Little Snitch pour Linux : pare-feu eBPF avec surveillance des processus et blocage du trafic
Little Snitch est désormais disponible sur Linux, utilisant eBPF pour intercepter toutes les connexions réseau sortantes. Le démon collecte les données de trafic liées directement à des processus spécifiques — sans modification du noyau nécessaire. Une interface web accessible depuis localhost:3031 affiche l'activité en temps réel : connexions actives, journaux historiques et volume de trafic. Filtrez par nom de processus, niveau d'activité ou bande passante pour repérer rapidement tout comportement suspect. Bloquez le trafic d'un simple clic, et les règles sont sauvegardées pour les sessions futures.
Les graphiques de trafic visualisent les pics de charge et permettent d’isoler des intervalles temporels pour une analyse approfondie. Essentiel pour les développeurs confirmés gérant des serveurs ou postes de travail où les données de télémétrie des applications s’échappent sans surveillance.
Configuration des règles personnalisées et des listes de blocage
Règles personnalisées
Les règles sont définies via des fichiers TOML dans /var/lib/littlesnitch/config/. Les fichiers de substitution dans /var/lib/littlesnitch/overrides/ ont priorité, ce qui rend les tests sûrs sans risquer la configuration de base. Exemple : autoriser tout le trafic Firefox mais bloquer les connexions sortantes d’un outil CLI spécifique.
Listes de blocage
Listes prêtes à l’emploi intégrées : Hagezi, Peter Lowe, Steven Black, oisd.nl. Formats disponibles : domaine par ligne, /etc/hosts, CIDR. Attention : les fichiers .lsrules macOS ne sont pas compatibles — une conversion est nécessaire pour migrer.
- Blocage basé sur le processus : lié au PID ou à l'exécutable, pas à l'adresse IP.
- Contrôle des ports/protocoles : filtrage granulaire TCP/UDP.
- Historique et statistiques : suivi des octets transférés et fréquence des requêtes par domaine.
- Support PWA : installez l’interface comme application autonome dans Chromium ou Firefox.
Compromis : eBPF limite la taille du cache sous charge lourde, réduisant légèrement la précision d’attribution des paquets — mais la couverture en matière de confidentialité reste proche de 100 %.
Architecture et compromis
Les programmes eBPF dans le noyau envoient des métadonnées au démon, qui agrège les statistiques et applique les filtres. Contrairement à macOS, aucune inspection profonde du paquet n’est effectuée — la version Linux se concentre sur les métadonnées de connexion (ID de processus, port de destination, domaine). En cas de forte charge (milliers de connexions/sec), les tables eBPF peuvent être saturées, entraînant une perte d’attribution pour certains paquets.
Avantages d’eBPF : transfert de données sans copie, surcharge minimale, bonne scalabilité sur systèmes multi-cœurs.
Limites : contraintes strictes sur la taille du programme (jusqu’à 1 Mo après JIT), pas d’inspection du contenu. Les auteurs insistent : il s’agit d’un outil de confidentialité, pas d’une solution de défense en profondeur contre les attaques ciblées. Pour un usage en production, combinez-le avec nftables.
Déploiement en mode tête nue : accès via tunnel SSH (ssh -L 3031:localhost:3031) ou proxy inverse nginx. Aucune dépendance GUI — le démon fonctionne en arrière-plan sans interférence.
Licence et personnalisation
- Module eBPF : GPLv2, code source sur GitHub.
- Interface web : GPLv2, open source.
- Démon : propriétaire, gratuit pour usage personnel et commercial.
La configuration TOML permet l’automatisation : gérez les règles via Ansible ou Chef. Utile pour les développeurs expérimentés souhaitant contrôler la télémétrie dans les pipelines CI/CD ou dans des pods Kubernetes où les conteneurs génèrent un trafic non régulé.
Points clés
- eBPF permet une surveillance contextuelle des processus sans module noyau, avec une surcharge faible.
- Interface web + PWA pour commodité ; mode tête nue pour les serveurs.
- Listes de blocage et règles couvrent 90 % des cas d’utilisation liés à la vie privée — mais ne remplacent pas l’inspection de paquet (DPI).
- Entièrement gratuit, contrairement à la version macOS à 59 €.
- Compromis : précision réduite sous charge extrême en raison des limites d’eBPF.
— Editorial Team
Aucun commentaire pour le moment.