Auteur Sujet: Windows 10: Tutoriel pour activer la protection contre les ransomware (Lu 14816 fois)

vivien · « **le:** 28 décembre 2019 à 16:08:20 »

Windows 10: Tutoriel pour activer la protection contre les ransomware

Windows 10 propose d'une protection, qui semble assez efficace, pour se protéger des ransomware (rançongiciel en Français), ces logiciels qui chiffrent les données du disque dur, tel que documents et photos, puis demandent à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer.

Les trois principaux vecteur d'infections sont: (source Microsoft)
Vous pouvez être infecté par un ransomware de l'une des façons suivantes :
- En visitant des sites web dangereux, suspects ou frauduleux
- En ouvrant des e-mails et des pièces jointes que vous n'attendiez pas ou provenant de personnes que vous ne connaissez pas
- En ouvrant des liens malveillants ou corrompus dans les e-mails, Facebook, Twitter et d'autres publication de réseaux sociaux, ou dans des sessions de conversation instantanée, comme dans Skype

Il suffit d'activer une option pour être protégé de la majorité des ransomware ?
Oui, mais elle n'est pas activée par défaut.

Pourquoi la protection n'est pas activée par défaut ?
Tout simplement car il faut ensuite autoriser une à une les applications qui pourront modifier les données et ce n'est pas forcément une opération simple.

Voici pas à pas comment procéder :

vivien · « **Réponse #1 le:** 28 décembre 2019 à 16:09:03 »

Étape N°1 : Activer la protection contre les ransomware

Dans les Paramètres Windows, ouvrir Mise à jour et sécurité

Dans la colonne de gauche, cliquer sur Sécurité Windows, puis dans la colonne de droite sur Protection contre les virus et menaces.

Une nouvelle fenêtre "Sécurité Windows" s'ouvre, cliquer sur Gérer la Protection contre les ransomware, situé tout en bas de la seconde colonne.

Enfin il faut activer la protection, c'est à dire le Dispositif d’accès contrôlé aux dossiers en langage Microsoft.

vivien · « **Réponse #2 le:** 28 décembre 2019 à 16:09:30 »

Étape N°2 : Sélectionner les dossiers que vous souhaitez protéger

Cliquer sur Dossiers protégés :

Une sélection de dossiers est proposé par défaut, vous pouvez en rajouter en cliquant sur Ajouter un dossier protégé.

La sélection de dossiers à rajouter se fait simplement via l'explorateur de fichiers :

Attention: Ne protégez que des dossiers avec des documents : ne protégez surtout pas le dossier Windows par exemple.

Si vous avez un dossier pour les sauvegardes de jeux et que ce n'est pas critique pour vous, ne les protégez pas: cela vous évitera d’autoriser un à un tous vos jeux.

vivien · « **Réponse #3 le:** 28 décembre 2019 à 16:10:02 »

Étape N°3 : Autoriser les applications pour qu'elles puissent écrire dans les dossiers protégés

C'est l'étape la plus difficile.

Cliquer sur Autoriser une app via un dispositif d'accès contrôlé aux dossiers :

La solution la plus simple est de lancer chacune de vos applications et de tenter d’écrire un fichier dans un dossier protégé. Vous aurez alors une erreur plus ou moins explicite ("impossible de trouver le fichier" alors que vous souhaitez créer le fichier par exemple).

Ensuite dans l'historique de protection, vous avez la liste des demandes qui ont été bloquées.

Il suffit alors de cliquer en bas à droite de chaque blocage sur Autoriser sur l'appareil.

Même les applications livrées avec Windows doivent être autorisées, ci-dessous une autorisation pour le célèbre Microsoft Paint, livré avec tous les Windows.

Ci-dessous, la demande concerne soffice.bin, pas facile de deviner que c'est ce fichier qu'il faut autoriser pour Libre Office :

vivien · « **Réponse #4 le:** 28 décembre 2019 à 16:10:17 »

Étape N°4 : Vous êtes protégés, mais de temps en temps, on vous demande une nouvelle autorisation !

J'ai un bon exemple ci-dessous :

Un fichier Update.exe souhaite accéder au bureau : Le nom n'inspire pas confiance et si vous ne savez pas ce que c'est il ne faut surtout pas l'autoriser sous peine de donner les droits à un ransomware.

Ici Update.exe n'est pas méchant, c'est le process de mise à jour de l'application Molotov TV, mais difficile de le deviner. Le besoin d'écriture n'est pas présent à chaque utilisation, mais à chaque mise à jour: On peut oublier de l’autoriser quand on met en place la protection.

Voici des exemples d'applications que j'ai autorisés. N'oubliez pas l'application de votre imprimante pour scanner et tous les petits logiciels qui ont besoin d’écrire un fichier temporaire dans vos documents. Les jeux, si le dossier de sauvegarde est protégé.

Vous comprenez maintenant pourquoi cette protection n'est pas activée par défaut, toutefois elle est intéressante pour tous ceux pour qui ont de précieux documents et qui ne font pas régulièrement de sauvegarde. Je ne vise personne, mais de nombreuses personnes sont dans ce cas.

vivien · « **Réponse #5 le:** 28 décembre 2019 à 16:10:50 »

Microsoft propose d'autres sécurités

- Isolation du noyau / Intégrité de la mémoire
- Processeur de sécurité / Trusted Platform Module
- Démarrage sécurisé / Secure boot

Dans les Paramètres Windows, ouvrir Mise à jour et sécurité

Dans la colonne de gauche, cliquer sur Sécurité Windows puis dans la colonne de droite sur Sécurité de l'appareil

Une nouvelle fenêtre "Sécurité Windows" s'ouvre, proposant plusieurs sécurités :

vivien · « **Réponse #6 le:** 28 décembre 2019 à 16:11:01 »

Isolation du noyau / Intégrité de la mémoire

La protection est par défaut désactivée sur mon PC.

Microsoft explique : L’intégrité de la mémoire est une fonctionnalité de Windows qui permet de garantir que le code qui s’exécute dans le noyau Windows est conçu et fiable de façon sécurisée. Il utilise la virtualisation matérielle et Hyper-V pour protéger les processus du mode noyau Windows de l’injection et de l’exécution du code malveillant ou non vérifié. L’intégrité du code exécuté sur Windows est validée par l’intégrité de la mémoire, ce qui rend Windows résistant aux attaques de logiciels malveillants. L’intégrité de la mémoire est une limite de sécurité puissante qui permet de bloquer l’exécution de nombreux types de logiciels malveillants dans les environnements Windows 10 et Windows Server 2016.

Toutefois, je n'arrive pas à l'activer sur un PC grand public récent (PC de bureau Dell Inspiron 3650 - génération Skylake - Core i3 6100 équipé d'un chipset Intel H110. La virtualisation est bien activée dans le BIOS)

Voici l'erreur rencontrée :

Avec un PC portable Dell Inspiron 5579 - génération Kaby Lake R - Core i5-8250U par contre cela fonctionne :

Après le redémarrage de Windows :

vivien · « **Réponse #7 le:** 28 décembre 2019 à 16:21:29 »

Processeur de sécurité / Trusted Platform Module

Cela permet d'avoir des informations sur le module TPM (Trusted Platform Module) ou "Security processor"

Si vous avez une fenêtre vide (exemple ci-dessous), la solution est simple : il faut élargir la fenêtre.

Les puces TPM (ou puces Fritz) ont été commercialisées à partir de 2006 sur les gammes professionnelles, ont les retrouves aujourd'hui sur tous les PC.

Le TPM est un petite puce intégrée sur les cartes mères qui permet uniquement de stocker des secrets, comme des clés de chiffrement, de manière sécurisée.

Son utilisation la plus répandue est pour le chiffrement du disque dur proposé nativement dans Windows 10 par BitLocker. Malheureusement BitLocker n’est pas disponible sur l’édition Windows 10 Famille, il faut la version Pro.

Voici un schéma des fonction du TMP par Eusebius (Guillaume Piolle) :

TPM d'un PC de conception 2017 : (portable Dell Inspiron 5579 - génération Kaby Lake R - Core i5-8250U)

TPM d'un PC de conception 2007 : (HP Compaq dc7800p Ultra-slim Desktop PC équipé d'un Core2 Duo E6550 avec technologie Intel® vPro™)

En cas d'absence de Trusted Platform Module, voici le message d'erreur qui s'affiche :

Pour chiffrer son disque dur, il suffit d'aller dans Mise à jour et sécurité > Chiffrement de l’appareil.

Si Chiffrement de l’appareil n'apparaît pas, cela signifie que cette option n'est pas disponible.
Si le chiffrement de l’appareil est désactivé, sélectionnez Activer.

vivien · « **Réponse #8 le:** 28 décembre 2019 à 16:29:02 »

Démarrage sécurisé / Secure boot

Depuis la norme UEFI version 2.3.1, le BIOS / UEFI des PC intègre une fonctionnalité n'autorisant le démarrage qu'aux systèmes d'exploitation reconnus. Cette fonctionnalité vise à interdire le démarrage d'un système d'exploitation corrompu notamment par un virus ou un rootkit.

Il est obligatoirement activé pour les PC livrés avec Windows 8 ou Windows 10.

Il est par contre désactivé par défaut sur les serveurs ou les carte mères achetés au détail, pour ceux qui montent leur PC.

L'activation se fait en allant dans les paramètres du BIOS / UEFI en appuyant sur un touche "F2" ou "Suppr" au démarrage de l'ordinateur.

Les PC proposent un mode de boot UEFI et un mode "Legacy" ou "BIOS" : Le Secure boot n'est qu'une option du boot UEFI et ne peut en aucun cas être activé si votre système d’exploitation a été installé en mode "Legacy". Si il est installé en mode UEFI, vous pouvez par contre activer le Secure boot dans les paramètres.

Mode boot UEFI :

Mode boot Legacy ou BIOS :

xillibit · « **Réponse #9 le:** 28 décembre 2019 à 16:55:26 »

Citation de: vivien le 28 décembre 2019 à 16:11:01

Toutefois, je n'arrive pas à l'activer sur un PC grand public récent (PC de bureau Dell Inspiron 3650 - génération Skylake - Core i3 6100 équipé d'un chipset Intel H110. La virtualisation est bien activée dans le BIOS)

Microsoft fournit un script permettant de vérifier la compatibilité matérielle pour pouvoir activer l'option "Intégrité de la mémoire" : https://www.microsoft.com/en-us/download/details.aspx?id=53337

renaud07 · « **Réponse #10 le:** 28 décembre 2019 à 17:03:21 »

Citation de: vivien le 28 décembre 2019 à 16:08:20

Pourquoi n'est-elle pas activée par défaut ?
Tout simplement car il faut ensuite autoriser une à une les applications qui pourront modifier les données et ce n'est pas forcément une opération simple.

Ils auraient dû prévoir une liste d’applications de confiance au lieu de faire un truc aussi lourd.

À cause de ça 95% des gens ne l'activeront pas...

kgersen · « **Réponse #11 le:** 28 décembre 2019 à 17:53:00 »

Citation de: renaud07 le 28 décembre 2019 à 17:03:21

Ils auraient dû prévoir une liste d’applications de confiance au lieu de faire un truc aussi lourd.

À cause de ça 95% des gens ne l'activeront pas...

ou un OS moderne facon iOS, Android, ChromeOS ou l'utilisateur n'est pas et ne peut être root.