Le pare-feu intégré à Windows, macOS ou Linux suffit généralement pour protéger un ordinateur portable. Pour le tester correctement, vérifiez les services en écoute, contrôlez les règles actives, effectuez un scan depuis une autre machine et distinguez le pare-feu local de celui de votre box Internet.
Un ordinateur portable change régulièrement de réseau. Il peut se connecter à la box du domicile, au réseau d’une entreprise, à un partage de connexion ou au Wi-Fi d’un hôtel.
Le niveau de confiance ne reste donc jamais le même. Un service de partage acceptable chez vous peut devenir une porte inutilement ouverte dans un café.
Les systèmes modernes intègrent déjà leur propre pare-feu. Il n’est généralement plus nécessaire d’installer un logiciel tiers lourd, bavard et rempli de fenêtres demandant si chaque processus mérite de voir Internet.
En revanche, il reste utile de vérifier que le pare-feu fonctionne réellement et qu’aucun service inattendu n’écoute sur le réseau.
À quoi sert le pare-feu d’un ordinateur portable ?
Un pare-feu filtre les communications réseau selon un ensemble de règles.
Il peut examiner notamment :
- l’adresse IP source ou destination ;
- le protocole utilisé ;
- le port local ou distant ;
- l’application concernée ;
- l’interface réseau ;
- le profil du réseau actif ;
- le sens de la connexion.
Le pare-feu distingue principalement deux types de trafic :
- trafic entrant : une autre machine tente de joindre votre ordinateur ;
- trafic sortant : une application de votre ordinateur contacte un serveur ou un autre appareil.
Les configurations par défaut bloquent généralement les connexions entrantes non sollicitées. En revanche, elles autorisent souvent la plupart des connexions sortantes.
Faut-il installer un pare-feu tiers ?
Pour la majorité des utilisateurs, non.
Windows, macOS et les principales distributions Linux disposent déjà de mécanismes de filtrage fiables. Leur intégration au système offre plusieurs avantages :
- moins de pilotes réseau supplémentaires ;
- moins de risques d’incompatibilité ;
- une consommation de ressources limitée ;
- des mises à jour distribuées avec le système ;
- une meilleure gestion des profils réseau ;
- moins de demandes incompréhensibles adressées à l’utilisateur.
Un produit tiers peut néanmoins se justifier dans quelques cas :
- surveillance détaillée des connexions sortantes ;
- gestion centralisée d’un parc d’ordinateurs ;
- politiques professionnelles très précises ;
- journalisation ou alertes avancées ;
- contrôle applicatif plus strict ;
- besoin réglementaire documenté.
N’installez pas deux pare-feux logiciels concurrents. Plusieurs filtres réseau superposés compliquent le diagnostic et peuvent provoquer des blocages difficiles à reproduire.
Le pare-feu ne remplace pas les autres protections
Un pare-feu réduit l’exposition réseau. Il ne protège pas contre tous les risques.
Il ne remplace pas :
- les mises à jour du système et des applications ;
- la protection contre les logiciels malveillants ;
- le chiffrement du disque ;
- l’authentification multifacteur ;
- les sauvegardes ;
- le chiffrement HTTPS ;
- la prudence face aux pièces jointes et aux faux sites.
Un navigateur compromis peut parfaitement établir une connexion autorisée vers Internet. Le pare-feu ne sait pas toujours distinguer cette communication d’une navigation légitime.
Comprendre les profils Public, Privé et Domaine sous Windows
Windows adapte ses règles au type de réseau détecté.
| Profil | Utilisation | Niveau de confiance |
|---|---|---|
| Domaine | Ordinateur relié à un domaine d’entreprise reconnu | Géré par l’organisation |
| Privé | Réseau domestique ou professionnel de confiance | Partage local éventuellement autorisé |
| Public | Hôtel, gare, café, aéroport ou réseau inconnu | Règles entrantes plus restrictives |
Un Wi-Fi public doit rester classé comme réseau public. Ne le passez pas en privé uniquement pour résoudre rapidement un problème de partage ou d’impression.
Pour voir le profil actif avec PowerShell :
Get-NetConnectionProfileLa colonne NetworkCategory indique si l’interface utilise le profil Public, Private ou DomainAuthenticated.
Vérifier que le pare-feu Windows est actif
Dans Windows 10 ou Windows 11 :
- Ouvrez Sécurité Windows.
- Sélectionnez Pare-feu et protection réseau.
- Vérifiez les profils Domaine, Privé et Public.
- Contrôlez que le profil actif indique un pare-feu activé.
PowerShell permet d’obtenir un état plus précis :
Get-NetFirewallProfile |
Select-Object Name, Enabled, DefaultInboundAction, DefaultOutboundActionLangage du code : JavaScript (javascript)Dans une configuration classique :
- les profils sont activés ;
- le trafic entrant non autorisé est bloqué ;
- le trafic sortant reste autorisé par défaut.
Ne désactivez pas le service du pare-feu Windows. Cette opération peut perturber d’autres composants du système, même lorsqu’un produit tiers gère une partie du filtrage.
Vérifier le pare-feu de macOS
Le pare-feu de macOS filtre principalement les connexions entrantes selon les applications et services autorisés.
Pour vérifier sa configuration :
- Ouvrez le menu Apple.
- Sélectionnez Réglages Système.
- Ouvrez Réseau.
- Sélectionnez Pare-feu.
- Activez le pare-feu s’il est désactivé.
- Ouvrez ses options pour examiner les applications autorisées.
Les options disponibles peuvent notamment :
- bloquer les connexions entrantes non essentielles ;
- autoriser certaines applications ;
- autoriser automatiquement les logiciels signés ;
- activer le mode furtif.
Le mode furtif évite de répondre à certaines requêtes non autorisées, notamment des sondes ICMP. Il ne rend cependant pas le Mac invisible dans toutes les situations.
Vérifier le pare-feu sous Linux
Sous Linux, le filtrage repose généralement sur Netfilter, avec une interface comme nftables, UFW ou firewalld.
Sur Ubuntu, vérifiez UFW avec :
sudo ufw status verbosePour afficher les règles nftables :
sudo nft list rulesetLangage du code : PHP (php)Avec firewalld :
sudo firewall-cmd --state
sudo firewall-cmd --get-active-zones
sudo firewall-cmd --list-allLangage du code : JavaScript (javascript)Évitez de mélanger plusieurs interfaces de gestion sans comprendre leur interaction. Une règle ajoutée directement dans nftables peut disparaître lors du prochain rechargement d’UFW ou de firewalld.
Pour approfondir les anciens mécanismes de filtrage Linux, consultez également comment lister, bloquer et débloquer des adresses IP avec iptables.
Première étape : voir les ports en écoute
Avant de scanner le pare-feu, vérifiez quels programmes attendent réellement des connexions.
Un port ouvert suppose généralement deux conditions :
- un programme écoute sur ce port ;
- le pare-feu laisse passer la connexion.
Si aucun programme n’écoute, ouvrir une règle de pare-feu ne créera pas magiquement un service réseau.
Sous Windows
Get-NetTCPConnection -State Listen |
Sort-Object LocalPort |
Select-Object LocalAddress, LocalPort, OwningProcessLangage du code : JavaScript (javascript)Pour associer un port à son processus :
Get-Process -Id 1234Remplacez 1234 par la valeur de OwningProcess.
La commande classique reste également disponible :
netstat -abnoExécutez le terminal avec les droits administrateur pour obtenir toutes les informations.
Sous macOS
sudo lsof -nP -iTCP -sTCP:LISTENLangage du code : CSS (css)Pour les sockets UDP :
sudo lsof -nP -iUDPSous Linux
sudo ss -lntupLes options affichent les sockets TCP et UDP en écoute, ainsi que les processus associés lorsque les permissions le permettent.
Comprendre les adresses d’écoute
L’adresse associée au port compte autant que le numéro du port.
| Adresse | Signification générale |
|---|---|
127.0.0.1 | Service accessible uniquement depuis la machine locale en IPv4 |
::1 | Service accessible uniquement depuis la machine locale en IPv6 |
0.0.0.0 | Service en écoute sur toutes les interfaces IPv4 |
:: | Service en écoute sur les interfaces IPv6, et parfois aussi IPv4 selon le système |
| Adresse locale précise | Service limité à une interface donnée |
Un service lié uniquement à 127.0.0.1 n’est normalement pas joignable depuis un autre ordinateur. Un service lié à 0.0.0.0 nécessite davantage d’attention.
Deuxième étape : scanner le portable depuis le réseau local
Le test le plus utile consiste à scanner l’ordinateur depuis une autre machine connectée au même réseau.
Cette méthode vérifie conjointement :
- les services en écoute ;
- les règles du pare-feu local ;
- l’accessibilité réelle depuis le réseau ;
- les différences entre profils Public et Privé.
Installez Nmap sur la machine utilisée pour le test, puis récupérez l’adresse IP locale du portable.
Exemple de scan TCP des ports les plus courants :
nmap -sT -Pn 192.168.1.42Langage du code : CSS (css)Pour scanner tous les ports TCP :
nmap -sT -Pn -p- 192.168.1.42Langage du code : CSS (css)Pour identifier les services détectés :
nmap -sT -Pn -sV 192.168.1.42Langage du code : CSS (css)Un scan UDP complet prend beaucoup plus de temps. Commencez par les ports les plus courants :
sudo nmap -sU -Pn --top-ports 100 192.168.1.42Langage du code : CSS (css)Effectuez uniquement ces tests sur vos propres machines ou sur un réseau pour lequel vous disposez d’une autorisation.
Interpréter les résultats de Nmap
Nmap utilise plusieurs états. Les trois principaux sont :
| État | Interprétation |
|---|---|
open | Un service accepte les connexions sur ce port |
closed | La machine répond, mais aucun service n’écoute sur ce port |
filtered | Un filtre empêche Nmap de déterminer si le port est ouvert |
Un port fermé n’est pas nécessairement un problème. Il confirme que la machine est joignable, mais qu’aucun service n’accepte la connexion.
Un port filtré indique souvent que le pare-feu ignore silencieusement les paquets. Cette stratégie est parfois qualifiée de mode furtif.
Le mot open ne signifie pas automatiquement « vulnérable ». Il signifie qu’un service est accessible. Il faut ensuite déterminer :
- quel programme écoute ;
- si cette accessibilité est nécessaire ;
- si elle doit être limitée au réseau privé ;
- si le service est correctement configuré ;
- si ses mises à jour sont installées.
Troisième étape : tester un port précis
Pour un contrôle rapide, vous n’avez pas toujours besoin d’un scan complet.
Depuis Windows avec PowerShell
Test-NetConnection 192.168.1.42 -Port 445Langage du code : CSS (css)La propriété TcpTestSucceeded indique si la connexion TCP a réussi.
Depuis macOS ou Linux avec netcat
nc -vz 192.168.1.42 445Langage du code : CSS (css)Ce test indique simplement si le port accepte une connexion TCP. Il ne réalise pas une analyse de vulnérabilité du service.
Tester depuis Internet : attention à ce que vous mesurez
Les services de scan en ligne envoient des paquets vers votre adresse IP publique.
Dans un réseau domestique classique, cette adresse appartient à la box ou au routeur. Le test mesure donc d’abord :
- le pare-feu du routeur ;
- les redirections de ports ;
- l’exposition éventuelle de l’administration distante ;
- la réponse de l’adresse IPv4 publique ;
- certains comportements liés à IPv6.
Il ne teste le pare-feu du portable que si le trafic est réellement transmis jusqu’à celui-ci.
Cette distinction explique pourquoi deux ordinateurs situés derrière la même box obtiennent souvent le même résultat sur un service comme ShieldsUP.
Utiliser ShieldsUP avec discernement
ShieldsUP peut tester plusieurs ports courants depuis l’extérieur de votre réseau.
Il distingue généralement trois résultats :
- Open : une connexion a été acceptée ;
- Closed : l’équipement a répondu qu’aucun service n’écoutait ;
- Stealth : aucune réponse exploitable n’a été reçue.
Un résultat entièrement furtif peut confirmer que la box ignore les sondes entrantes. Il ne prouve pas que le portable est parfaitement sécurisé.
Pour tester réellement le portable depuis Internet, il faudrait notamment :
- une adresse publique directement attribuée à la machine ;
- une redirection de port vers le portable ;
- une connectivité IPv6 publique ;
- ou une seconde connexion Internet utilisée comme source du scan.
N’ouvrez pas volontairement plusieurs ports uniquement pour obtenir un test plus spectaculaire. Le diagnostic ne mérite pas de créer le problème qu’il cherche à détecter.
IPv4, NAT et IPv6 : trois situations différentes
Le fonctionnement du test dépend fortement de l’adressage réseau.
IPv4 derrière une box
Le portable utilise généralement une adresse privée comme 192.168.x.x. La box possède l’adresse publique et effectue une traduction d’adresses, appelée NAT.
Sans redirection de port, une connexion entrante depuis Internet n’atteint normalement pas le portable.
IPv4 derrière un CGNAT
Certains opérateurs placent plusieurs abonnés derrière une même adresse publique. Les connexions entrantes deviennent alors encore plus difficiles à établir directement.
Un test externe mesure surtout l’infrastructure de l’opérateur et la passerelle partagée.
IPv6 public
Avec IPv6, le portable peut recevoir une adresse globalement routable sans NAT.
Le pare-feu du routeur et celui du système deviennent alors particulièrement importants. Une absence de redirection de port IPv4 ne protège pas automatiquement les services accessibles en IPv6.
Testez donc séparément IPv4 et IPv6 lorsque votre connexion prend en charge les deux protocoles.
Tester les connexions sortantes
Les pare-feux intégrés autorisent généralement les connexions sortantes. Cette configuration évite de demander une décision à chaque ouverture de navigateur, mise à jour ou synchronisation.
Le contrôle sortant devient utile lorsque vous souhaitez :
- empêcher une application précise d’accéder à Internet ;
- limiter les communications vers certaines adresses ;
- détecter un logiciel qui contacte des serveurs inattendus ;
- isoler un programme ancien ;
- appliquer une politique professionnelle stricte.
Cependant, un simple message indiquant qu’un programme tente d’accéder à Internet ne suffit pas. De nombreuses applications utilisent des services système, des CDN et des processus partagés.
Un contrôle sortant trop agressif peut bloquer :
- les mises à jour de sécurité ;
- la résolution DNS ;
- la synchronisation de l’heure ;
- les certificats ;
- les notifications ;
- la connexion à des comptes ;
- les services cloud.
Créez des règles explicites et documentées plutôt que de bloquer au hasard les processus dont le nom semble inquiétant.
Tester une règle sortante sous Windows
Windows permet de créer une règle sortante dans l’interface avancée du pare-feu.
- Recherchez Pare-feu Windows Defender avec fonctions avancées de sécurité.
- Ouvrez Règles de trafic sortant.
- Cliquez sur Nouvelle règle.
- Choisissez Programme.
- Sélectionnez l’exécutable à tester.
- Choisissez Bloquer la connexion.
- Sélectionnez les profils concernés.
- Attribuez un nom explicite à la règle.
Lancez ensuite l’application et vérifiez que sa communication échoue.
Supprimez ou désactivez la règle après le test. Une règle oubliée aujourd’hui devient volontiers un dépannage incompréhensible dans six mois.
Sécuriser un portable sur un Wi-Fi public
Le pare-feu joue un rôle important sur un réseau public, mais quelques réglages complémentaires apportent davantage de protection.
- Utilisez le profil réseau public.
- Désactivez le partage de fichiers si vous n’en avez pas besoin.
- Désactivez la découverte réseau.
- Évitez les services d’administration accessibles sur toutes les interfaces.
- Maintenez le système et le navigateur à jour.
- Utilisez HTTPS.
- Activez le chiffrement complet du disque.
- Refusez les demandes de partage inattendues.
- Supprimez les réseaux publics enregistrés lorsque vous ne les utilisez plus.
- Utilisez un VPN lorsque vous devez accéder à une infrastructure privée.
Un VPN ne remplace pas le pare-feu. Il chiffre une partie du trafic et modifie son chemin, tandis que le pare-feu décide quelles connexions sont autorisées.
Services à surveiller sur un ordinateur portable
Certains services sont légitimes sur un réseau privé, mais méritent une attention particulière sur un réseau public.
| Service | Ports courants | Question à se poser |
|---|---|---|
| Partage SMB | TCP 445 | Le partage doit-il être accessible sur ce réseau ? |
| Bureau à distance | TCP 3389 | L’accès est-il limité aux réseaux ou adresses nécessaires ? |
| SSH | TCP 22 | Le serveur SSH doit-il fonctionner sur le portable ? |
| VNC | TCP 5900 et suivants | Le contrôle distant est-il réellement utilisé ? |
| AirPlay et services Apple | Ports variables | Le partage local doit-il rester actif hors du domicile ? |
| Serveur de développement | 3000, 5173, 8000, 8080 | Le serveur écoute-t-il seulement sur localhost ? |
| Bases de données | 3306, 5432, 6379 | Le service doit-il être exposé sur le réseau ? |
Pour un environnement de développement, liez de préférence les services à 127.0.0.1 plutôt qu’à toutes les interfaces.
Que faire lorsqu’un port inattendu est ouvert ?
- Identifiez le processus qui écoute.
- Déterminez à quelle application il appartient.
- Vérifiez l’adresse d’écoute.
- Confirmez que le service est nécessaire.
- Désactivez le service inutile à sa source.
- Limitez son écoute à localhost ou au réseau privé lorsque c’est possible.
- Ajoutez une règle de pare-feu adaptée.
- Relancez le scan depuis une autre machine.
Il vaut mieux désactiver proprement un service inutile que compter uniquement sur le pare-feu pour le cacher.
Cette approche réduit l’exposition et évite qu’une future modification des règles rende soudainement le service accessible.
Un port ouvert signifie-t-il que l’ordinateur est piraté ?
Non.
Un port ouvert indique seulement qu’un programme accepte des connexions. Cette situation peut être parfaitement normale pour un service de partage, un serveur SSH ou un outil de développement.
Le risque dépend ensuite :
- du programme concerné ;
- de sa version ;
- de son authentification ;
- de son exposition ;
- du réseau sur lequel il est accessible ;
- des vulnérabilités connues ;
- des données qu’il permet d’atteindre.
À l’inverse, un scan ne montrant aucun port ouvert ne garantit pas l’absence de logiciel malveillant. Un programme peut uniquement établir des connexions sortantes et rester invisible à ce type de test.
Les erreurs fréquentes lors d’un test de pare-feu
Tester uniquement depuis le portable lui-même
Une connexion vers localhost ne traverse pas nécessairement les mêmes règles qu’une connexion venant du réseau.
Utilisez une seconde machine pour mesurer l’exposition réelle.
Confondre la box et le pare-feu local
Un scanner en ligne atteint généralement votre adresse publique. Il peut donc tester uniquement le routeur, surtout en IPv4.
Tester seulement IPv4
Une machine bien protégée derrière le NAT IPv4 peut rester accessible en IPv6 si les règles correspondantes sont absentes.
Désactiver le pare-feu pour résoudre un problème
Cette méthode indique seulement que le pare-feu intervient. Elle ne permet pas d’identifier la règle correcte.
Créez plutôt une autorisation limitée à l’application, au port, au profil et aux adresses nécessaires.
Croire que « stealth » signifie invulnérable
Un appareil silencieux face aux scans peut encore contenir des logiciels vulnérables, établir des connexions sortantes dangereuses ou exposer des services sur un autre protocole.
Méthode complète de test
- Installez les mises à jour du système.
- Vérifiez que le pare-feu est actif.
- Contrôlez le profil réseau utilisé.
- Listez les ports TCP et UDP en écoute.
- Identifiez les processus associés.
- Désactivez les services inutiles.
- Scannez le portable depuis une autre machine du réseau.
- Testez les ports importants séparément.
- Vérifiez IPv4 et IPv6.
- Contrôlez la box et ses redirections de ports.
- Testez les règles sortantes particulières si nécessaire.
- Consultez les journaux du pare-feu.
- Relancez les scans après chaque modification.
Checklist pour un ordinateur portable sécurisé
- Le pare-feu du système reste activé.
- Les Wi-Fi inconnus utilisent le profil public.
- Le partage de fichiers est désactivé sur les réseaux publics.
- Les services de développement écoutent sur localhost.
- Aucun port inattendu n’est accessible depuis le réseau local.
- Les redirections de ports de la box sont documentées.
- IPv6 a été vérifié séparément.
- Les applications et le système sont à jour.
- Les règles personnalisées portent des noms explicites.
- Les anciennes règles inutiles ont été supprimées.
- Le disque est chiffré.
- Les sauvegardes sont opérationnelles.
Retour sur les pare-feux personnels des années 2000
La première version de cet article comparait Outpost Professional, McAfee Personal Firewall et Look ’n’ Stop sur un ordinateur portable.
À l’époque, les pare-feux personnels tiers jouaient un rôle beaucoup plus visible. Ils demandaient souvent à l’utilisateur d’autoriser chaque application et mettaient en avant leur faible consommation de mémoire.
Look ’n’ Stop avait remporté mon comparatif grâce à sa légèreté et à son système de règles téléchargeables. Cette recommandation appartient désormais à l’histoire du logiciel Windows.
Les pare-feux intégrés aux systèmes modernes offrent aujourd’hui une meilleure base pour la majorité des portables. Le vrai travail consiste moins à choisir un produit qu’à comprendre les profils réseau, les services exposés et les résultats des scans.
Questions fréquentes
Le pare-feu Windows suffit-il pour un ordinateur portable ?
Oui, dans la majorité des cas. Il est intégré au système, activé par défaut et adapte ses règles aux profils Domaine, Privé et Public. Un pare-feu tiers devient surtout utile pour des besoins avancés de contrôle sortant ou de gestion centralisée.
Comment savoir quels ports sont ouverts sur mon ordinateur ?
Listez d’abord les ports en écoute avec PowerShell, lsof ou ss. Scannez ensuite la machine depuis un autre ordinateur avec Nmap afin de déterminer lesquels sont réellement accessibles sur le réseau.
ShieldsUP teste-t-il le pare-feu de mon portable ?
Pas nécessairement. Le service sonde l’adresse IP publique. Sur un réseau domestique IPv4, il teste principalement la box et ses redirections de ports. Le portable n’est testé que si le trafic lui parvient.
Quelle différence existe-t-il entre un port fermé et filtré ?
Un port fermé répond qu’aucun service n’écoute. Un port filtré ne fournit pas assez de réponse pour déterminer son état, généralement parce qu’un pare-feu bloque ou ignore les paquets.
Un port ouvert représente-t-il toujours une faille ?
Non. Il indique qu’un service accepte les connexions. Le risque dépend du programme, de sa configuration, de ses mises à jour, de son authentification et des réseaux depuis lesquels il reste accessible.
Faut-il activer le mode furtif sur macOS ?
Le mode furtif peut réduire les réponses aux sondes non autorisées. Il complète le pare-feu, mais ne remplace pas la désactivation des services inutiles ni les mises à jour du système.
Un VPN remplace-t-il le pare-feu ?
Non. Le VPN chiffre et achemine le trafic vers un serveur distant. Le pare-feu filtre les connexions autorisées ou bloquées sur l’ordinateur et le réseau.
Conclusion
Tester un pare-feu ne consiste pas seulement à ouvrir un site qui affiche une rangée de voyants verts.
Commencez par vérifier les services en écoute. Scannez ensuite le portable depuis une autre machine, contrôlez les profils réseau et distinguez toujours le pare-feu local de celui de la box.
Le pare-feu intégré au système suffit généralement. Une configuration simple, comprise et testée offre davantage de sécurité qu’une suite compliquée remplie de règles oubliées.
Sources
- Microsoft : présentation du Pare-feu Windows
- Microsoft : règles et recommandations du Pare-feu Windows
- Apple : modifier les réglages du pare-feu sur Mac
- Apple Platform Security : sécurité du pare-feu dans macOS
- Nmap : guide de référence officiel
- Gibson Research Corporation : ShieldsUP
- Ubuntu Server : configuration des pare-feux
- firewalld : documentation officielle
J’ai look and stop et il est très (trop) efficace ^^
Ce que j’aime par dessus tout chez LnS c’est son côté peu gourmand en ressource. Très agréable et discret. Par contre, il est vrai qu’il a fallu relâcher un peu la bride parce que par défaut, rien ne passe ;-)
Oui ^^, j’ai eu du mal a le configurer ^^