LuLu : un firewall sortant open-source

Christophe Laporte |

LuLu est un pare-feu développé en open-source. Il vient tout juste d’entrer en bêta. Il permet de surveiller à la fois les connexions sortantes de votre Mac. Pour les connexions entrantes, son auteur recommande d’utiliser le pare-feu d’Apple. Au passage, c’est l’une des différences majeures avec Little Snitch, qui surveille à la fois les connexions entrantes et sortantes de votre Mac.

A chaque fois que LuLu détecte qu’une application cherche à se connecter à un serveur distant, l’application vous invite à autoriser ou non la connexion demandée. Quelle que soit votre décision, l’application créera par la suite une règle pour éviter de vous importuner à chaque fois.

Dans les préférences, LuLu vous offre la possibilité d’accepter automatiquement les connexions effectuées par les applications Apple. Vous pouvez également valider les applications tierces qui étaient présentes sur votre Mac avant que vous ne l’installiez. Vous avez également la possibilité de créer ou d’éditer vous-même des règles.

Sachant que l’application est loin d’être finalisée, son auteur recommande de ne pas l’installer sur une machine en production. Si le projet vous intéresse, sachez que son code source est disponible sur GitHub. Il est également possible de soutenir l’auteur en effectuant des donations via Patreon.

avatar C1rc3@0rc | 

Soft essentiel lorsqu'il sera finalisé, meme s'il est regrettable qu'il fasse le tiers du boulot de Hands Off! - dont c'est inspiré Little Snitch - et ne fasse pas les entrees et les acces fichiers...

Ceci dit il faut des softs comme ça pour compenser l'indigence d'Apple qui n'est pas foutu de creer une interface minimaliste pour utiliser les systemes de securité de MacOS - qui sont existant dans tous unix de base -

avatar Moonwalker | 

Little Snitch est bien plus ancien que Hands Off!!

https://www.macg.co/2010/10/hands-un-rival-à-little-snitch-9709
https://www.macg.co/news/voir/131396/logiciels-medialink-et-little-snitch

Arrête de raconter des sottises pour nourrir ton Apple bashing.

Les outils de sécurité disponibles dans macOS sont très suffisants pour l’utilisateur lambda.

Des logiciels comme Hands Off!! ou Little Snitch demandent une compréhension des principes de fonctionnement des connexion distantes, des ports et des protocoles. Qu’est-ce qu’une adresse IP, qu’est-ce qu’un nom de domaine, un serveur, etc. Il faut savoir ce qu’on bloque et pourquoi sinon ça ne sert à rien.

De même, macOS dispose en sont sein du puissant Packet Filter mais avant de le laisser entre toutes les mains, même avec une interface plaisante, il faut savoir ce qu’on fait.

La sécurité ne se résume pas à des outils informatiques. C’est avant tout la compréhension du fonctionnement de sa machine et la bonne évaluation de la situation.

avatar scanmb (non vérifié) | 

@Moonwalker

+1 voir Murus

avatar C1rc3@0rc | 

«Little Snitch est bien plus ancien que Hands Off!!»

Little Snitch a ete créé avant Hands Off mais il en a copié les fonctions, Hands Off allant bien plus loin que ce que proposait de maniere tres limité Little Snitch...

«Les outils de sécurité disponibles dans macOS sont très suffisants pour l’utilisateur lambda.»
De quels outils parles tu?
Comment l'utilisateur y a acces?

«Des logiciels comme Hands Off!! ou Little Snitch demandent une compréhension des principes de fonctionnement des connexion distantes, des ports et des protocoles. »

Tout comme le soft dont il est question dans l'article.

Apres, Hands Off!! ou Little Snitch offrent differents niveaux d'acces qui permettent meme a un neophyte total de se preserver de beaucoup de malware sans meme avoir a se prendre la tete.

Je ne vois pas ce qu'il y a de compliqué pour madame michu a cliquer sur un bouton pour interdire a un soft disons - un traitement de texte ou un editeur d'image - de scanner le disque et de balancer des données sur un serveur?

Qu'y a t'il de complexe et hors de portée d'un utilisateur pour comprendre que lorsqu'un agenda echange des données avec un site de minage de bitcoin c'est qu'il y a un probleme.

«De même, macOS dispose en sont sein du puissant Packet Filter mais avant de le laisser entre toutes les mains, même avec une interface plaisante, il faut savoir ce qu’on fait.»

Et tu l'utilise comment ce "Packet Filter"?

«La sécurité ne se résume pas à des outils informatiques. C’est avant tout la compréhension du fonctionnement de sa machine et la bonne évaluation de la situation.»
Pourquoi ai-je l'impression que cette phrase contredit tes precedentes?
Cela voudrait dire que pour toi, un utilisateur qui n'a pas une connaissance d'ingenieur en informatique n'a pas le droit d'avoir des outils simples qui lui permettent de beneficier d'une securité...

Ce que je constate, c'est que MacOS et iOS sont des Unix qui hebergent des outils de securité tres efficaces, mais ces outils sont accessibles - au mieux- par le terminal alors que tous le reste est accessible par une interface graphique simplifiant et democratisant l'acces.

avatar PomBreizh | 

@C1rc3@0rc

"Je ne vois pas ce qu'il y a de compliqué pour madame michu a cliquer sur un bouton pour interdire a un soft disons - un traitement de texte ou un editeur d'image - de scanner le disque et de balancer des données sur un serveur?"

A “cliquer sur un bouton” ça allait encore, mais à “scanner le disque” et “serveur” tu as perdu cette chère Madame Michu.

avatar C1rc3@0rc | 

@PomBreizh

Mme Michu: Allo Microsoft, oui, pourquoi Word veut acceder a la liste des applications sur mon disque et c'est quoi l’autorisation de scanner le reseau?

Assistance Technique Microsoft: heu c'est normal, il faut lui dire oui.

Mme Michu: Ah d'accord mais il faut lui dire oui pour quoi?

ATM: heu parce que c'est normal, il faut lui dire oui. Word a besoin de savoir s'il y a une autre instance qui est deja installée sur un des disques de la machine. Oui, a chaque fois que vous l'ouvrez... Oui même si c'est votre fils qui l'a installé la semaine derniere sur votre Mac... Oui, Il va aussi demander de pouvoir faire un scan du reseau pour verifier qu'une meme instance n'est pas deja active sur les autres machine du reseau...

Mme Michu: c'est quoi une instance? Et c'est quoi un scan du reseau? Et c'est quoi les autres machines du réseau

ATM: alors c'est simple, un instance c'est la meme application avec le meme numero de serie qui serait deja installé sur votre machine. C'est la meme chose pour le reseau... Word doit verifier sur le reseau s'il n'est pas deja actif sur une autre machine qui serait relie en reseau local, soit par Wifi, soit par Ethernet

Mme Michu: ah une instance c'est c'est un logiciel... mais j'ai deja cliqué sur Word donc il est actif, je comprend pas. Et de quelle autre machine de quel reseau vous me parlez?

ATM: ...

1 heure plus tard

Mme Michu: pourquoi Word demande aussi d'acceder au carnet d'adresse et veut envoyer le "log" de connexion IP au serveur ....

ATM: ... Bon alors, vous allez dans la barre de menu et vous cliquez sur quitter. Maintenant vous ouvrez le dossier Applications, vous voyez Word, vous le mettez dans la corbeille. Oui dans la corbeille, non vous n'en aurez plus besoin.
Bien maintenant vous ouvrez TextEdit. Ça fonctionne?

Mme Michu: Ah oui, c'est super ça, il me demande rien et je peux taper ma lettre a UFC-Que choisir. Heu c'est quoi TextEdit par rapport a Word?

ATM: Oubliez Word, Dorénavant n'utilisez que TextEdit.

ATM: dites le service interne, a Redmond ils vont arreter quand les conneries - ils vont pas attendre qu'il n'y ait plus de clients quand meme?

avatar Moonwalker | 

Les seules fonctions communes à Hands Off!! et Little Snitch existaient depuis longtemps dans Little Snitch. Je ne promeus d’avantage ni l’un ni l’autres, ce sont deux logiciels parfaitement valables, je souligne simplement encore une fois les approximations de ton discours.

Chacun peut à loisir s’initier à leur fonctionnement et apprendre les principes sur lesquels ils reposent. Là n’est pas la question.

Apple n’a pas obligation à fournir ce genre de logiciel. Apple fourni déjà un ensemble d’outils de sécurité bien suffisants.

Les outils Unix compris dans l’OS, comme Packet Filter, sont documentés chez Apple pour qui veut les utiliser. Des logiciels tiers en proposent des interfaces graphiques. Il n’y a pas de sens pour un OS grand public à compliquer ainsi la vie des utilisateurs alors que le coupe-feu applicatif qui fait déjà un travail suffisant.

À l’époque de Tiger, le coupe-feu par défaut était IPFW. Rien que pour initier une connexion iChatAV c’était tout un pataquès d’ouverture de ports. L’arrivée de Leopard et du coupe-feu applicatif a été une vraie bénédiction.

Maintenant, pour PF, si tu ne sais pas, oublie jusqu’à son existence. Ça vaudra mieux pour toi.
https://connect.ed-diamond.com/GNU-Linux-Magazine/GLMFHS-029/PF-pour-les-nuls

« pourquoi ai-je l’impression... »
Parce que tu as le QI d’une huitre et la culture informatique d’un protozoaire ?

Tu racontes tellement de conneries que c’est à se demander si tu as déjà vu un Macintosh en dehors d’une table d’exposition.

Et non, High Sierra n’est pas une bouse. C’est un très bon macOS en devenir.

avatar C1rc3@0rc | 

@Moonwalker

Au-dela des insultes tu racontes surtout n'importe quoi qui demontre ton ignorance dans le domaine.
Je m'en doutais mais la tu les aligne.

En en plus tu n'as même pas lu l'article que tu cites: «Mais par rapport à son concurrent, Hands Off! va plus loin en surveillant également l'accès aux fichiers que font les applications.» ...en plus du fait de bloquer les connexions entrantes et sortantes, fonctions que reprendra bien longtemps apres Little Snitch...
Et je connais bien l'historique des 2 etant passé de l'un a l'autre au fur a mesure du temps pour finalement me fixer sur Hands off, qui a en plus l'avantage d'un excellent support.

«Apple n’a pas obligation à fournir ce genre de logiciel. Apple fourni déjà un ensemble d’outils de sécurité bien suffisants.»

MacOS, Unix oblige, integre une platée d'outil standards Unix... accessibles via le terminal!
On peut meme en installer d'autres qui manquent via Mac port, le gestionnaire de soft de Freebsd porté sur MacOS, ou via homebrew, son concurrent...

MacOS est (encore) un Unix... normal donc. Par contre elle est ou l'interface graphique qui permet a l'utilisateur d'utiliser tous ces merveilleux outils?
Ah ben y en a pas, ou plutôt y en a plus...

Il restait bien MacOS Server qui rajoutait quelques interface graphiques qui donnaient acces a quelques que trucs bien pratiques, mais voila MacOS Server compte les clous plantés dans son cercueil

Tu tiens a PF, parlons de PF: ah au fait sais tu que PF c'est le packet filter... d'OpenBSD? > https://www.openbsd.org/faq/pf/

Probleme: PF et Application Firewall sont desactivés par defaut... Super efficace hein!
et PF est un outil en ligne de commande... effectivement super accessible pour un utilisateur qui choisi un OS a interface graphique...

«Il n’y a pas de sens pour un OS grand public à compliquer ainsi la vie des utilisateurs alors que le coupe-feu applicatif qui fait déjà un travail suffisant.»

Mais quelle arrogance et mépris pour l'utilisateur.

Pourquoi diable donc maintenir toutes ces commandes qui encombrent l'OS vu que de toute façon l'utilisateur grand public n'en a pas besoin...

T'es au courant que Hands off et Little Snitch s'achetent? Pourquoi a ton avis?

Tu sais qu'il y a des antivirus pour MacOS, des "moniteurs" d'activité, des outils de gestion des disques et du materiels pour MacOS... oui, ça s’achète.
Pourtant la plupart font un travail qu'on peut parfaitement faire en ligne de commandes a grand coup de Bash et Python... Etrange, non.

C'est comme le serveur Apache, hein, vas-y mets un nouveau dossier dans ton compte de session, nomme le "Sites", et hop magie il a une icône dédiée qui apparaît... refux du temps ou MacOS proposait une interface toute simple dans les preferences pour donner a chaque utilisateur un acces local au serveur Apache,... serveur qui existe toujours dans Mac OS, mais qui comme PF est désactivé par défaut et l'interface graphique de gestion a ete purgée... super pratique hein.

Mais oui, on peut le parametrer et le lancer via le Terminal... ou alors on achete un soft qui a une interface graphique pour faire, ou carrément on installe une VM...

Et on peut faire la liste comme ça non stop, y en a des kilometres.

Mais tu en es certain, l'utilisateur n'a pas besoin de tout ça, le role d'un OS c'est de fournir un traitement de texte et une messagerie a sticker, c'est meme ça la base d'un OS moderne...
Et c'est tellement mieux en terme de securité de devoir installer une application tiers pour faire le boulot qu'Apple ne fait plus.

Pourquoi embeter l'utilisateur avec des fonctions, des services, une interface graphique?
Pourquoi lui donner les moyens de s'informer, d'utiliser le potentiel de son Mac et d'avoir les moyens de le securiser, hein franchement.

Apres tout, tu poses l'utilisateur devant un TV et tu le gave de pub, c'est ça l'avenir de l'informatique, c'est ça la promesse de l'OS le plus avancé du monde.
Ridicule.

Sinon tu as la moindre idee de ce que c'est qu'un OS? Et les services qu'il doit fournir?
Tu devrais commencer a lire l'histoire de NeXT, puis embrayer sur Wikipedia et peut etre que d'ici 10 ans tu finiras par savoir qui est A.Tanenbaum et Avi Tevanian.

«Et non, High Sierra n’est pas une bouse. C’est un très bon macOS en devenir.»
On peut dire des conneries, on peut se mettre la tete dans le sable, mais la c'est quand meme celle de l'année avec quelques jours d'avance... dis donc.

T'es le genre plus royaliste que le roi, toi hein?

Apple reconnaît que MacOS HS est une bouse, que le developpement par en sucette, les cadres s'aplatissent d'excuses depuis des mois, mais non, c'est pas vrai, ça se peut pas... et tu hurle en tapant des pieds et te bouchant les oreilles?

A part Windows 3, ou 95, ou encore Vista, t'en connais beaucoup des OS commerciaux qui en ont empilé autant d'aussi ridicules, des graves, d'invraisemblables, d'inexcusables, surtout dans la famille Unix?

avatar Moonwalker | 

Tu crois que parce tu étales ta tartine de sottises qu’elle en est plus pertinente ? Tu te trompes.

T’as besoin du serveur Apache ? Tu sais que c’est et tu l’actives. T’en a pas besoin ? Tu l’ignore. À part des cons, je ne vois pas qui cela peut déranger. Ce n’est pas différent de ce qu’on avait avant. Un sudo apachectl start ne fait pas peur à l’utilisateur avancé ou alors il n’a pas les compétence pour administrer un serveur Apache. Ce n’est pas la disparition d’une case à cocher dans les Préférences Système qui va y changer grand chose.

L’utilisateur avancé connais ses outils et comment s’en servir. L’utilisateur lambda n’en a rien à faire et s’il veut s’initier un jour il lui suffira d’apprendre.

L’histoire de NeXT ? Dans un autre post tu as sorti des conneries monstrueuse sur NeXT. Donc ne me parle pas de NeXT, comme OS X, je le connais bien mieux que toi. À de meilleures sources.

Ton discours anti-Apple, va donc le servir chez MacBidouille tu seras en bonne compagnie de psychopathes. Arrête donc de nous gaver avec tes posts aussi indigestes que ridicules.

avatar C1rc3@0rc | 

@Moonwalker

Quel mepris et aigreur de l'utilisateur tu affiches ligne par ligne...
Un utilisateur qui a besoin d'Apache est un con s'il veut une interface graphique pour le gerer?
Donc Apple qui a realisé une interface graphique dans les versions precedentes le faisait pour les cons?
Et injure suprême, MacOS Server, un truc pour les cons incompétents qui voulaient se prendre pour des administrateurs...

«Ce n’est pas la disparition d’une case à cocher dans les Préférences Système qui va y changer grand chose.»
Alors pourquoi une interface graphique?
Revenons a ligne de commande de DOS, aux commandes clavier a 5 doigts.
Pourquoi faire des fenetres et des boutons, c'est gâcher de l'espace d'affichage...
Pourquoi une souris?
Pendant des décennies les opérateurs de saisie se contentaient d'un clavier...
...
Petit detail de l'Histoire, le pilier d'Apple (et de NeXT) c'est justement l'interface graphique et l'encapsulation des outils Unix sous une interface "user friendly"...
"user friendly" ça doit etre une insulte pour toi, ça doit s'appliquer aux debiles mentaux et aux cons qui veulent utiliser un ordinateur alors qu'ils sont pas informaticiens...

«L’histoire de NeXT ? Dans un autre post tu as sorti des conneries monstrueuse sur NeXT. Donc ne me parle pas de NeXT, comme OS X, je le connais bien mieux que toi. À de meilleures sources.»

C'est vrai que NeXT c'etait juste une console FreeBSD... Pas d'interface graphique, pas d'encapsulation des outils Unix derrières des boutons et panneaux dont Jobs controlait l'esthetique et la coherence...
Aucune chance qu'un soft graphique a destination d'une profession de non informaticien y soit developpé, et a fortiori un truc comme le Web...
...

Surtout tu connais pas grand chose a ce dont du parle, tu es incapable de tenir des arguments ou une logique mais tu te consideres comme une reference et tu meprises ceux qui ne pensent pas comme toi...
Je vois le genre.

Et ils t'ont fait quoi chez Macbidouille? Tu les lis regulierement? Tu aimes te faire claquer? Tu t'es fait virer du site?

avatar getnuts | 

@Mme Michu : Tu peux me passer ton téléphone ? J'ai plus de crédit sur le miens

CONNEXION UTILISATEUR