Gagnez chez un éditeur de sécurité qui a fait ses preuves : économisez 40% sur Kaspersky Anti Virus - Offre limitée
Profitez du distributeur français high-tech, culture, loisirs et maison : soldes 50% à la FNAC
Si vous invitiez un étranger chez vous, vous ne le laisseriez pas fouiller partout dans votre domicile, n’est-ce pas ? Surtout que vous ne le connaissez pas, et malgré une apparence respectable, il est peut-être malveillant. Et pendant que vous avez le dos tourné, il pourrait fouiller dans vos affaires, vous voler un objet ou trouver des informations personnelles ou confidentielles sur vous. Il n’en est pas question, bien sûr.
Et bien, sur votre ordi c’est pareil ! Si un pirate arrivait à s’y introduire, il pourrait tout faire. Comme fouiller dans vos fichiers, les voler ou les supprimer. Ou provoquer des erreurs logicielles jusqu’à empêcher votre appareil de fonctionner. Il n’en est pas question, n’est-ce pas ? Si c’est un programme malveillant qui s’exécute librement sur votre machine, il pourrait causer autant de dégâts. Et ça, aussi, c’est insupportable, pas vrai ?
C’est pourquoi la technique de l’étranger permet de limiter les conséquences d’une intrusion sur votre ordinateur. Ainsi elle améliore facilement votre sécurité Internet sous Windows. Alors pourquoi vous en priver ? Comment peut-elle compléter vos bonnes pratiques et votre antivirus ? C’est ce que vous allez voir maintenant.
Un étranger dans la nuit …
Il s’agit d’un point fondamental de la sécurité informatique proposé par le système d’exploitation ( ou OS ) de votre ordi. Et cet article traite des versions de Windows depuis l’année 1994 coté utilisateur ( client ). À savoir Windows 11 et Windows 10, et aussi les versions 8.1, 8, 7, Vista, XP, 2 000 et NT.
Le principe de base : le moindre privilège
Pour commencer je cite cet article :
L’un des principes fondamentaux de la sécurité du système d’exploitation est le principe du moindre privilège. Cela signifie qu’un processus ne doit bénéficier que des privilèges qui sont absolument nécessaires à l’accomplissement de sa tâche, et pas plus. Cela limite les dommages pouvant être causés si un processus est compromis. Par exemple, un processus qui n’a pas besoin d’écrire dans un fichier ne devrait pas être autorisé à le faire.
Appliqué à un utilisateur sous Windows ça donne quoi ? C’est un compte qui a les droits strictement nécessaires et pas plus, un compte à droits « limités ». Connecté sous Windows avec ce compte, vous pouvez lancer le navigateur pour interagir sur le web, la messagerie pour lire vos emails, utiliser un traitement de texte pour modifier un document ou toute autre application habituelle.
Mais vous ne pouvez pas installer une application ou modifier les fichiers du système d’exploitation parce que vous avez rarement besoin de le faire. Et quand ce sera le cas, ça sera possible, bien sûr, avec une manipulation légère d’authentification.
Ainsi, si un programme malveillant s’introduisait sur votre ordi sous ce compte limité, sa capacité de nuisance serait réduite, pas nulle mais limitée.
En revanche si sous utilisiez un compte qui a tous les droits sur la machine, un compte administrateur, alors un pirate intrus pourrait tout faire discrètement sur votre appareil : installer un spyware, modifier n’importe quel fichier du système, fouiller dans vos fichiers personnels, etc …
Microsoft a prévu depuis plus de trente ans un mécanisme simple à mettre en place pour réduire les conséquences d’une intrusion humaine ou logicielle sur votre ordi. Alors ça serait dommage de vous en priver.
Définition du compte standard ( ou limité ) sous Windows
Ce compte est la réponse au problème de cybersécurité posé par une intrusion avec les droits d’un administrateur du système. Et il permet une gestion saine des droits d’accès sur l’ordi. Le nom du compte à droits limités diffère suivant les versions de Windows. Microsoft l’a d’abord appelé « compte limité » puis « compte standard » jusqu’à aujourd’hui. Mais le principe reste le même : réduire les droits de l’utilisateur au strict nécessaire.
Comptes standard sur Windows 11, 10 et Vista
Windows 11, 10 et Vista proposent deux types de compte utilisateur.
- Un compte standard peut utiliser les applications et modifier des paramètres personnels. Mais il ne peut pas installer de logiciel ni modifier le système d’exploitation.
S’il a besoin d’élever ses privilèges sous Windows, une invite de contrôle de compte d’utilisateur ( UAC) s’affiche, demandant les identifiants d’un administrateur. Ainsi un formulaire s’ouvre pour saisir le pseudonyme et mot de passe de l’administrateur de la machine. Il peut aussi demander son empreinte digitale ou une autre authentification biométrique. - Tandis qu’un compte administrateur offre des privilèges élevés et un accès illimité au système d’exploitation. Ainsi un administrateur peut installer des logiciels, modifier les paramètres système et gérer les comptes utilisateurs.
Ainsi le contrôle de compte utilisateur ( UAC ) est une fonctionnalité importante de Windows dans la protection de votre système contre les modifications non autorisées.
Le compte standard est le compte à droits limités que nous avons vu plus haut. Il ne vous permet de faire sur l’ordi que les actions courantes nécessaires. Ainsi il limite les conséquences d’une intrusion sur votre appareil. C’est son intérêt majeur en matière de sécurité sur Internet.
Compte limité sur Windows 8.1, 8, 7, XP, 2 000 et NT
Windows 8.1, 8, 7, XP, 2 000 et NT proposent aussi deux types de compte utilisateur.
- Un compte limité a un accès restreint. Il ne peut pas installer de logiciels ni modifier les paramètres système. Pour effectuer des actions nécessitant des droits élevés, une invite UAC s’affiche.
- Et le compte administrateur a les mêmes privilèges élevés et un accès illimité au système d’exploitation que dans les versions récentes de Windows : Vista, 10 et 11.
Le compte limité des versions 8.1, 8, 7, XP, 2 000 et NT de Windows correspond au compte standard dans les versions récentes de Windows, Vista, 10 et 11. Le principe de moindre privilège est appliqué dans toutes les éditions de Windows. Vous allez voir maintenant comment le mettre en œuvre concrètement.
Mise en œuvre par étapes
On met en œuvre facilement cette sécurité sous Windows par étapes. D’abord nous allons créer un compte standard ( limité ) sous Windows. Ensuite nous verrons comment migrer les applications sur le nouveau compte.
Créer un compte standard ( limité )
C’est l’étape la plus rapide. L’interface change un peu en fonction des versions de Windows.
Créer un compte standard sous Windows Vista, 10 et 11
Il faut être connecté sous Windows avec un compte administrateur pour pouvoir ajouter un compte Windows local. En effet un compte standard ne permet pas de créer de compte Windows local. Je décris la procédure sous Windows 11, c’est a priori la même pour Windows 10 et Vista.
Pour cela :
- ouvrez la barre des tâches de Windows et cliquez droit sur l’icône Démarrer
- sélectionnez la ligne « Système »
- laissez la ligne « Vos comptes », elle ne nous intéresse pas ici; cliquez sur « autres utilisateurs »
- il propose un premier formulaire pour créer un compte distant avec un email ou un téléphone : ne choisissez pas cette option pour l’instant en suivant le lien « je ne dispose des informations de connexion »
- dans le formulaire suivant, cliquez sur « ajouter un utilisateur sans compte Microsoft » pour l’instant, pour la même raison
- dans le formulaire principal, saisissez un nom d’utilisateur, un mot de passe solide ( voici comment choisir un password solide facilement ),
- et répondez aux trois questions de sécurité
- et validez.
Ainsi vous avez créé un compte Windows standard local avec lequel vous vous connecterez à Internet en réduisant les risques.
Créer un compte limité sous Windows NT, XP, 2000, 7, 8 et 8.1
Pour Windows NT, XP, 2000, 7, 8 et 8.1, la méthode est similaire, bien que l’interface puisse varier légèrement.
Cet article du site PC astuces décrit la procédure pour créer un compte limité sous Windows 8.1. A l’étape 12, une fois le compte Windows local limité créé, il propose de le changer en compte administrateur. Ne le faîtes pas, laissez-le en compte limité.
La migration d’un compte administrateur à un compte standard
Une fois le compte standard ( ou limité ) créé, vous obtenez un compte vierge dans lequel il va vous falloir réinstaller vos applications, une par une. Il est possible de le faire progressivement pour que ça soit plus facile. En migrant une application par jour et en utilisant encore le compte administrateur le temps de la transition.
Après avoir ré-installé l’application sous le nouveau compte, il faudra récupérer les paramètres et données. Voici quelques exemples.
Pour le gestionnaire de mots de passe, il suffit de copier la base des passwords d’un compte à l’autre.
Pour le navigateur vous avez une procédure rapide selon votre logiciel :
Pour la messagerie :
- la procédure pour Outlook est ici sur le site de Microsoft
- et là pour Thunderbird sur le site de Mozilla
3 bénéfices pour la sécurité et les droits d’accès
Ainsi la technique de l’étranger, utiliser un compte Windows standard ( ou limité ) pour aller sur Internet, et dans tous les contextes, vous permet de réduire la surface d’attaque proposée aux hackers nuisibles et programmes malveillants. Ainsi les fichiers du système d’exploitation seront protégés et ils ne pourront installer un logiciel malveillant. Ça réduit nettement leur capacité de nuisance.
Alors qu’avec un compte administrateur Windows, une intrusion sur votre ordi aurait des conséquences néfastes maximales.
Ensuite vous protégez vos données personnelles des autres utilisateurs de la machine. Ils ne pourront avoir accès à vos fichiers depuis leur compte.
Enfin vous contrôlez les modifications du système et pouvez tracer les actions de changement de configuration. En effet, quand un logiciel veut en installer un autre ou modifier le système d’exploitation, il vous demande l’autorisation de le faire via un formulaire. C’est un contrôle de compte utilisateur ( un UAC ). Pour l’autoriser, c’est très simple, il suffit de saisir le mot de passe de l’administrateur pour autoriser l’action. Ou vous refusez le changement si vous avez un doute. Pour en savoir plus sur les UAC, suivez ce lien sur le site de Microsoft.
Ainsi Microsoft recommande d’utiliser un compte standard ( ou limité ) pour les tâches courantes ( navigation, envoi et réception d’emails, travail de bureau ) et de réserver le compte administrateur pour les tâches de configuration du système, de maintenance et d’installation d’application.