Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.01.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Pour sécuriser un ordinateur sous Windows, il faut impérativement désactiver WSHWindows Scripting Host ») pour l'interprétation des scripts (les « macros » (macrocommandes) en VBScript) dont la plupart des ordinateurs et des utilisateurs n'ont absolument pas besoin. Il sera toujours possible de le réactiver momentanément par l'opération inverse, et revenir immédiatement à sa désactivation.

De violentes campagnes d'attaques par spams (envois massifs de mail) piégés, contenant des documents en pièces jointes aux apparences attractives, embarquent des hostilités sous forme de scriptsWSHWindows Scripting Host »). Malheureusement, les utilisateurs ouvrent tout sans réfléchir, sans avoir peur ! Pourtant, « La peur est le commencement de la sagesse. » (François Mauriac en 1927 dans son roman Thérèse Desqueyroux).

De violentes campagnes d'exploitation de failles de sécurité côté serveurs (ordinateurs hébergeant les sites que vous visitez) permettent aux cybercriminels de pénétrer les serveurs et d'injecter des scanners de failles (packs de scan d'exploits) qui, depuis les pages Web que vous visitez, recherchent les failles de sécurité qui vous affectent (côté client) et compromettent alors votre ordinateur avec des malveillances utilisant WSHWindows Scripting Host »).

C'est grâce à WSHWindows Scripting Host »), et à l'usage des générateurs de failles en flux continu Internet Explorer et Outlook (ou Outlook Express) au lieu d'outils comme Firefox et Thunderbird, que, par exemple :

  • Les vers ( worms) VBS.LoveLetter.A et VBS.NewLove.A ont pu se répandre et causer tant de dégâts et tous les virus de type VBS (Visual Basic Script) et SHS (Scripting Host System).

  • Une grande partie des ransomwares et cryptowares (logiciels prenant toutes vos données en otage et vous demandant de payer une rançon pour vous en rendre l'usage) sont déployés.

WSHWindows Scripting Host ») est livré, dans Windows, avec 2 moteurs d'interprétation de scripts :

  1. JScript (le moteur JavaScript à la sauce Microsoft, non standard, non officiel, contenant des exotismes et des failles de sécurité).

  2. VBScript (le moteur Visual Basic Script - Microsoft Visual Basic Scripting Edition - une véritable machine à se faire attaquer - un générateur de failles de sécurité en flux continu).

Les fichiers contenant ces deux interpréteurs sont :

  1. Wscript.exe

  2. Csript.exe

La désactivation du WSH (« Windows Scripting Host ») est l'un des réglages à faire sur votre machine pour la « durcir » (voir la Préparation d'un ordinateur). Le comportement de l'utilisateur, votre comportement, reste la meilleure arme contre la face cachée du Web. Par exemple, n'ouvrez jamais une pièce jointe inconnue (surtout si elle à l'air d'être ludique - c'est à coup sûr un piège). N'ouvrez jamais une pièce jointe ni ne cliquez sur un lien non annoncé par un expéditeur connu et de confiance. Ayez une attitude et un comportement sécurisé, adoptez la bonne réaction face à un évènement hostile sinon vous risquez le virus PEBCAK.

Nota :

  • Laissez WSHWindows Scripting Host ») désactivé en permanence (Disabled) et ne le réactivez que pour un court instant lors d'un Windows-Update (Enabled) sans oublier de le désactiver à nouveau juste après.

  • Lorsque Windows, Internet Explorer, ou tout autre programme est installé ou mis à jour, l'exécution de scripts grâce à WSH (« Windows Scripting Host ») peut se réactiver à votre insu. Il vous faudra alors désactiver à nouveau WSH (« Windows Scripting Host »).



Vous pouvez rencontrer une erreur avec WSHWindows Scripting Host ») (par exemple durant l'installation d'un logiciel exploitant l'installateur "Windows Installer", qui s'appuie sur WSH). Suivre les liens ci-après (site de Microsoft - en anglais uniquement). Ces liens ne vous demandent pas d'utiliser la validation de votre Windows (avec l'espion "Genuine bidule" de Microsoft qui vous prend pour un pirate, à charge pour vous de prouver le contraire !) pour résoudre ce problème.

Redémarrer votre ordinateur une fois la mise à jour effectuée.



Utilisation d'outil :

  • Avec NoScript de Symantec (ne pas confondre avec NoScript)
    Symantec (Norton) met gratuitement à notre disposition un petit programme, « NoScript », qui permet de désactiver/réactiver à volonté WSHWindows Scripting Host ») très simplement.

    Vous pouvez le télécharger ici.

    Il n'y a pas de décompression ni d'installation. Il fonctionne immédiatement et en flip/flop (si, à son lancement, WSH est actif, il le désactive (le bouton fait apparaître « Disable » (Désactiver), s'il est désactivé il le réactive (le bouton fait apparaître « Enable » (Autoriser)).

    • NoScript (de Symantec) constate que WSHWindows Scripting Host ») est actif et propose la désactivation


      NoScript de Symantec - Désactiver / Activer WSH ( Windows Scripting Host ) JScript - VBScript - Wscript.exe - Csript.exe
      NoScript de Symantec - Désactiver / Activer WSH ( Windows Scripting Host ) JScript - VBScript - Wscript.exe - Csript.exe

    • Confirmation de la bonne fin de la désactivation


      NoScript de Symantec - Désactiver / Activer WSH ( Windows Scripting Host ) JScript - VBScript - Wscript.exe - Csript.exe
      NoScript de Symantec - Désactiver / Activer WSH ( Windows Scripting Host ) JScript - VBScript - Wscript.exe - Csript.exe

    • NoScript constate que WSHWindows Scripting Host ») est désactivé et propose la Réactivation


      NoScript de Symantec - Désactiver / Activer WSH ( Windows Scripting Host ) JScript - VBScript - Wscript.exe - Csript.exe
      NoScript de Symantec - Désactiver / Activer WSH ( Windows Scripting Host ) JScript - VBScript - Wscript.exe - Csript.exe

    • Confirmation de la bonne fin de la réactivation


      NoScript de Symantec - Désactiver / Activer WSH ( Windows Scripting Host ) JScript - VBScript - Wscript.exe - Csript.exe
      NoScript de Symantec - Désactiver / Activer WSH ( Windows Scripting Host ) JScript - VBScript - Wscript.exe - Csript.exe
  • D'autres méthodes anciennes, avec AVG Antispywares ou XP-AntiSpy, initialement décrites ici, ont été retirées.

  • Le programme Marmiton de Malekal permet de bloquer ces scripts :

    VBS, VBE, JS, JSE, WSH, WSF, SHB, SHS
    Les .HTA ont été ajoutés suite aux récentes campagnes de pourriels.

    Télécharger : Marmiton de Malekal.



Désactivation manuelle de WSHWindows Scripting Host ») :

  • Sous Windows 95

    Sous Windows 95, Windows Scripting Host n'est pas installé à l'origine. Toutefois, dès lors que vous avez installé ou mis à jour Internet Explorer, à partir de la version 5 de celui-ci, Windows Scripting Host est installé. Pour le désactiver (empêcher l'exécution des scripts) faire :

    • Lancez l'Explorateur de Windows

    • Sélectionnez "Affichage" "Option"

    • Sélectionnez l'onglet "Types de Fichiers"

    • Localisez et sélectionner "Fichier script VBScript"

    • Cliquer sur "Supprimer"

    • Confirmer en cliquant sur "Oui"

  • Sous Windows 98

    Sous Windows 98, Windows Scripting Host est installé par défaut, dès l'origine (ou lors de l'installation d'Internet Explorer 5 ou suivants). Pour le désactiver (empêcher l'exécution des scripts) faire :

    • Démarrer Paramètres Panneau de Configuration.

    • Double click sur "Ajout/Suppression de Programmes".

    • Sélectionnez l'onglet "Windows SetUp".

    • Double click sur "Accessoires".

    • Décocher la case "Windows Scripting Host".

    • Validez ("OK").

  • Sous Windows 2000

    Sous Windows 2000, Windows Scripting Host est installé par défaut, dès l'origine. Pour le désactiver (empêcher l'exécution des scripts) faire :

    • Explorateur Windows Outils > Options des dossiers.

    • Sélectionnez l'onglet "Types de fichiers".

    • Localisez et sélectionner "Fichier script VBScript".

    • Cliquer sur "Supprimer".

    • Confirmer en cliquant sur "Oui".

  • Sous Windows NT

    Sous Windows NT, Windows Scripting Host n'est pas installé par défaut mais, dès lors que vous avez installé ou mis à jour Internet Explorer, à partir de la version 5 de celui-ci, Windows Scripting Host est installé. Pour le désactiver (empêcher l'exécution des scripts) faire :

    • Ouvrez une session administrateur.

    • Démarrez l'Explorateur de Windows Affichage > Options.

    • Sélectionnez l'onglet "Types de fichiers".

    • Localisez et sélectionner "Fichier VBScript".

    • Cliquez sur "Supprimer".

    • Confirmez en cliquant sur "Oui".

  • En accédant à la base de registre

    Ne jamais chercher à modifier la base de registre si vous ne savez pas ce que vous faites et si vous n'êtes pas un familier de ce genre d'opérations.

    Voir les clés :
    HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings\Enabled
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings\Enabled

    Si l'une de ces clés à une valeur DWORD à '0', WSH est désactivé. Mettre cette valeur à '1' réactive le scripting.



Ceci est une astuce. Les fichiers à risques de type .WSH sont, normalement, interprétés par WSHWindows Scripting Host »). Ceci est paramétré dans la base de registre (association entre un type de fichiers et l'outil à utiliser pour ouvrir ce type de fichiers).

Lire Comment associer un type de fichiers à une application.

Ceci peut être modifié pour faire en sorte que ce type de fichiers .WSH soit ouvert non pas par l'application qui provoque leur "exécution" mais par une application anodine comme le bloc-notes de Windows (NotePad) qui va afficher le contenu du script mais qui ne va pas exécuter le script.

L'exemple ci-dessous est donné pour Windows XP et varie selon le système mais le principe reste le même.

Démarrer Poste de travail Outils Options des dossiers Onglet "Types de fichiers" Dans la liste déroulante sélectionner le type WSH (Windows Script Host Settings File)
Dans la zone "Détail concernant l'extension WSH" on voit que ce type de fichiers est ouvert par "Microsoft (r) Windows Based Script Host".


WSH - Astuce d'inhibition
WSH - Astuce d'inhibition de WSH

Cliquez sur le bouton "Modifier..." et associez le type WSH à "Bloc-notes". Cochez la case "Toujours utiliser ce programme pour ouvrir ce type de fichiers"


WSH - Astuce d'inhibition
WSH - Astuce d'inhibition de WSH



  • Comment activer/désactiver WSH (Windows Scripting Host)