J’espère ne pas raconter trop de bêtises
quel est ton avis
Il me semble que tu as plutôt bien compris la chose et que tu n'as pas raconté trop de bêtises. Je reformule, histoire qu'on soit bien en phase...
Il y a en fait deux aspects à voir
1. Concernant les box, réseaux privées, etc
Ton fournisseur d'accès (en l'occurrence Orange) donne une adresse IP (et une seule) à ta connexion. Cette adresse IP (publique) est attribuée à ta box. Toute tentative de connexion de n'importe où sur Internet vers ton adresse IP atterrira sur ta box.
De son côté, ta box gère un réseau privé. Privé, cela veut dire que ce sont des adresses IP non routables sur Internet, inaccessibles si on n'est pas déjà dans ton réseau. Ton PC a donc une adresse IP privée et est injoignable à partir d'Internet.
Lorsque toi tu essaies d'accéder à Internet, tes requêtes (avec comme adresse IP source ton adresse privée) traversent ta box. Ta box transforme alors tes requêtes pour faire croire qu'elles proviennent d'elle (sinon, si elle laissait ton adresse IP privée comme source, personne ne saurait te répondre), les réponses lui sont ensuite adressées, elle te les renvoie.
Tant que tu n'as pas configuré ta box pour rediriger certains ports (de l'adresse publique) vers ta machine (adresse privée), alors les gens sur Internet n'auront pas de moyen d'accéder à ton ordinateur.
2. Concernant les ports, ouverts ou fermés
Ici, on voit la chose indépendamment de l'adressage des réseaux. Imaginons que ton ordinateur est joignable. Par exemple, tu es sur un réseau wifi public au Mac Donald's, il est possible qu'il y ait un pirate deux tables plus loin.
Un pirate ne pourra entrer sur ton ordinateur si et seulement si il y a un port ouvert. Un port ouvert, ce n'est pas un concept lié au pare-feu. Un port ouvert, c'est un port où un logiciel est en écoute. On parle alors d'un logiciel serveur.
À partir du moment où il n'y a aucun serveur installé sur ton ordinateur, tu n'as aucun port ouvert. À partir du moment où tu n'as aucun port ouvert, le pirate ne pourra pas pénétrer ta machine. Mettre un pare-feu est une protection inutile.
Faisons une analogie avec une maison...
Imagine que ton ordinateur est une maison. Il y a plein d'endroit où construire une porte, dans une maison. Mais à partir du moment où tu ne mets aucune porte (aucun port ouvert), alors aucun cambrioleur ne pourra rentrer.
Fermer les ports avec un pare-feu, ça revient à construire un mur devant une porte. S'il n'y a pas de porte, alors tu construis un mur devant un mur : c'est inutile !
En fait, un pare-feu ça devient utile à partir du moment où tu installes (souvent à tort et à travers) des logiciels serveurs : tu peux alors murer (fermer les ports) des portes que tu auras consciemment construites (logiciels en écoute).
quand j'utilise un peu mon Qbittorrent, pendant les 3/4 jours qui suivent, mon dmesg m'indique tout un tas de blocages d'IP ivoiriennes, coréennes ou russes quand je démarre. Pourtant je suis derrière une freebox en DHCP
Ben oui mais c'est le principe même de BitTorrent ! BitTorrent, c'est un logiciel de partage de fichiers en peer-to-peer. À partir du moment où tu lances un client BitTorrent, la box s'en rend compte et dirige vers ton ordinateur les connexions BitTorrent entrantes. C'est normal, c'est comme ça que BitTorrent fonctionne.
Imagine une seule seconde si tout le monde faisait comme toi : BitTorrent ne pourrait pas exister, car personne n'accepterait les requêtes. En fait, tu te places en parasite sur le réseau BitTorrent car tu te connectes aux autres mais tu interdis aux autres de se connecter à toi !
Il y a bien sûr plusieurs failles de sécurité sur les box [...]
Oui, ce sont des Linux comme les autres. Mais, encore une fois, tant qu'il n'y a pas de port ouvert, il n'y a pas moyen d'entrer. Les failles portant uniquement sur le noyau (et ne nécessitant donc pas de port en écoute) ne permettent quasiment jamais d'entrer sur la machine (il s'agit souvent plutôt d'attaques de type DoS), et lorsqu'elles risque de peut-être pouvoir permettre de pénétrer sur la machine, les exploiter est extrêmement ardu, voire impossible.
il est évident qu'activer le pare-feu sous Ubuntu est une priorité
Sous Ubuntu ou n'importe quelle distributions Linux, il est évident que le pare-feu n'est pas une priorité, pour toutes les raisons que j'ai évoquées.
mais ça c'est quand on parle de sécurité des réseaux pour le moins sérieuse, après les gens qui te diront que ça sert à rien, mmmm...
Je ne sais pas quelles sont tes compétences pour pousser de cette manière la mise en place inconditionnelle d'un pare-feu. Pour ma part, cela fait plus de 10 ans que mon domaine d'expertise c'est les infrastructures et la sécurité de systèmes utilisant des logiciels libres, en particulier des systèmes sous Debian (dont Ubuntu est un dérivé). Je ne peux que dire que je sais de quoi je parle. Attention, je ne dis pas qu'un pare-feu c'est inutile dans l'absolu. Je dis qu'un pare-feu sur une distribution Ubuntu par défaut, c'est inutile.
Sort-on sans vêtement dans notre jardin visible par les voisins (sans pour autant qu'ils puissent nous atteindre facilement ?) Évidemment non
Mauvaise approche de cette analogie.
Si on prend l'analogie des vêtements, alors par défaut on est habillé et installer un logiciel serveur c'est enlever un vêtement : c'est uniquement si on montre volontairement son nombril (on installe un logiciel serveur) qu'un peut vouloir le recouvrir d'un manteau (un pare-feu)... Mais alors, pourquoi se dévêtir le nombril (installer un serveur) si c'est pour mettre un manteau (pare-feu) !? Autant ne pas se dévêtir (ne pas installer de serveur).
