Portmaster : le pare-feu applicatif open source qui reprend le contrôle de vos connexions

Quand votre PC discute dans votre dos

Vous êtes-vous déjà demandé à qui parle réellement votre ordinateur quand vous le laissez allumé ? Spoiler : à beaucoup, beaucoup de monde. Entre l'éditeur du logiciel que vous venez d'installer, ses partenaires marketing, deux ou trois régies publicitaires, sans oublier ce service "télémétrie" qui envoie sagement vos statistiques d'utilisation à l'autre bout du monde… votre machine est devenue une véritable source d'informations pour les entreprises numériques tierces. Et la plupart du temps, vous n'en avez aucune idée.

C'est précisément là que Portmaster, développé par la société autrichienne

Safing, entre en scène. Cet outil gratuit et open source se présente comme un pare-feu applicatif nouvelle génération, capable de vous redonner le contrôle complet sur tout ce qui sort (et entre) de votre ordinateur.

Portmaster est un pare-feu applicatif gratuit et open source qui surveille en temps réel toutes les connexions réseau initiées par vos applications. Il fonctionne sous Windows et Linux, bloque trackers, publicités et malwares à l'échelle du système, et chiffre vos requêtes DNS par défaut.

Portmaster, qu'est-ce que c'est exactement ?

Pour faire simple, Portmaster est un pare-feu applicatif. Là où un pare-feu classique se contente de jouer au videur en bloquant tel ou tel port, Portmaster va beaucoup plus loin : il identifie quelle application est responsable de chaque connexion réseau, et vous laisse décider, application par application, ce que vous autorisez ou non.

Sous le capot, l'outil s'intègre directement dans la pile réseau du système d'exploitation. Sous Linux, il utilise nfqueue couplé à de l'eBPF et à l'analyse du /proc pour faire le lien entre un paquet réseau et le processus qui l'a émis. Sous Windows, il s'appuie sur la Windows Filtering Platform (WFP) et sur l'IP Helper API via un pilote noyau dédié. Concrètement, aucun paquet ne peut passer entre les mailles du filet : tout est inspecté, tout est attribué à une application précise, et tout peut être bloqué.

Le projet est intégralement publié sur GitHub sous une licence libre. Vous pouvez auditer le code, le compiler vous-même, ou contribuer si l'envie vous en prend. Pour un outil de sécurité, c'est plus qu'un argument : c'est une condition indispensable.

Une visibilité inédite sur l'activité réseau

La première chose qui frappe quand on lance Portmaster, c'est l'interface. On y voit défiler en temps réel chaque connexion sortante et entrante, avec son application d'origine, le domaine ou l'IP de destination, le pays, et bien d'autres détails. C'est à la fois fascinant et un peu effrayant.

Tableau de bord de Portmaster - Crédit photo : © Safing.io

Un tableau de bord pensé pour les humains

L'interface graphique évite l'écueil habituel des outils de sécurité qui ressemblent à un cockpit de Boeing 747. Tout est lisible, organisé par application, avec un historique consultable et des statistiques claires. Vous pouvez ainsi découvrir, par exemple, que ce petit utilitaire système que vous utilisez depuis des années envoie en réalité des données à plusieurs serveurs publicitaires. À vous de décider ensuite si vous lui coupez l'accès, ou non.

Bloquer trackers, publicités et malwares à l'échelle du système

Bloquer les trackers et les publicités dans le navigateur, c'est devenu monnaie courante grâce à uBlock Origin et consorts. Mais qu'en est-il des trackers présents dans les applications de bureau, dans les jeux, dans les utilitaires divers et variés que vous installez ? La plupart passent totalement sous le radar des bloqueurs traditionnels.

Portmaster, lui, opère au niveau DNS et applique ses listes de filtrage à l'ensemble du système. Par défaut, il bloque les domaines connus pour héberger des malwares, des trackers ou de la publicité, en s'appuyant sur des listes reconnues comme celles utilisées par les principaux bloqueurs publicitaires. Vous pouvez bien sûr enrichir ou ajuster ces listes selon vos préférences, ajouter vos propres règles personnalisées, ou même bloquer du contenu plus spécifique comme les domaines NSFW ou les sites trompeurs.

Le DNS chiffré activé par défaut

Autre point trop souvent négligé : les requêtes DNS. Par défaut, votre ordinateur envoie en clair, à votre fournisseur d'accès, la liste de tous les sites que vous consultez. Pas terrible côté vie privée, et carrément problématique sur un réseau Wi-Fi public.

Portmaster intercepte automatiquement toutes les requêtes DNS du système et les redirige vers son propre résolveur, qui les transmet ensuite via DNS-over-TLS (DoT) ou DNS-over-HTTPS (DoH) au fournisseur de votre choix. Vous pouvez utiliser Cloudflare, Quad9, votre propre serveur ou n'importe quel autre résolveur compatible. Le tout fonctionne sans configuration préalable : l'outil détecte les requêtes "sauvages" et les rapatrie de force vers son tunnel chiffré. Pratique.

Des règles globales et par application

Là où Portmaster déploie toute sa puissance, c'est dans son moteur de règles. Vous pouvez définir des paramètres globaux qui s'appliquent à tout le système, puis les surcharger application par application si besoin.

Géoblocage et restrictions fines

Vous voulez interdire à votre logiciel de comptabilité d'envoyer la moindre donnée hors de l'Union européenne ? Trois clics. Vous souhaitez couper totalement Internet à une application particulière, sans pour autant la désinstaller ? C'est faisable. Bloquer le trafic peer-to-peer, interdire les connexions entrantes, restreindre l'accès au réseau local uniquement, autoriser ou refuser tel ou tel domaine : tout est possible. La logique de filtrage repose sur des entités lisibles (domaines, adresses IP, pays) plutôt que sur des règles abstraites de bas niveau, ce qui rend la configuration accessible même sans bagage réseau approfondi.

Le Safing Privacy Network, entre VPN et Tor

Safing ne s'arrête pas au pare-feu. L'éditeur propose également, en option, le Safing Privacy Network (SPN), un réseau d'anonymisation conçu comme un compromis entre un VPN classique et le réseau Tor. Le principe : chaque connexion est chiffrée en couches successives (le fameux "onion routing") et acheminée via plusieurs relais répartis dans le monde, mais avec une particularité intéressante. Contrairement à Tor qui fait passer tout votre trafic par un même circuit, le SPN répartit vos différentes connexions sur des chemins distincts, ce qui rend la corrélation entre vos activités beaucoup plus difficile.

Le SPN est intégré directement dans Portmaster et ne se limite pas au navigateur : il protège l'ensemble des connexions de votre machine. Cette fonctionnalité fait partie de l'offre payante (Portmaster Pro, autour de 80 € par an depuis février 2026), tandis que toutes les fonctions de pare-feu restent gratuites.

Installation et plateformes supportées

Portmaster fonctionne sous Windows (installeur .exe) et sous Linux (paquets .deb pour Debian/Ubuntu et .rpm pour Fedora). Les utilisateurs de macOS sont, hélas, laissés de côté pour l'instant. L'installation est classique, et un redémarrage est recommandé après la première mise en place pour que les pilotes noyau s'initialisent proprement. Une fois lancé, l'outil se met à jour automatiquement et la version 2, sortie en juillet 2025, a posé des fondations techniques nettement plus solides pour les années à venir.

Pourquoi vous devriez sérieusement l'envisager

Au-delà des fonctionnalités, ce qui rend Portmaster intéressant, c'est sa philosophie. À l'heure où la moindre application vous demande de cocher dix cases pour accepter sa "politique de confidentialité", reprendre la main sur ce qui sort réellement de votre machine relève du bon sens. L'outil est gratuit, open source, audité par la communauté, développé par une équipe européenne aux convictions affirmées en matière de vie privée. Et depuis fin 2024, Safing s'est rapproché du fournisseur VPN IVPN, ce qui consolide encore son écosystème.

Pour un administrateur système, c'est un excellent outil de diagnostic. Pour un utilisateur soucieux de sa vie privée, c'est une pièce maîtresse. Pour les curieux qui se demandent ce que leur PC raconte derrière leur dos, c'est une découverte qui peut s'avérer édifiante. Bref, si vous tournez sous Windows ou Linux et que vous n'avez pas encore essayé, jetez-y un œil : c'est gratuit, c'est ouvert, et ça pourrait bien changer votre rapport à votre propre machine.