rechercher, nous allons décomposer tous les principaux types de pare-feu.
Voici un bref résumé : à moins que vous ne gériez votre propre serveur (fournissant un site web avec votre propre internet), le type de pare-feu dont vous devez principalement vous préoccuper sont les pare-feu personnels, les pare-feu logiciels et les pare-feu d’applications web.
Ces trois éléments sont les plus importants. Toutefois, pour mieux comprendre comment fonctionne un pare-feu et comment il a évolué au fil des ans, lisez les autres.
Pare-feu personnel
Les pare-feux fonctionnent de manière très différente selon qu’ils sont utilisés par un seul ordinateur, par des réseaux entiers (comme dans un bureau d’entreprise) ou par des serveurs web. Un pare-feu personnel est destiné à être utilisé sur un seul ordinateur. C’est le pare-feu qui est préinstallé sur les machines Windows et Mac ou avec votre logiciel antivirus.
Bien qu’il fonctionne de manière similaire à un pare-feu de serveur – autorisant ou rejetant les connexions d’autres dispositifs, applications et IP sur la base d’un ensemble de règles prédéfinies -, en fonction, il agit un peu différemment.
Les pare-feux personnels peuvent protéger les ports que vous utilisez pour vous connecter à des sites web et à des applications en ligne (en les rendant furtifs pour que les attaquants ne puissent pas voir qu’ils sont ouverts), se défendre contre les attaques qui se glissent sur le réseau, empêcher les gens d’accéder à votre ordinateur et de s’en emparer, et analyser tout le trafic entrant et sortant.
Ils font également office de pare-feux des applications, en surveillant l’activité des applications sur votre appareil et en refusant qu’une connexion soit établie avec des logiciels dangereux ou inconnus.
De nos jours, il est assez facile d’obtenir un pare-feu personnel. Si vous utilisez une version moderne de Windows, il devrait déjà y en avoir un qui fonctionne par défaut.
Les ordinateurs Mac en sont également équipés, mais vous devez le lancer vous-même. Pour ce faire, accédez aux Préférences Système, cliquez sur Sécurité et confidentialité, puis sur Pare-feu :
Les logiciels antivirus sont souvent accompagnés de leur propre logiciel. L’antivirus Avast en est un un exemple : son pare-feu logiciel est compatible avec Windows et sert de deuxième couche de défense.
Il existe également des pare-feux personnels payants, mais ils peuvent entrer en conflit avec votre configuration par défaut.
Pare-feu matériel ou logiciel
Les pare-feux se présentent sous deux formes distinctes : les pare-feux matériels et les pare-feu logiciels. Les pare-feux logiciels sont des programmes téléchargeables pour votre ordinateur, qui surveillent tout depuis un panneau de contrôle central. Les pare-feux matériels offrent des fonctionnalités similaires, mais ils sont physiquement installés dans le bâtiment.
Vous ne le savez peut-être pas, mais vous avez probablement une forme de pare-feu matériel dans votre maison : votre routeur, le dispositif qui vous permet de vous connecter à l’internet. Bien qu’il ne soit pas exactement identique à un pare-feu matériel dédié, il offre des fonctions similaires de surveillance et d’autorisation ou de refus des connexions.
Les pare-feux logiciels et matériels se situent entre votre ordinateur et le monde extérieur, analysant soigneusement toute connexion qui tenterait de se faufiler. Vous pouvez faire fonctionner l’un ou l’autre, ou les deux, sur votre réseau.
Les pare-feux matériels présentent cependant quelques inconvénients. Ils sont difficiles à mettre en place et nécessitent une maintenance permanente, de sorte qu’ils ne conviennent généralement pas aux ordinateurs individuels ou aux très petites entreprises sans service informatique. Ils peuvent causer des problèmes de performance, surtout lorsqu’ils sont empilés avec un pare-feu logiciel. Ils ne conviennent pas non plus pour bloquer des applications sur un appareil ou pour imposer des restrictions à l’utilisateur.
D’autre part, un pare-feu matériel protégera facilement l’ensemble de votre réseau d’ordinateurs, alors que la configuration d’un logiciel pour cela est une tâche plus difficile. Et si un attaquant peut désactiver un logiciel s’il parvient à s’introduire, il ne peut pas altérer un dispositif physique.
Les pare-feux logiciels sont, comme leur nom l’indique, plus efficaces lorsqu’ils fonctionnent avec des programmes sur un ordinateur. Ils sont spécialisés dans le blocage des applications, la gestion des utilisateurs, la génération de journaux et la surveillance des utilisateurs sur votre réseau. Ils ne sont pas aussi faciles à configurer à l’échelle du réseau, mais lorsqu’ils sont installés sur plusieurs appareils, ils permettent un contrôle plus fin.
Pare-feu de filtrage de paquets
Le type de pare-feu le plus simple, et parmi les premiers jamais développés, est le pare-feu à filtrage de paquets. Un paquet est l’ensemble des données échangées entre votre ordinateur et un serveur. Lorsque vous cliquez sur un lien, téléversez un fichier ou envoyez un e-mail, vous envoyez un paquet au serveur. Et lorsque vous chargez une page web, il vous envoie des paquets.
Un pare-feu à filtrage de paquets analyse ces paquets et les bloque sur la base d’un ensemble de règles prédéfinies. Par exemple, vous pouvez bloquer les paquets provenant d’un certain serveur ou d’une certaine adresse IP, ou ceux qui tentent d’atteindre une certaine destination sur votre serveur.
L’inconvénient : Ces types de pare-feu sont simples et faciles à déjouer. Il n’y a aucun moyen d’appliquer des règles avancées. Si vous autorisez le trafic à passer par un certain port, le pare-feu à filtrage de paquets laissera passer n’importe quoi, même le trafic qui, de toute évidence, n’est pas légitime pour les pare-feux modernes.
Le seul avantage est qu’ils sont si simples qu’ils n’ont pratiquement aucun impact sur les performances. Ils n’inspectent pas le trafic, ne sauvegardent pas les journaux ou n’exécutent pas de fonctions avancées. De nos jours, les pare-feux à filtrage de paquets devraient être évités ou du moins utilisés en parallèle avec des solutions plus avancées, car il existe des solutions bien plus performantes.
Pare-feu à états (stateful)
Après les filtres de paquets simples et de paquets, la technologie des pare-feux à états est apparue. C’était révolutionnaire car au lieu de se contenter d’analyser les paquets à leur arrivée et de les rejeter en fonction de paramètres simples, les pare-feu à état gèrent des informations dynamiques et continuent à surveiller les paquets lorsqu’ils passent sur le réseau.
Un simple pare-feu à filtrage de paquets ne peut bloquer que sur la base d’informations statiques comme l’adresse IP ou le port. Les pare-feux à états sont plus efficaces pour détecter et bloquer le trafic illégitime car ils reconnaissent les modèles et autres concepts avancés.
Par rapport aux pare-feux de paquets, les inconvénients sont qu’ils sont plus intensifs car ils stockent les données par paquets en mémoire et les analysent plus rigoureusement, tout en gardant un journal de ce qui est bloqué et de ce qui passe à travers. Mais c’est une bien meilleure solution.
Pare-feu d’application web
Si la technologie de pointe est toujours utilisée aujourd’hui, elle ne suffit plus à elle seule à assurer la sécurité d’un réseau. Les pare-feu d’application et d’applications web ont constitué la prochaine grande étape.
Les pare-feu traditionnels ne surveillent que le trafic général sur un réseau. Ils ont du mal, voire pas du tout, à détecter le trafic en provenance ou en direction d’une application, d’un service ou d’un autre logiciel. Les pare-feux applicatifs ont été conçus pour fonctionner avec ces programmes, en captant les tentatives d’intrusion qui profitent des vulnérabilités des logiciels pour passer outre les anciens pare-feux.
Ils pourraient également fonctionner comme un système de contrôle parental pour une entreprise, en bloquant entièrement l’accès à certaines applications et à certains sites web.
Les pare-feux d’applications web fonctionnent de la même manière, mais ils surveillent les applications web au lieu des programmes sur un ordinateur. Les applications web sont par exemple des formulaires ou des extensions de panier d’achat de tiers, qui peuvent parfois être détournés pour envoyer des logiciels malveillants à votre serveur. Sans un pare-feu d’application, vous êtes vulnérable à ces attaques.
De nombreux pare-feux d’application sont basés sur le cloud, ce qui signifie que vous n’avez pas besoin d’apporter de changements radicaux à votre serveur pour les mettre en place. Mais ils peuvent également exister sur du matériel ou des logiciels de serveur.
Si vous avez besoin d’un service de pare-feu pour protéger votre site web, recherchez un pare-feu d’application basé sur le cloud comme Cloudflare ou Sucuri. Ceux-ci peuvent être installés sans avoir à manipuler les réglages sensibles de l’hébergeur web ou à mettre en place un matériel coûteux.
Pare-feux de nouvelle génération
Le dernier est le pare-feu de nouvelle génération (NGFW), l’une des plus récentes inventions issues de cette génération de technologie de sécurité. Ces outils d’entreprise sont comme tous les outils ci-dessus réunis en un seul. Le filtrage profond des paquets, la prévention des intrusions et la surveillance des applications ne sont que quelques-unes des nombreuses fonctionnalités de réseau qu’ils offrent.
Les pare-feux de nouvelle génération pour le cloud existent sous forme de service en ligne, mais les pare-feux d’application sont beaucoup plus courants et offrent des fonctionnalités similaires. Mais si vous voulez la technologie de pare-feu la plus avancée qui soit, avec une suite complète de protection de la sécurité dans un seul programme, recherchez un pare-feu d’application.
Comment obtenir un pare-feu
Pour vous protéger, vous et votre site web, vous avez besoin d’un pare-feu de haute qualité qui empêchera les intrus d’entrer.
En ce qui concerne les pare-feu personnels, il n’est généralement pas nécessaire de faire des efforts pour en obtenir un. Le pare-feu intégré de Windows fonctionne très bien sans aucune configuration. Et entre le pare-feu applicatif souvent fourni avec votre logiciel antivirus et le filtre de paquets de votre routeur, votre ordinateur est généralement plus que protégé.
Assurez-vous simplement que votre pare-feu est activé, qu’un bon antivirus est installé et que votre routeur est correctement configuré. La même chose peut être dite pour les utilisateurs de MacOS.
Mais que faire si vous avez un site web qui a besoin de protection ?
C’est très différent alors. Il n’y a pas autant d’outils intégrés pour vous protéger, et c’est souvent à vous qu’il revient de sécuriser votre site web. Par exemple, si vous utilisez WordPress, il n’y a pas de pare-feu ni rien pour protéger votre serveur et les extensions de sécurité sont l’une des options les plus courantes.
Les développeurs de WordPress font de leur mieux pour maintenir le code optimisé, mais lorsque des vulnérabilités surviennent, vous n’avez rien pour empêcher les intrusions.
Chaque site peut bénéficier d’un pare-feu applicatif. Des services en ligne comme Sucuri, Wordfence, Cloudflare peuvent en installer un sur votre serveur en quelques minutes.
En plus d’installer vous-même un pare-feu, vous devez choisir un hébergeur qui s’occupe correctement de ses serveurs. Trop d’hébergeurs bon marché ne se soucient pas de la sécurité et cela peut causer d’énormes problèmes si votre site est attaqué.
Intégration Cloudflare de Kinsta
Si votre site est hébergé chez Kinsta, vous n’avez pas à vous soucier du réglage manuel d’un WAF. Tous les sites sur notre infrastructure sont automatiquement protégés par notre intégration Cloudflare gratuite, qui comprend un pare-feu sécurisé avec des règles personnalisées et une protection DDoS gratuite. Outre l’intégration de Cloudflare, nous mettons également en œuvre d’autres mesures de sécurité, telles que la détection de la force brute, l’accès aux fichiers par SFTP uniquement, les VM de la plateforme Google Cloud, une promesse de suppression complète des logiciels malveillants, etc.
Résumé
Sur un ordinateur personnel moderne, vous n’avez généralement pas grand-chose à faire puisqu’un pare-feu est préinstallé avec la plupart des systèmes d’exploitation. Quant à votre site web, trop d’hébergeurs ne se soucient pas de sécuriser leurs serveurs, il vous appartient donc de vous protéger.
Si vous recherchez un hébergeur web doté d’une infrastructure de sécurité fiable, capable de prendre en charge un site de toute taille, pensez à Kinsta. Avec notre intégration Cloudflare gratuite et notre garantie de sécurité, vous savez que vous ne serez pas victime de piratage. Et si, par malchance, cela arrive, nous prendrons les mesures nécessaires pour nous débarrasser gratuitement des logiciels malveillants.
Même si vous choisissez un hébergeur fiable qui accorde une grande importance à la sécurité, il est bon d’installer un pare-feu pour les applications web comme deuxième ligne de défense. Trouvez un bon service comme Sucuri, ou téléchargez une extension WordPress de sécurité, et vous serez prêt.
Rédacteur en chef chez Kinsta et consultant en marketing de contenu pour les développeurs de plugins WordPress. Connectez-vous avec Matteo sur Twitter.
Laisser un commentaire