ova
Retour au blog
·10 min de lecture·productdevbook

Comment auditer l'activité réseau de votre Mac

Un audit reproductible que vous pouvez mener en 20 minutes pour savoir avec qui votre Mac communique, et décider ce qui doit rester.

  • Security
  • Privacy
  • macOS
  • Network monitoring

Vous mettez de côté vingt minutes une fois par trimestre pour auditer l'activité réseau de votre Mac, et la seule question est de savoir si vous avez un processus que vous pouvez vraiment exécuter, ou si vous allez improviser à nouveau avec nettop et un cahier. Ce guide vous donne un script reproductible de 20 minutes : scan, revue, vérification des noms d'hôtes, rétention des logs, actions à prendre. Faites-le de la même façon à chaque fois. Comparez au trimestre précédent. Repérez la dérive.

Voici comment auditer l'activité réseau Mac sans en faire un après-midi entier.

Pourquoi se donner la peine — et ce que vous cherchez

L'idée de l'audit n'est pas la paranoïa. C'est la dérive. Chaque installation macOS accumule progressivement des services d'arrière-plan qui ont commencé à parler à Internet à un moment et n'ont jamais arrêté. Un audit trimestriel attrape :

  • Des applications dont vous avez oublié l'installation et qui appellent encore à la maison quotidiennement.
  • Des endpoints de télémétrie devenus plus bavards qu'avant (après une mise à jour).
  • Des processus auxiliaires (Chrome, Slack, Adobe) qui ont silencieusement augmenté leur empreinte réseau.
  • Des connexions sortantes vers des noms d'hôtes que vous ne reconnaissez pas.

Un audit de 20 minutes, quatre fois par an, suffit à attraper presque tout cela.

Ce dont vous avez besoin avant de commencer

  • Un moniteur réseau dans votre barre de menu. ova est ce que ce guide utilise. Environ 3 Mo, échantillonne les débits par application à ~1 Hz, regroupe les processus auxiliaires sous leur parent.
  • nettop — intégré. Pas d'installation.
  • Optionnel : Little Snitch ou LuLu pour la visibilité au niveau nom d'hôte. L'audit fonctionne sans, mais il est plus précis avec.
  • Une application de prise de notes ou un fichier texte simple pour les conclusions. L'audit n'est utile que si vous pouvez comparer à la fois précédente.

C'est tout. Pas d'installation supplémentaire au-delà du moniteur, pas d'extensions noyau, pas de changements système.

Le script de 20 minutes pour auditer l'activité réseau Mac

Voici l'horaire. Tenez-vous au timing — déborder au-delà de 30 minutes transforme une habitude trimestrielle en « quelque chose que je ferai quand j'aurai le temps », ce qui veut dire jamais.

Minutes 0-2 : Établir la base

Quittez les applications dont vous n'avez pas besoin ouvertes. Laissez tourner : votre navigateur, le Finder, les services système. Le but est de voir votre usage réseau « ambiant » — ce que votre Mac fait quand vous ne l'utilisez pas activement.

Ouvrez ova depuis la barre de menu. Notez le débit total montant/descendant. Sur un Mac au repos, vous attendriez quelques Ko/s pour les heartbeats de notifications push, iCloud, et Spotlight. Tout ce qui est au-dessus de 100 Ko/s soutenu pendant le repos vaut un coup d'œil.

Minutes 2-7 : scan nettop

Ouvrez Terminal. Lancez :

nettop -P -m route -L 5 > ~/Desktop/nettop-$(date +%Y%m%d).txt

-L 5 capture cinq échantillons (un par seconde par défaut), puis quitte. La sortie va dans un fichier daté sur votre bureau — vous le garderez plus tard pour la rétention.

Pendant qu'il tourne, ne faites rien. Cinq secondes, puis vérifiez le fichier. Vous verrez des lignes comme :

Slack.21341    in:1.2KB  out:823B
Google Chrome.41203   in:48KB   out:9KB
WhatsApp.55102 in:512B   out:0B

Survolez à la recherche de tout ce que vous ne reconnaissez pas. Les noms que vous ne pouvez pas placer sont des pistes.

Minutes 7-12 : revue par application dans votre moniteur

Basculez vers ova. Ouvrez la liste par application. Triez par octets totaux sur la dernière heure (ou la plus longue fenêtre que l'application montre par défaut).

Pour chaque application dans le top 10, demandez-vous :

  1. Cette application devrait-elle être sur le réseau du tout maintenant ? Un lecteur de musique — oui. Un lecteur PDF — probablement non.
  2. Le volume est-il raisonnable ? Slack à 30 Ko/s soutenus est normal. Slack à 3 Mo/s soutenus est inhabituel.
  3. Cette application en est-elle une que j'ai installée volontairement, ou un reste ? Si c'est un reste, désinstallez.

Le regroupement des processus auxiliaires compte ici. Sans lui, le top 10 se remplit de lignes comme Google Chrome Helper (Renderer), Slack Helper (GPU), Discord Helper (Plugin). Avec le regroupement, chacun se condense sous l'application parente et vous pouvez vraiment lire la liste.

Regroupement des processus auxiliaires
ova groupe les PIDs auxiliaires sous leur parent pour que la liste par application se lise comme des applications au lieu d'arbres de processus. L'audit va plus vite.

Minutes 12-16 : vérification des noms d'hôtes

C'est là que Little Snitch (ou LuLu) gagne sa place. Si vous l'avez installé, ouvrez la vue Network Monitor et regardez les noms d'hôtes par processus pour la fenêtre d'audit.

Si vous n'avez pas d'outil de classe pare-feu, vous pouvez quand même faire une vérification partielle de noms d'hôtes en suivant le journal unifié :

log show --predicate 'subsystem == "com.apple.network.connectivity"' --style compact --last 20m | head -200

La sortie est dense, mais chercher connect to ou des noms d'application spécifiques fera remonter des indices de domaine.

Ce que vous cherchez :

  • Noms d'hôtes inconnus. Cherchez le domaine dans un navigateur. Un endpoint de télémétrie légitime a généralement un objectif documenté.
  • Connexions fréquentes à des domaines pub/tracking. Coupables courants : *.doubleclick.net, *.scorecardresearch.com, *.googletagmanager.com. Les extensions de navigateur peuvent aider (uBlock Origin), mais pour les applications natives, une règle de pare-feu est la réponse.
  • Connexions vers des pays auxquels vous ne vous attendez pas. Pas intrinsèquement mauvais — beaucoup de CDNs sont régionaux — mais à noter.

Minutes 16-18 : rétention des logs

Prenez le fichier nettop-YYYYMMDD.txt que vous avez généré et déplacez-le dans un dossier, par exemple, ~/Documents/network-audits/. Optionnellement exportez le résumé par application d'ova en capture d'écran.

Pourquoi conserver : votre premier audit n'est qu'un instantané. Votre second devient une comparaison. Au troisième, vous pouvez repérer des tendances — « le trafic Adobe a doublé au T2 » ou « Spotify est passé de 200 Ko/s à 800 Ko/s après la mise à jour ».

Un dossier plat de fichiers texte et de captures d'écran suffit largement. Pas d'outillage sophistiqué.

Minutes 18-20 : actions à prendre

Notez trois à cinq actions concrètes. Exemples de vrais audits :

  • « Désinstaller MagicScreenshotPro — utilisé deux fois l'année dernière, parle à la télémétrie à chaque lancement. »
  • « Bloquer Adobe *.adobe.io dans Little Snitch — n'en ai besoin que pour le check de licence, qui peut échouer gracieusement. »
  • « Investiguer le pic sortant de 14 Mo de mds_stores — probablement réindexation Spotlight, mais confirmer au prochain audit. »
  • « Ajouter le profil DNS Quad9. »
  • « Désactiver l'analytique dans Microsoft Word. »

Trois à cinq est le bon nombre. Plus que cela et vous ne les ferez pas. Moins et l'audit n'a rien fait remonter, ce qui veut généralement dire que vous n'avez pas regardé attentivement.

Lancez l'audit avec une vue temps réel

ova montre les débits par application en direct et un historique parcourable — local, signé, ~3 Mo.

Télécharger pour macOS

Que suivre trimestre après trimestre

Quelques choses qui valent la peine d'être comparées à votre dernier audit :

SignalPourquoi ça compte
Trafic de base au reposUne dérive vers le haut signifie que quelque chose de nouveau est bavard
Top 5 apps par octets/jourRévèle les nouveaux entrants ou la croissance
Nombre de noms d'hôtes distinctsAugmente = plus de services contactés
Auxiliaires d'arrière-plan en marcheAdobe / Office en ajoutent souvent de nouveaux entre les mises à jour
Applications avec extensions noyau/réseauChacune est une délégation de confiance

Vous n'avez pas besoin d'un tableur. Une note de quatre lignes par audit suffit.

Conclusions courantes (et que faire)

« Une application que j'ai désinstallée est encore sur le réseau »

Certaines applications laissent des LaunchAgents derrière. Listez-les :

ls ~/Library/LaunchAgents/ /Library/LaunchAgents/ /Library/LaunchDaemons/

Tout ce qui est lié à l'application désinstallée — com.example.helper.plist — peut être supprimé. Utilisez launchctl unload d'abord, puis supprimez. Réauditez le trimestre prochain pour confirmer qu'il est parti.

« Activity Monitor montre des chiffres différents de mon outil en barre de menu »

L'onglet Network d'Activity Monitor compte depuis le démarrage du processus. Un moniteur en barre de menu compte dans une fenêtre glissante. Lentilles différentes sur les mêmes données noyau — toutes deux honnêtes, mesurant juste des intervalles différents.

« Je vois 50 Ko/s constants que je n'arrive pas à expliquer »

Suspectez, dans l'ordre : synchro iCloud, Time Machine en réseau, réindexation Spotlight, sauvegarde style Backblaze/Carbonite, synchro Dropbox/Drive, téléchargement de mise à jour OS. nettop -P nommera le PID. La plupart sont légitimes. Confirmez en quittant l'application suspectée et en observant la chute du débit.

Considérations de confidentialité pendant l'audit

Si vous sauvegardez des logs, ces logs contiennent des noms d'hôtes et des horodatages — métadonnées sensibles. Stockez-les localement, pas dans des dossiers synchronisés iCloud Drive, sauf si vous êtes à l'aise avec ça. Mieux encore, faites un audit qui reste local de bout en bout :

  • Moniteur qui garde l'historique sur disque (pas de tableau de bord cloud).
  • Sortie nettop enregistrée dans un dossier local.
  • Notes dans un fichier texte local, pas un doc synchronisé cloud.

ova correspond à ce profil par conception — pas de tableau de bord distant, pas de compte, pas de télémétrie. L'historique de bande passante est sur votre Mac et nulle part ailleurs.

L'image plus large : pourquoi un moniteur s'associe à un pare-feu

L'audit produit des conclusions. Certaines conclusions sont « je devrais bloquer ça ». C'est là que Little Snitch (ou LuLu) intervient — réglez la règle, et relancez l'audit le trimestre prochain pour confirmer que la règle a tenu.

Un motif courant :

  1. L'audit identifie un Adobe Updater bavard.
  2. Règle Little Snitch : refuser Adobe Updater en sortant.
  3. ova confirme la prochaine fois que vous lancez Photoshop que le trafic de l'updater est maintenant à zéro.

Le moniteur et le pare-feu font des choses différentes. Vous voulez les deux pour une vraie boucle d'audit.

Pour conclure

Une habitude trimestrielle de 20 minutes pour auditer l'activité réseau Mac attrape la dérive qui transforme un Mac propre en un Mac bavard. Le script est : base au repos, instantané nettop, revue par application avec regroupement des auxiliaires, vérification des noms d'hôtes, rétention des logs, trois à cinq actions. Faites-le de la même façon à chaque fois. Comparez à la fois précédente. Agissez sur les conclusions.

Choisissez une date — dernier vendredi du trimestre, matin d'un long week-end, peu importe ce qui colle. Mettez-la dans votre calendrier maintenant. La partie la plus dure de l'habitude d'audit est de commencer ; une fois que vous avez un fichier d'historique dans ~/Documents/network-audits/, vous en voudrez un second.