Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Durant des années, les utilisateurs de Windows et les responsables de la sécurité des systèmes d'information ont critiqué la trop grande facilité avec laquelle il était possible de faire tout et n'importe quoi sous Windows.

Il faut tout de même rappeler que si Windows n'avait pas été aussi " permissif ", jamais la micro informatique n'aurait eu la pénétration qu'elle connaît dans notre vie et que la société en elle même serait différente.

La contre-partie de cette permissivité a été l'explosion de la cybercriminalité. Arriva alors, un peu tardiviment, le temps où des mesures de protection en amont des attaques, et non plus des mesures de correction et de décontamination en aval, après réussite d'une attaque, furent indispensables et furent mises en place.

L'une de ces mesures essentielles de protection, en amont, est mise en place avec le Contrôle de compte utilisateur (UAC ( User Account Control )), à partir de Windows Vista.

Cette disposition fait en sorte que, même si l'utilisateur est sous un compte administrateur (avec les droits les plus élevés, les droits administratifs), il ne travaille jamais avec ces droits mais avec ceux d'un simple utilisateur " normal " (privilèges réduits). Mais, s'il a besoin, momentanément et ponctuellement, des droits administratifs, il peut le demander sans fermer sa session et ouvrir une autre session sous un compte administratif.

Le besoin d'utiliser les droits administratifs n'est quasiment jamais requis. Le fait, pour un utilisateur, d'être tout le temps identifié en tant qu'administrateur, avec les droits assortis, permet à un cyberriminel ou une cybercriminalité, pénétrant une machine, de bénéficier immédiatement, et totalement, de tous ces droits alors qu'ils sont totalement inutiles dans 99,999% des cas.

L'excellent principe, à partir de Windows Vista, est que l'utilisateur, même sous un compte administratif, n'a que des droits réduits.

Si vous avez besoin, momentanément, pour un programme, de vos droits et privilèges administratifs, il suffit de :

  • Localiser le programme, avec l'Explorateur Windows ou, simplement, son raccourci.

  • Faire un clic droit sur ce " fichier exécutable "

  • Cliquer sur "Exécuter en tant qu'administrateur "

Le programme se lance, juste pour cette fois, avec vos privilèges administratifs et, une fois le programme fermé, cette élévation de privilèges est perdue. S'il est nécessaire de relancer le programme avec, encore une fois, une élévation de privilèges, il faut recommencer la manipulation. Tous les autres programmes, qui s'exécutent simultanément, ne sont pas touchés et continuent à s'exécuter sans privilèges particuliers.

Certaines applications (typiquement, un programme d'installation d'une application) nécessitent des privilèges administratifs. L'utilisateur n'a pas besoin de demander l'élévation de privilège. Windows dispose d'un mécanisme qui détecte ce type d'applications et demande, de lui-même, à l'utilisateur, en affichant une invite de validation, l'autorisation de s'exécuter avec élévation de privilèges.

Contrôle de compte utilisateur (UAC) - Demande d'élévation de privilèges
Contrôle de compte utilisateur (UAC) - Demande d'élévation de privilèges

Contrôle de compte utilisateur (UAC) - Demande d'élévation de privilèges
Contrôle de compte utilisateur (UAC) - Demande d'élévation de privilèges

Lorsque vous voyez cette invite de validation, acceptez-la si vous êtes à l'origine de cette alerte (vous souhaitez, par exemple, installer une application ou modifier le système), sinon, rejetez-la.



4 minutes pour survivre

On peut voir, sur les forums, quantité de demandes d'utilisateurs souhaitant désactiver le Contrôle de compte utilisateur (UAC ( User Account Control )) pour ce motif existentiel : « C'est ennuyeux » !

C'est une folie ! La désactivation du Contrôle de compte utilisateur (UAC) réduit considérablement la sécurité de votre système. Assiste vous recommande de ne jamais désactiver le contrôle de compte d'utilisateur (UAC).

Rappel :



Réglage du " Contrôle de compte utilisateur " (UAC)

Sous les systèmes d'exploitation postérieurs à Windows XP, vous DEVEZ être interrompus, sinon, votre réglage du " Contrôle de compte utilisateur " (appelé aussi " UAC " ( User Account Control )) est mal fait. Il doit être activé et être le suivant :

Sous les systèmes d'exploitation postérieurs à Windows XP, vous DEVEZ être interrompus, sinon, votre réglage du " Contrôle de compte utilisateur " (UAC) est mal fait.
Sous les systèmes d'exploitation postérieurs à Windows XP, vous DEVEZ être interrompus,
sinon, votre réglage du " Contrôle de compte utilisateur " (UAC) est mal fait.

Si ce n'est pas le cas, faire :
Démarrer Panneau de configuration Afficher par « Petites icônes » Comptes d'utilisateurs

  • Sous Vista : « Activer ou désactiver le contrôle des comptes d'utilisateurs » et cocher ou décocher (pas recommandé du tout) la case à cocher.

  • Sous Windows 7 / 8 : Modifier les paramètres de contrôle de compte d'utilisateur et faire glisser le curseur de « Ne jamais m'avertir » (l'UAC est désactivé - pas recommandé du tout) à « Toujours m'avertir " (vivement recommandé).

Vous pouvez également accéder à ces réglages lorsque l'invite de validation s'affiche. Dans cette fenêtre, vous demandant d'accepter une élévation de privilège, cliquez sur « Changer quand ces notifications apparaissent ».

Sous les systèmes d'exploitation postérieurs à Windows XP, vous DEVEZ être interrompus, sinon, votre réglage du " Contrôle de compte utilisateur " (UAC) est mal fait.
Sous les systèmes d'exploitation postérieurs à Windows XP, vous DEVEZ être interrompus,
sinon, votre réglage du " Contrôle de compte utilisateur " (UAC) est mal fait.



Le rôle du contrôle de compte d'utilisateur est de vous prévenir avant que des modifications nécessitant une autorisation de niveau Administrateur soient effectuées sur votre ordinateur. Le paramètre par défaut du contrôle de compte d'utilisateur vous avertit lorsque des programmes tentent de procéder à des modifications sur votre ordinateur, mais vous pouvez contrôler sa fréquence de notification en réglant certains paramètres.

Le tableau suivant donne une description des paramètres du contrôle de compte d'utilisateur et précise l'impact potentiel de chaque paramètre sur la sécurité de votre ordinateur.

Paramètre

Description

Impact sur la sécurité

Toujours m’avertir

  • Vous serez prévenu avant que des programmes puissent effectuer des modifications sur votre ordinateur ou sur des paramètres Windows nécessitant les autorisations d'un administrateur.

  • Lorsque vous êtes averti, la luminosité de votre Bureau s'assombrit, et vous devez approuver ou refuser la requête qui vous est faite dans la boîte de dialogue du contrôle de compte d'utilisateur pour pouvoir continuer d'utiliser votre ordinateur. Cette atténuation du Bureau est désignée sous l'appellation Bureau sécurisé, car aucun autre programme ne peut s'exécuter pendant cet assombrissement.

  • Il s'agit du paramètre le plus sécurisé.

  • Une fois averti, prenez le temps de lire attentivement le contenu de chaque boîte de dialogue avant d'autoriser le moindre changement sur votre ordinateur.

M’avertir uniquement quand des programmes tentent d'apporter des modifications à mon ordinateur

  • Vous serez prévenu avant que des programmes puissent effectuer sur votre ordinateur des modifications nécessitant les autorisations d'un administrateur.

  • Vous ne serez pas prévenu si vous essayez de modifier des paramètres de Windows nécessitant les autorisations d'un administrateur.

  • Vous serez averti si un programme extérieur à Windows essaie de procéder à des modifications sur un paramètre Windows.

  • En règle générale, vous pouvez autoriser sans crainte les modifications qui doivent être faites sur des paramètres Windows et ne pas demander à en être averti. Toutefois, certains programmes fournis avec Windows peuvent nécessiter la transmission de commandes ou de données, et des logiciels malveillants risquent alors d'en tirer parti en utilisant ces programmes pour installer des fichiers ou modifier des paramètres sur votre ordinateur. Vous devez toujours faire attention au choix des programmes dont vous autorisez l'exécution sur votre ordinateur.

M’avertir uniquement quand des programmes tentent d'apporter des modifications à mon ordinateur (ne pas estomper mon Bureau)

  • Vous serez prévenu avant que des programmes puissent effectuer sur votre ordinateur des modifications nécessitant les autorisations d'un administrateur.

  • Vous ne serez pas prévenu si vous essayez de modifier des paramètres de Windows nécessitant les autorisations d'un administrateur.

  • Vous serez averti si un programme extérieur à Windows essaie de procéder à des modifications sur un paramètre Windows.

  • Ce paramètre est identique à « M’avertir uniquement quand des programmes tentent d'apporter des modifications à mon ordinateur », mais vous n'en êtes pas notifié sur le Bureau sécurisé.

  • Avec ce paramètre, la boîte de dialogue du contrôle de compte d'utilisateur ne s'affiche plus sur le Bureau sécurisé, ainsi d'autres programmes peuvent influer sur l'aspect visuel de cette boîte de dialogue. Un risque mineur existe si un logiciel malveillant s'exécute déjà sur votre ordinateur.

Ne jamais m’avertir

  • Vous ne serez pas tenu informé avant que des changements soient apportés à votre ordinateur. Si vous avez ouvert une session en tant qu'administrateur, des programmes peuvent procéder à des modifications sur votre ordinateur sans que vous le sachiez.

  • Si vous avez ouvert une session comme utilisateur standard, tout changement nécessitant des autorisations de la part d'un administrateur sera automatiquement refusé.

  • Si vous sélectionnez ce paramètre, vous devrez redémarrer l'ordinateur pour achever le processus de désactivation du contrôle de compte d'utilisateur. Une fois cette fonctionnalité désactivée, toutes les personnes se connectant en tant qu'administrateurs bénéficieront en permanence des autorisations d'un administrateur.

  • Il s'agit du paramètre le moins sécurisé. Lorsque vous définissez le contrôle de compte d'utilisateur pour ne jamais être prévenu, vous exposez votre ordinateur à tous les risques de sécurité potentiels.

  • Si vous définissez le contrôle de compte d'utilisateur pour ne jamais notifier l'utilisateur de toute modification éventuelle, faites attention aux programmes que vous exécutez, car ils détiennent le même accès à l'ordinateur que vous. Ceci englobe la lecture et la possibilité de modifier des zones système protégées, vos données personnelles, des fichiers enregistrés et tout autre élément se trouvant stocké sur l'ordinateur. Les programmes seront également en mesure de communiquer et de transférer des informations depuis toute source ou vers toute destination à laquelle votre ordinateur se trouve connecté, y compris l'internet.



  • Contrôle de compte utilisateur (UAC)