Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


Comment activer / désactiver WSH ( Windows Scripting Host )

Dernière mise à jour : 2017-02-01T00:00 - 01.02.2017 - 00h00
13010.2016 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour

Comment activer / désactiver WSH ( Windows Scripting Host )

Comment activer / désactiver WSH ( Windows Scripting Host )

Comment activer / désactiver WSH ( Windows Scripting Host )Comment activer / désactiver WSH ( Windows Scripting Host )Comment activer / désactiver WSH ( Windows Scripting Host )

Pour sécuriser un ordinateur sous Windows il faut impérativement désactiver WSHWindows Scripting Host ») pour l'interprétation des scripts (les « macros » (macrocommandes) en VBScript) dont la plupart des ordinateurs et des utilisateurs n'ont absolument pas besoin. Il sera toujours possible de le ré-activer momentanément par l'opération inverse, et revenir immédiatement à sa désactivation.

De violentes campagnes d'attaques par spam (envoies massifs de mail) piégés, contenant des documents en pièces jointes aux apparences attractives, embarquent des hostilités sous forme de scripts WSHWindows Scripting Host »). Malheureusement, les utilisateurs ouvrent tout sans réfléchir, sans avoir peur ! Pourtant, « La peur est le commencement de la sagesse. » (François Mauriac en 1927 dans son roman Thérèse Desqueyroux).

  • Les développeurs des monstrueux cryptowares tels que TeslaCrypt, Alpha Crypt, CryptoWall, Locky, Ransom32 Ransomware, KeyBTC, XRT Ransomware, etc. ... sont tous connus pour utiliser des fichiers .js (des scripts JavaScript) malveillants embarqués dans des pièces jointes (généralement des documents Microsoft Office Word car Windows sait toujours ouvrir ce format) compressées (dans un format de compression comme zip car Windows sait toujours ouvrir ce format de compression).
  • Liste complète des types de fichiers à risque

De violentes campagnes d'exploitation de failles de sécurité côté serveurs (ordinateurs hébergeant les sites que vous visitez) permettent aux cybercriminels de pénétrer les serveurs et d'injecter des scanners de failles (packs de scan d'exploits) qui, depuis les pages Web que vous visitez, recherchent les failles de sécurité qui vous affectent (côté client) et compromettent alors votre ordinateur avec des malveillances utilisant WSHWindows Scripting Host »).

C'est grâce à WSHWindows Scripting Host »), et à l'usage des générateurs de failles en flux continu Internet Explorer et Outlook, (ou Outlook Express) au lieu d'outils comme Firefox et Thunderbird, que, par exemple :

  • Les vers ( worms) VBS.LoveLetter.A et VBS.NewLove.A ont pu se répandre et causer tant de dégats et tous les virus de type VBS (Visual Basic Script) et SHS (Scripting Host System).
  • Une grande partie des ransomwares et cryptowares (logiciels prenant toutes vos données en otage et vous demandant de payer une rançon pour vous en rendre l'usage) sont déployés.
WSHWindows Scripting Host ») est livré, dans Windows, avec 2 moteurs d'interprétation de scripts :
  1. JScript (le moteur JavaScript à la sauce Microsoft, non standard, non officiel, contenant des exotismes et des failles de sécurité)
  2. VBScript (le moteur Visual Basic Script - Microsoft Visual Basic Scripting Edition - une véritable machine à se faire attaquer - un générateur de failles de sécurité en flux continu).

Les fichiers contenant ces deux interpréteurs sont :

  1. Wscript.exe
  2. Csript.exe

La désactisation du WSH (« Windows Scripting Host ») est l'un des réglages à faire sur votre machine pour la "durcir" (voir la "Préparation d'un ordinateur"). Le comportement de l'utilisateur, votre comportement, reste la meilleure arme contre la face cachée du Web. Par exemple, n'ouvrez jamais une pièce jointe inconnue (surtout si elle à l'air d'être "ludique" - c'est à coup sûr un piège). N'ouvrez jamais une pièce jointe ni ne cliquez sur un lien non annoncé par un expéditeur connu et de confiance. Ayez une attitude et un comportement sécurisé, adoptez la bonne réaction face à un évènement hostile sinon vous risquez le virus PEBCAK.

Nota :

  • Laissez WSHWindows Scripting Host ») désactivé en permanence (Disabled) et ne le réactivez que pour un court instant lors d'un Windows-Update (Enabled) sans oublier de le désactiver à nouveau juste après.
  • Lorsque Windows, Internet Explorer, ou tout autre programme est installé ou mis à jour, l'exécution de Scripts grâce à WSH (« Windows Scripting Host ») peut se réactiver à votre insu. Il vous faudra alors désactiver à nouveau WSH (« Windows Scripting Host »).

Comment mettre à jour WSH ( Windows Scripting Host )Comment mettre à jour WSH ( Windows Scripting Host )Comment mettre à jour WSH ( Windows Scripting Host )

Vous pouvez rencontrer une erreur avec WSHWindows Scripting Host ») (par exemple durant l'installation d'un logiciel exploitant l'installateur "Windows Installer", qui s'appuie sur WSH). Suivre les liens ci-après (site de Microsoft - en anglais uniquement). Ces liens ne vous demandent pas d'utiliser la validation de votre Windows (avec l'espion "Genuine bidule" de Microsoft qui vous prend pour un pirate, à charge pour vous de prouver le contraire !) pour résoudre ce problème.

Redémarrer votre ordinateur une fois la mise à jour effectuée.

Comment activer / désactiver WSH ( Windows Scripting Host ) - Méthodes automatiquesComment activer / désactiver WSH ( Windows Scripting Host ) - Méthodes automatiquesComment activer / désactiver WSH ( Windows Scripting Host ) - Méthodes automatiques

Le paragraphe suivant donne les méthodes manuelles pour désactiver WSH « Windows Scripting Host » selon votre version de Windows mais :
  • Avec NoScript de Symantec (ne pas confondre avec NoScript)
    Symantec (Norton) met gratuitement à notre disposition un petit programme, « NoScript », qui permet de désactiver/ré-activer à volonté WSHWindows Scripting Host ») très simplement. Vous pouvez le télécharger ici. Il n'y a pas de décompression ni d'installation. Il fonctionne immédiatement et en flip/flop (Si, à son lancement, WSH est actif, il le désactive (le bouton fait apparaître "Disable" (Désactiver), s'il est désactivé il le réactive (le bouton fait apparaître "Enable" (Autoriser)).

    • NoScript (de Symantec) constate que WSHWindows Scripting Host ») est actif et propose la désactivation
      NoScript de Symantec - Désactiver / Activer WSH ( Windows Scripting Host ) JScript - VBScript - Wscript.exe - Csript.exe
      NoScript de Symantec - Désactiver / Activer WSH ( Windows Scripting Host ) JScript - VBScript - Wscript.exe - Csript.exe

    • Confirmation de la bonne fin de la désactivation
      NoScript de Symantec - Désactiver / Activer WSH ( Windows Scripting Host ) JScript - VBScript - Wscript.exe - Csript.exe
      NoScript de Symantec - Désactiver / Activer WSH ( Windows Scripting Host ) JScript - VBScript - Wscript.exe - Csript.exe

    • NoScript constate que WSHWindows Scripting Host ») est désactivé et propose la Réactivation
      NoScript de Symantec - Désactiver / Activer WSH ( Windows Scripting Host ) JScript - VBScript - Wscript.exe - Csript.exe
      NoScript de Symantec - Désactiver / Activer WSH ( Windows Scripting Host ) JScript - VBScript - Wscript.exe - Csript.exe

    • Confirmation de la bonne fin de la réactivation
      NoScript de Symantec - Désactiver / Activer WSH ( Windows Scripting Host ) JScript - VBScript - Wscript.exe - Csript.exe
      NoScript de Symantec - Désactiver / Activer WSH ( Windows Scripting Host ) JScript - VBScript - Wscript.exe - Csript.exe

  • D'autres méthodes anciennes, avec AVG Anti-spywares ou XP-AntiSpy, ont été retirées.

Comment activer / désactiver WSH ( Windows Scripting Host ) - Méthodes manuellesComment activer / désactiver WSH ( Windows Scripting Host ) - Méthodes manuellesComment activer / désactiver WSH ( Windows Scripting Host ) - Méthodes manuelles

Désactivation manuelle de WSHWindows Scripting Host ») :
  • Sous Windows 95
    Sous Windows 95, Windows Scripting Host n'est pas installé à l'origine. Toutefois, dès lors que vous avez installé ou mis à jour Internet Explorer, à partir de la version 5 de celui-ci, Windows Scripting Host est installé. Pour le désactiver (empêcher l'exécution des scripts) faire :
    • Lancez l'Explorateur de Windows
    • Sélectionnez "Affichage" > "Option"
    • Sélectionnez l'onglet "Types de Fichiers"
    • Localisez et sélectionner "Fichier script VBScript"
    • Cliquer sur "Supprimer"
    • Confirmer en cliquant sur "Oui"

  • Sous Windows 98
    Sous Windows 98, Windows Scripting Host est installé par défaut, dès l'origine (ou lors de l'installation d'Internet Explorer 5 ou suivants). Pour le désactiver (empêcher l'exécution des scripts) faire :
    • Démarrer > Paramètres > Panneau de Configuration
    • Double click sur "Ajout/Suppression de Programmes"
    • Sélectionnez l'onglet "Windows SetUp"
    • Double click sur "Accessoires"
    • Décocher la case "Windows Scripting Host"
    • Valisez ("OK").

  • Sous Windows 2000
    Sous Windows 2000, Windows Scripting Host est installé par défaut, dès l'origine. Pour le désactiver (empêcher l'exécution des scripts) faire :
    • Explorateur Windows > Outils > Options des dossiers
    • Sélectionnez l'onglet "Types de fichiers"
    • Localisez et sélectionner "Fichier script VBScript"
    • Cliquer sur "Supprimer"
    • Confirmer en cliquant sur "Oui"

  • Sous Windows NT
    Sous Windows NT, Windows Scripting Host n'est pas installé par défaut mais, dès lors que vous avez installé ou mis à jour Internet Explorer, à partir de la version 5 de celui-ci, Windows Scripting Host est installé. Pour le désactiver (empêcher l'exécution des scripts) faire :
    • Ouvrez une session administrateur
    • Démarrez l'Explorateur de Windows > Affichage > Options
    • Sélectionnez l'onglet "Types de fichiers"
    • Localisez et sélectionner "Fichier VBScript"
    • Cliquez sur "Supprimer"
    • Confirmez en cliquant sur "Oui"

  • En accédant à la base de registre
    Ne jamais chercher à modifier la base de registre si vous ne savez pas ce que vous faites et si vous n'êtes pas un familier de ce genre d'opérations.

    Voir les clés :
    HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings\Enabled
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings\Enabled

    Si l'une de ces clés à une valeur DWORD à '0', WSH est désactivé. Mettre cette valeur à '1' réactive le scripting.

Astuce : Détourner une exécution WSH à risques vers un exécutif anodinAstuce : Détourner une exécution WSH à risques vers un exécutif anodinAstuce : Détourner une exécution WSH à risques vers un exécutif anodin

Ceci est une "astuce". Les fichiers à risques de type .WSH sont, normalement, interprétés par WSHWindows Scripting Host »). Ceci est paramétré dans la base de registre (association entre un type de fichiers et l'outil à utiliser pour ouvrir ce type de fichiers - lire Comment associer un type de fichiers à une application).

Ceci peut être modifié pour faire en sorte que ce type de fichiers .WSH soit ouvert non pas par l'application qui provoque leur "exécution" mais par une application anodine comme le bloc-notes de Windows (NotePad) qui va afficher le contenu du script mais qui ne va pas exécuter le script.

L'exemple ci-dessous est donné pour Windows XP et varie selon le système mais le principe reste le même.

Démarrer > Poste de travail > Outils > Options des dossiers > Onglet "Types de fichiers" > Dans la liste déroulante sélectionner le type WSH (Windows Script Host Settings File)
Dans la zone "Détail concernant l'extension WSH" on voit que ce type de fichiers est ouvert par "Microsoft (r) Windows Based Script Host".

WSH - Astuce d'inhibition
WSH - Astuce d'inhibition de WSH

Cliquez sur le bouton "Modifier..." et associez le type WSH à "Bloc-notes". Cochez la case "Toujours utiliser ce programme pour ouvrir ce type de fichiers"

WSH - Astuce d'inhibition
WSH - Astuce d'inhibition de WSH