Les ransomwares — ce cauchemar où les fichiers disparaissent ou sont chiffrés et nécessitent une rançon — sont passés du statut de menace rare à celui de fléau quotidien. Cryptolocker et ses semblables chiffrent tout ce qui est important sur vos disques et vous font payer une rançon pour tenter de le récupérer. Pas très agréable, surtout si vous n’êtes pas bien préparé. Heureusement, Windows intègre des outils et des bonnes pratiques qui peuvent ralentir, voire bloquer, ces attaques avant qu’elles ne causent de réels dégâts. Ce n’est pas une solution miracle, mais c’est un début — et combiné à de bonnes habitudes, cela peut considérablement renforcer votre sécurité.
Dans ce guide, vous découvrirez des solutions rapides et efficaces, comme l’activation des fonctions de sécurité, la configuration de la protection contre les ransomwares et quelques astuces supplémentaires qui vous éviteront bien des soucis. L’objectif est de mettre en place une protection multicouche afin que les ransomwares rencontrent un maximum de barrières avant de verrouiller vos fichiers ou de se propager. Vous devrez utiliser des commandes, modifier certains chemins d’accès et ajuster certains paramètres. Tout ne fonctionnera pas forcément du premier coup, mais ces étapes sont basées sur des cas réels ; parfois, redémarrer l’ordinateur après les modifications ou réactiver certaines options peut résoudre le problème. Windows a parfois ses petits défauts.
Comment renforcer la protection de votre système Windows contre les ransomwares
Activer les outils de sécurité intégrés de base sous Windows
Avant toute chose, il est impératif de vérifier que votre protection de base est bien activée. Si Windows Defender n’est pas actif ou si une application tierce perturbe le système, la sécurité est compromise. Assurez-vous donc que Windows Defender est en cours d’exécution, que le pare-feu est activé et que le Contrôle de compte d’utilisateur (UAC) est configuré à un niveau approprié. Ces éléments constituent la base qui bloque de nombreuses menaces avant même qu’elles ne se manifestent.
- Ouvrir Paramètres → Mise à jour et sécurité → Sécurité Windows
- Cliquez sur Protection antivirus et anti-menaces
- Assurez-vous que la protection en temps réel et le pare-feu sont activés.
Installez régulièrement les mises à jour Windows, même si cela peut paraître fastidieux, car Microsoft publie des correctifs pour les failles de sécurité connues. Il en va de même pour les applications tierces : il est crucial de les maintenir à jour, car les anciennes versions sont des cibles privilégiées des pirates. Si vos comptes utilisateurs disposent de privilèges d’administrateur au quotidien, envisagez de passer à des comptes standard ou d’utiliser des mots de passe d’administrateur local à modifier régulièrement (comme Windows LAPS).Les sauvegardes sont également essentielles : appliquez toujours la règle 3-2-1, c’est-à-dire trois copies, deux sur des supports différents, dont une hors site. C’est rébarbatif, mais ça sauve des vies.
Activez la protection contre les ransomwares de Microsoft Defender avec accès contrôlé aux dossiers
C’est plutôt pratique : l’accès contrôlé aux dossiers (ACD) empêche les ransomwares de s’attaquer à vos dossiers importants. Cette fonctionnalité fait partie de la Protection contre les exploits de Windows Defender et, honnêtement, elle est un peu sous-estimée. Car, évidemment, Windows se doit de rendre sa détection plus difficile que nécessaire. Par défaut, l’ACD ne couvre que les dossiers par défaut comme Documents, Images, Musique, Vidéos et Bureau. Mais vous pouvez ajouter d’autres chemins d’accès, comme votre dossier Dropbox ou vos dossiers de projets personnalisés, en explorant les paramètres.
Pour l’allumer :
- Ouvrir Paramètres → Confidentialité et sécurité → Sécurité Windows
- Cliquez sur Protection antivirus et contre les menaces → Gérer la protection contre les ransomwares
- Activer l’accès contrôlé aux dossiers
Une fois la protection activée, ajoutez des dossiers dans la section « Dossiers protégés ». Vous pouvez également autoriser certaines applications (comme Notepad++ ou votre outil de sauvegarde) dans la liste « Autoriser une application via l’accès contrôlé aux dossiers ». Sur certaines configurations, la protection peut être capricieuse : elle peut ne pas être effective immédiatement ou nécessiter un redémarrage pour que les nouveaux dossiers soient pris en compte.
Vous souhaitez automatiser le processus ? PowerShell simplifie la tâche :
Set-MpPreference -EnableControlledFolderAccess Enabled Add-MpPreference -ControlledFolderAccessProtectedFolders "C:\ImportantData" Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files\Notepad++\notepad++.exe"Si vous utilisez Active Directory, les stratégies de groupe vous permettent de déployer ces paramètres : accédez à Configuration ordinateur → Modèles d’administration → Composants Windows → Antivirus Windows Defender → Protection contre les exploits Windows Defender → Accès contrôlé aux dossiers. C’est fastidieux si vous gérez de nombreux PC, mais cela en vaut la peine.
Comment bloquer les programmes indésirables à l’aide des politiques de restriction logicielle (AppLocker)
Pour contrôler strictement les programmes pouvant s’exécuter sur une machine, il faut recourir aux stratégies de restriction logicielle (ou à AppLocker).Concrètement, cela permet d’indiquer à Windows quels programmes sont autorisés et lesquels ne le sont pas, bloquant ainsi la quasi-totalité des autres. Cette méthode n’est pas infaillible, mais elle constitue une mesure de protection courante en entreprise.
Voici l’essentiel :
- Ouvrir l’Éditeur de stratégie de groupe (gpmc.msc ou gpedit.msc)
- Accédez à Configuration ordinateur → Paramètres Windows → Paramètres de sécurité → Stratégies de restriction logicielle
S’il n’existe pas encore de règles, créez-les. Définissez ensuite la valeur par défaut sur « Interdit » (mode « Tout refuser sauf autorisation »).Enfin, créez des règles pour les répertoires tels que `/etc/src` %SystemRoot%, C:\Program Files`/etc/src` et les applications de confiance spécifiques.
Par exemple, vous pouvez définir des règles afin que seules vos applications professionnelles approuvées s’exécutent :
- Autoriser à partir de
C:\Program Files\YourApp - Refuser tout le reste, ou n’autoriser que certaines extensions.
Essayez ensuite de lancer une application depuis un répertoire non autorisé ; vous verrez probablement le message « Cette application a été bloquée par votre administrateur système ».Croyez-le ou non, cela peut vous sauver la mise si un ransomware tente d’exécuter un fichier malveillant.
Sécurisez les dossiers partagés avec FSRM sur Windows Server
Si vous utilisez un serveur Windows avec un système de dossiers partagés, FSRM (File Server Resource Manager) permet de limiter les types de fichiers créés ou stockés. Il agit comme un filtre pour les types de fichiers, empêchant ainsi les ransomwares de télécharger ou de créer des fichiers malveillants.
Pour installer :
Install-WindowsFeature FS-Resource-Manager -IncludeManagementToolsUne fois installé, créez un groupe de fichiers contenant uniquement les extensions autorisées (comme .docx, .xlsx, etc.).Ensuite, activez un filtrage des fichiers sur votre partage :
- Dans FSRM, accédez à Écrans de fichiers → Créer un écran de fichier
- Sélectionnez votre dossier partagé
- Définir le type de filtrage sur Actif
- Choisissez votre groupe de fichiers prédéfini (comme Tous les fichiers ) pour bloquer tout le reste
Configurez des alertes par e-mail ou des journaux d’événements si vous souhaitez être notifié lorsqu’une personne tente de télécharger un type de fichier non autorisé. Vous pouvez également spécifier des exceptions, par exemple autoriser certains types de fichiers .pdfdans un dossier mais en bloquer d’autres .exe.
Protéger les fichiers avec les instantanés VSS
Enfin, une astuce précieuse et souvent négligée : activez le service VSS (Volume Shadow Copy Service).Il vous permet de restaurer des versions antérieures de vos fichiers sans avoir besoin de sauvegardes ni d’outils de récupération spécifiques. Si un ransomware chiffre toutes vos données, vous pourrez peut-être revenir à un état antérieur. Une solution salvatrice, mais qui doit être configurée au préalable.
Configurer VSS :
- Activez le service : Services.msc → recherchez « Volume Shadow Copy » → définissez-le sur Automatique.
- Déployez l’ outil vshadow.exe sur vos machines (copiez-le depuis le SDK Windows, généralement situé dans Program Files, puis utilisez la stratégie de groupe pour le déployer sur les systèmes des utilisateurs).
- Créez des tâches planifiées (de préférence avec PowerShell) qui s’exécutent à intervalles réguliers pour créer des instantanés :
$disks = Get-WmiObject -Query "SELECT * FROM Win32_LogicalDisk WHERE DriveType=3" foreach ($disk in $disks) { $drive = $disk. DeviceID Start-Process -FilePath "vshadow.exe" -ArgumentList "-p $drive" }Si un ransomware parvient à chiffrer vos fichiers, vérifiez les copies de sauvegarde (shadow copies) avec `mkbd` vssadmin list shadows, puis montez-en une avec `mkd` vshadow -el={ID}, Z:et tentez de les récupérer. Ce n’est pas infaillible, mais c’est mieux que rien.
En résumé, la combinaison de ces tactiques (activation des fonctions de sécurité, restriction des applications, gestion des types de fichiers et sauvegarde des données) complique considérablement la tâche des ransomwares. Ce n’est pas la solution miracle, mais c’est mieux que de se défendre sans outils.
Résumé
- J’ai activé Windows Defender et le pare-feu, et j’ai veillé à ce que tout soit à jour.
- J’ai activé l’accès contrôlé aux dossiers et ajouté les dossiers critiques.
- Configurez AppLocker ou SRP pour bloquer les applications inconnues.
- Utilisation de FSRM sur les serveurs pour restreindre les types de création de fichiers
- Configurer les instantanés VSS pour la récupération
Conclure
Bien que ces mesures ne constituent pas une solution miracle, elles contribuent à créer une défense multicouche. Leur mise en place peut sembler excessive, mais c’est comme installer un bon système d’alarme : on espère ne pas avoir à s’en servir, mais c’est rassurant de l’avoir en cas de problème. L’essentiel est d’être constant et de maintenir le système à jour. Croisons les doigts pour que cela permette à certains d’éviter le cauchemar d’une attaque par rançongiciel, ou du moins de se défendre. Bonne chance !