OpenSnitch : le pare-feu indispensable pour Linux

Lorsqu’il s’agit de protéger votre système Linux contre les connexions réseau indésirables, il est essentiel de disposer d’un bon pare-feu. Bien que la plupart des utilisateurs de Linux utilisent des pare-feu traditionnels comme iptables, firewalls ou ufw, ceux-ci fonctionnent généralement au niveau du réseau et ne permettent pas de contrôler en détail les applications qui peuvent se connecter à l’internet.

C’est là qu’intervient OpenSnitch, un pare-feu applicatif GNU/Linux conçu pour vous permettre de contrôler vos connexions sortantes par application. Dans cet article, nous allons explorer ce qu’est OpenSnitch, comment il aide à sécuriser votre PC sous Linux, et vous guider à travers des étapes simples d’installation et d’utilisation.

Qu’est-ce qu’OpenSnitch ?

OpenSnitch est un pare-feu applicatif open-source pour Linux, inspiré du populaire Little Snitch sur macOS. Il surveille les connexions réseau sortantes et vous alerte dès qu’un programme tente de se connecter à Internet. Vous pouvez alors décider d’autoriser ou de bloquer la connexion.

Pourquoi utiliser OpenSnitch ?

• Gérer les requêtes réseau sortantes, application par application.
• Voir quelles applications se connectent à quels serveurs, IP et domaines.
• Entièrement gratuit, avec un code disponible sur GitHub.
• Interface graphique facilitant la gestion des règles.
• Empêche les applications suspectes d’envoyer des données à votre insu.

Contrairement aux pare-feu traditionnels qui se concentrent sur le trafic entrant ou sur des règles générales, OpenSnitch se concentre sur les connexions sortantes et sur les applications qui les génèrent, ce qui le rend idéal pour les utilisateurs qui souhaitent mieux contrôler ce qui sort de leur système.

Installer OpenSnitch sur Linux

OpenSnitch est officiellement disponible sous forme de paquetage pour de nombreuses distributions Linux comme Ubuntu, Debian, Fedora, Arch Linux, et bien d’autres.

Tout d’abord, rendez-vous sur la page de publication officielle de GitHub pour télécharger les derniers fichiers de paquets pour votre distribution :

• Pour Debian/Ubuntu → fichiers .deb.
• Pour Fedora/CentOS/RHEL → fichiers .rpm.
• Pour Arch Linux → utilisez sudo pacman -S opensnitch.

OpenSnitch se présente sous la forme de deux paquets :

• Le démon de pare-feu principal (opensnitch).
• L’interface graphique optionnelle (python3-opensnitch-ui ou opensnitch-ui).

Comment fonctionne OpenSnitch

Une fois installé et lancé, OpenSnitch surveille chaque connexion sortante effectuée par vos applications. La première fois qu’une nouvelle application tente d’accéder à l’internet, OpenSnitch vous demandera par une fenêtre contextuelle ce qu’il faut faire.

Vous verrez :

• Le nom de l’application et son chemin d’accès.
• L’adresse IP ou le domaine auquel elle tente de se connecter.
• Le port utilisé.

Vous pouvez alors choisir de

• Autoriser une fois
• Bloquer une fois
• Toujours autoriser
• Toujours bloquer

Il est ainsi très facile de contrôler l’accès au réseau en fonction de l’application et de la destination.

Prenons un exemple avec l’utilisation du navigateur Firefox : supposons que vous ouvriez Firefox et qu’il essaie de se connecter à Internet.

OpenSnitch affichera une invite du type :

• App : /usr/lib/firefox/firefox
• Destination : 93.184.216.34 (example.com)
• Port : 443 (HTTPS)

Vous pouvez choisir « Toujours autoriser » pour que Firefox puisse accéder au web sans autre forme de procès. Si vous n’êtes pas sûr de l’application ou de la destination, vous pouvez sélectionner « Bloquer une fois » ou « Toujours bloquer ».
OpenSnitch vous avertit de la présence d’une nouvelle application sur InternetOpenSnitch vous avertit de la présence d’une nouvelle application sur Internet.

Gestion des règles

Les règles sont créées chaque fois que vous approuvez ou refusez une connexion.

Vous pouvez les gérer facilement dans l’interface graphique :

• Visualiser les règles existantes.
• Les modifier ou les supprimer.
• Les organiser par application ou par domaine.
• Désactiver temporairement des règles ou le pare-feu dans son intégralité.

OpenSnitch stocke ces règles dans des fichiers texte, vous pouvez donc les éditer manuellement si nécessaire (généralement dans /etc/opensnitch/rules/).

Conclusion

Vous l’aurez compris, OpenSnitch est un outil puissant qui apporte à Linux une pièce manquante en matière de sécurité : la possibilité de contrôler le trafic sortant au niveau de l’application. Il s’agit d’un logiciel libre, activement développé, qui fonctionne sur plusieurs distributions Linux avec un minimum d’installation.

Avec la dernière installation basée sur des paquets, il est bien plus facile à utiliser. Que vous soyez un défenseur de la vie privée ou que vous souhaitiez simplement sécuriser votre système, OpenSnitch vous offre la visibilité et le contrôle dont vous avez besoin.