<div class="gmail_quote">2012/3/23 Gilbert Dion <span dir="ltr"><<a href="mailto:gilbertdion@gmail.com">gilbertdion@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div>Bonjour,<br></div><div><br></div><div>J'ai un réseau domestique derrière un routeur D-Link sécurisé WPA2 dont les trois ordinateurs sont animés par Ubuntu 11.10. Sur mon laptop, trois fois en dix minutes, et encore à l'instant, j'ai vu apparaitre une fenêtre m'indiquant qu'un ordinateur (d'une adresse chaque fois différente) voulait voir ou contrôler mon bureau et me demandait de l'autoriser. Où est la faille? Est-il possible de n'être visible que pour ceux qu'on a préalablement autorisés? Le bureau à distance utilise quel port? Le firewall du routeur l'ouvre-t-il par défaut? </div>

<div><br></div></blockquote><div><br></div><div>Bonjour,</div><div><br></div><div>Quelques petits conseils à propos du service de partage de bureau:</div><div><br></div><div><br></div><div>* <b>Si tu n'as pas besoin d'utiliser le bureau à distance:</b></div>

<div>À moins d'avoir réellement besoin d'accéder à distance à ton ordinateur (que ce soit depuis un poste externe à ton réseau local ou interne à ton réseau local), désactive le service de partage de bureau dans ton système Ubuntu. Faire fonctionner un service n'est réellement utile que lorsqu'on l'utilise, et arrêter les services inutiles limite les possibilités d'intrusions.</div>

</div><div><br></div><div><br></div><div><br></div><div>* <b>Si tu as besoin d'accéder au bureau à distance de ton ordinateur, mais seulement à partir d'autres ordinateurs à la maison:</b></div><div>Par défaut, le port utilisé par le Bureau à distance (VNC) est le port 5900/tcp. À moins de vouloir être en mesure de prendre le contrôle à distance de ton ordinateur à partir d'un poste extérieur à ton réseau local (ex: contrôler ton ordinateur de la maison à partir du bureau, de la bibliothèque, de l'université...), assure-toi de bloquer les connexions entrantes à partir de ce port dans ton routeur. (Par défaut, ça devrait être déjà le cas, de mémoire: un tel port n'est pas ouvert par défaut.) Bloquer les connexions entrantes sur un port de ton routeur n'impacte pas tes postes dans ton réseau interne: les autres ordinateurs à la maison pourront toujours demander une connexion de bureau à distance à ton PC.</div>

<div><br></div><div>Accessoirement, il pourrait être intéressant aussi d'activer un pare-feu logiciel dans ton ordinateur afin de bloquer les connexions entrantes non autorisées dans ton ordinateur en provenance de ton réseau local. Les autres intervenants ont déjà mentionné UFW, qui est présent de base dans Ubuntu mais désactivé par défaut. Active-le, bloque les connexions entrantes dans ton ordinateur, puis ajoute une exception pour autoriser les connexions entrantes sur le port 5900/tcp uniquement en provenance de ton réseau local. Ceci peut être réalisé graphiquement avec GUFW, mais ça se résume aussi à trois petites commandes à copier-coller:</div>

<div><br></div><div><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><font face="'courier new', monospace">sudo ufw enable</font></div><div><font face="'courier new', monospace">sudo ufw default deny incoming</font></div>

<div><font face="'courier new', monospace">sudo ufw allow proto tcp from <b><u>192.168.0.0</u></b>/24 to any port 5900</font></div><div><br></div></blockquote>où <i>192.168.0.0</i> est l'adresse de réseau. C'est généralement <i>192.168.0.0</i> (D-Link, Netgear) ou <i>192.168.1.0</i> (Cisco/Linksys).</div>

<div><br></div><div>Attention: un telle règle autorise les demandes de connexions de bureau à distance à partir de tous les postes de ton réseau local; cela signifie que si ton réseau local est compromis (ex: ton réseau WiFi n'est pas protégé par un mot de passe et ton voisin, la visite et le petit hacker de l'appart d'en-dessous se connectent à ton réseau WiFi: ils font alors tous partie de ton réseau local!) et que les demandes proviennent bien de ton réseau local, une telle règle de pare-feu logiciel ne te sera probablement pas très efficace. C'est donc à utiliser en plus de ce que propose Frédéric Côté, à savoir: vérifier s'il n'y a pas des petits comiques qui se connectent à ton réseau local.</div>