McAfee Internet Security 5.0 FR

La société dans laquelle je suis employé actuellement a acheté ce pare-feu.
Je l'ai emprunté le temps de faire mes tests.

La dernière version en date est la 6.0. Je tiens à préciser que la version que j'utilise ne semble plus supportée par McAfee et vous comprendrez pourquoi je signale ce point important.

Installation

Ah, ça en jette, les écrans d'installation McAfee.

Ils ont soigné le design de leurs applications. Quand je pense que je connais VirusScan depuis près de 10 ans... Ca me rajeunit pas tout ça :o)

Internet Security de McAfee intègre McAfee Firewall et VirusScan plus une interface pour relier les deux, un petit peu dans le même état d'esprit que Norton Internet Security.

Autant vous l'annoncer tout de suite, je n'aime pas ce pare-feu ! Je travaille sur une machine configurée avec ce pare-feu. Elle me bloque l'accès à un serveur de tests, les pages mettent une trentaine de secondes pour se charger alors que mon portable posé à un mètre affiche les pages de manière instantanée. Et non, mon ordinateur n'est pas une relique du siècle dernier !

Bon, on installe et on verra ce que ça donne. Je pars avec quelques à priori, mais je tiens à rester le plus neutre possible dans mes tests.

Comme toujours, je fais une installation standard.

Tiens tiens... Je pense que j'ai trouvé la principale raison des blocages que j'ai rencontré sur les forums Easyphp avec ce pare-feu.

D'ailleurs, je pense que c'est ce paramètre là qui réglé trop vite avait bloqué une personne que je suis allé dépanner sur site.

Ce qui a ensuite donné lieu à mon embauche !

Ici, il ne faut en aucun cas autoriser tout le trafic, ça reviendrait à désactiver le pare-feu et rendre la machine sensible à toutes les attaques.

Il ne faut pas non plus tout bloquer sous peine de ne plus pouvoir naviguer !

Il faut donc filtrer tous les flux.

 

 

C'est ici que vous allez donner la couleur des évènement à suivre. Une bonne partie de la configuration se fait dans ces quelques étapes.

A noter qu'en cas d'erreur, une fois configuré, il est possible de modifier la configuration à tout moment en reprenant le même assistant.

Je trouve cette idée géniale dans le sens où on sait où on s'est trompé. Pas besoin de fouiller dans tous les recoins du logiciel, on reprend le processus du début et on corrige.

Finalement, j'ai peut-être été trop méchant avec ce brave pare-feu :o)

 

Bon, ici, j'ai pris le cas d'une machine connectée directement à Internet sans réseau local (ce qui n'est pas réellement le cas !)

Il ne faut RIEN autoriser et passer à l'étape suivante.

L'interface est simple, les questions sont faciles à comprendre, les étapes défilent très vite, et ça fait plaisir de ne pas passer trop de temps par écran, même si finalement toute la configuration prend du temps !

Alors là, je sais pas trop comment McAfee a fait ça ! Je pense qu'ils ont du scruter toutes les entrées du menu démarrer pour trouver tous les programmes pour ensuite demander si on veut les autoriser à se connecter.

 

J'ai trouvé Easyphp qui était déjà installé, je l'ai autorisé.

A savoir que l'autorisation n'est valable que pour le manager.

On notera par ailleurs qu'il n'a pas détecté Apache, ni MySql.
Ce n'est pas vraiment important, c'est juste pour le signaler.

 

Je vous passe la configuration complète d'Internet Security pour plutôt m'axer sur le pare-feu.

Ici, Internet Security permet de :

  • Bloquer les cookies indirects
  • Bloquer les popups
  • Bloquer les pubs RealMedia !
  • Nettoyer le cache
  • Protéger les comptes bancaires (eBay par ex.)
  • Gestion des utilisateurs

En gros, c'est un outil qui se veut global. Dans la même lignée que Norton Internet Security.

A noter qu'il coute la modique somme de 75 euros pour la version 6.0...

 

Comme presque tous les pare-feux, un redémarrage plus tard, le programme commence à travailler tranquillement.

Il a détecté que ma machine avait les ports NetBIOS ouverts (volontairement laissés ouverts pour les scans) mais sans aucun partage.

Ici, je me place dans le cas d'un ordinateur isolé, et il FAUT bloquer les entrées.

Vu le nombre de requêtes que j'aurais reçu sur ce port, j'ai préféré ne pas recevoir d'alertes. Au moins, c'est réglé une bonne fois pour toutes !

C'est le seul pare-feu qui m'a posé la question de cette manière. Les autres se sont contentés de fermer un port sans se soucier de ce qu'il y avait derrière.

Finalement, il doit être bien ce McAfee malgré le fait qu'il m'a empoisonné pendant près de 6 mois !!!

 

Bon, je m'apprête à entamer l'étape suivante, à savoir le scan de la machine.

McAfee me demande que faire de la demande de connexion de putty.

Ici, c'est un programme que j'ai lancé volontairement, qui est fait pour se connecter en réseau, je l'autorise donc et garde ces paramètres en mémoire.

McAfee ne précise pas quel genre de connexion le programme cherche à initier.

Donc, dans le cas d'un "empoisonnement" du programme par un autre et qu'on ne fasse pas gaffe, on autorise un troyen ! McAfee a quand même mis une protection.

Dès qu'une application change de taille, de contenu, d'emplacement, la question est posée pour rautoriser le programme. Il faut prendre le temps de lire entre les lignes dans ce cas-là.

Mais ici, le programme est suffisant. On peut personnaliser les autorisations avec le bouton qui va bien. Qu'on retrouvera plus tard quand la lutte commencera !

Tests nmap à ce stade de l'installation

McAfee détecte en quelques dizaines de secondes le scan... Seul problème, il détecte le scan, mais il laisse le port 1025 ouvert !

C'est à n'y rien comprendre. Le port 1025 est habituellement occupé par svchost.exe.

J'ai tout essayé : Blocage du port pour svchost.exe, blocage complet de svchost.exe, la règle semble ne pas agir.

La configuration aurait peut-être marché au prochain redémarrage, mais tous les autres pare-feux ont globalement marché du premier coup.

Ce qui me dérange le plus, c'est que le port non filtré est un port OUVERT alors que tous les autres ports trouvés trouvés étaient FERMES. C'est donc une faille importante en terme de sécurité.

Je n'ai trouvé aucune solution pour bloquer ce port !

 

Tiens tiens...
En fouillant dans les options du pare-feu, on trouve des fonctionnalités intéressantes ! Comme ici, la mise en liste noire automatique.

Cela permet de bloquer un assaillant une bonne fois pour toutes.

J'ai volontairement désactivé cette fonction pour avoir les résultats des tests, mais dans un cas réel, il faudrait l'activer pour se sécuriser. Peut-être que ça permettrait de bloquer le port 1025 trouvé ci-dessus !!!

Un lien permet d'accéder à la liste noire des adresses IP pour les débloquer ou configurer le blocage.

Cette fonctionnalité n'est pas dans beaucoup de pare-feux, et personnellement, j'adore ce genre de petits plus..

Installation d'Easyphp

Bon, pas besoin d'expliquer en détail qu'il faut autoriser les deux applications de manière permanente.
Sauf qu'en faisant de la sorte, on voit tout de suite les problèmes venir !

Franchement, j'ai fouillé dans toute la configuration. J'ai commencé mon test vers 21h30, il est bientôt 00h30 et je tape cette page.

J'ai tout tenté, impossible de bloquer le port 80 de l'extérieur sans bloquer l'intérieur.

Je suis même allé jusqu'à ne créer qu'une seule règle :

BLOQUER TOUT TRAFIC ENTRANT !

Et ça marchait encore !

J'ai peut-être loupé quelque chose, mais franchement, je ne sais pas où et j'en ai marre de chercher !

J'ai abandonné bien plus vite pour d'autres pare-feux, je ne vois pas pourquoi je passerais ma nuit pour régler ses problèmes.

 

Au passage, ce gentil McAfee ne m'a rien demandé concernant les requêtes extérieures. Par contre il a demandé à autoriser Apache à interroger MySql (pas besoin de mettre l'image, y en a déjà trop !)

Conclusion

Ma môman, elle m'a toujours appris que c'est pas bien de mentir !!!

Plus sérieusement, je trouve honteux que l'outil de test ose dire que la machine est sécurisée alors que deux ports sensibles sont laissés ouverts au grand public !

 

McAfee a fait un pack d'outils qui aurait pu donner un résultat détonant. Manque de bol, ça a fait l'effet d'un pétard mouillé car le pare-feu n'est pas efficace.
Par contre, pour tout le reste, McAfee a fait un très bon outil. L'antivirus est efficace, le contrôle des utilisateurs est satisfaisant, la gestion de la confidentialité est bonne voire trop ! L'outil est configurable sur beaucoup de critères, et beaucoup d'écrans.

Je pense que là, il y a eu un monumental ratage avec McAfee Firewall, et les notes vont s'en ressentir. Peut-être est-ce la raison de la sortie de McAfee Internet Security 6.0 si rapide !
Néanmoins, le pare-feu détecte les scans, gère les listes noires, vérifie les applications et fait plein d'autres choses remarquables. Beaucoup de fonctionnalités fonctionnent et sont efficaces, mais malheureusement, la principale a des ratées.

[EDITION le 04/03/2004]

Après une séance de chat avec un technicien McAfee, j'ai obtenu les "réponses" que j'espérais.
A savoir qu'apparemment, la version que j'utilise est buggée et qu'il aurait fallu mettre à jour voire payer la version suivante !
Vous pouvez consulter le contenu intégral de la session de chat ICI.

[/EDITION]