Aujourd'hui, nous allons voir l'UAC (User Access Control) qui est un mécanisme introduit avec Windows Vista, permettant de séparer explicitement les droits d'un compte administrateur.
Nous allons reprendre l'exemple de notre compte "Poire", qui est un compte qui fait partie du groupe "Administrateurs" et donc dispose de quasiment tous les droits sur l'ordinateur.
Grâce à l'UAC, un compte caché "Poire" avec des droits standard a été créé. (bon en vrai c'est deux jetons avec des droits différents, mais on va rester sur 2 sous-comptes :musique: ).
Ce compte "Poire standard" est utilisé par défaut pour toute les actions du quotidien (lancement d'un navigateur, ouverture d'un fichier Word etc…). Pour la suite de l'article, le compte "Poire administrateur" indiquera le compte d'administration.
Si "Poire" souhaite effectuer une tâche d'administration (normal c'est un administrateur), il faut lancer le programme souhaité avec les droits d'administration.
Le 1er carré vert, c'est "Poire standard" qui va ouvrir l'application, le second ce sera "Poire Standard" qui va demander d'ouvrir le programme en tant que "Poire administrateur".
La demande de "Poire standard" est matérialisé par la pop-up UAC suivante, que vous avez tous vu au moins une fois :
Cette simple fenêtre ou la majorité des gens clique sur "Oui" sans même lire ce qui est écrit est une très bonne protection contre les programmes qui souhaitent obtenir des droits supplémentaires silencieusement.
Le compte standard "Pomme" quant à lui n'est pas dans le groupe d'administration et donc quand il souhaite lancer un programme en tant qu'administrateur, l'UAC demande à l'utilisateur de s'authentifier en tant qu'utilisateur faisant parti du groupe "Administrateurs", comme Poire par exemple :
Cette demande explicite oblige "Pomme" à rentrer le mot de passe d'un compte administrateur, ce qui n'étais pas le cas avec "Poire".
Vous me direz "Mais en fait ça change quoi d'être administrateur ? ". Et bien énormément de choses :
- Pouvoir accéder et modifier quasiment tous les fichiers présents sur l'ordinateur. Je ne sais pas si le mot "ransomware" vous parle, mais si un administrateur se fait infecter, ce sera tous les documents qui seront chiffrés et pas uniquement les données de la personne en question.
- Désactiver un programme (antivirus, protections en tout genre)
- Détruire entièrement le système d'exploitation et les données qui sont dessus
- Installation d'un logiciel espion en profondeur, le rendant très difficilement supprimable (Rootkit kernel).
Enfin, il existe également des solutions permettant de contourner l'UAC, et donc en tant qu'utilisateur "Poire standard", il est possible de démarrer un programme en tant que "Poire Administrateur" sans que la demande d'UAC n'apparaisse.
Toutefois, les techniques sont rapidement bloquées par Microsoft, le classique jeu du chat et de la souris.
Pour résumer cet article :
- Utilisez un compte standard pour les tâches du quotidien,
- s'il vous plaît ne faites pas cette recherche, ça fait des trous dans la couche d'ozone
Calendrier économique :
Bon trades à tous et à tous 
Nous allons reprendre l'exemple de notre compte "Poire", qui est un compte qui fait partie du groupe "Administrateurs" et donc dispose de quasiment tous les droits sur l'ordinateur.
Grâce à l'UAC, un compte caché "Poire" avec des droits standard a été créé. (bon en vrai c'est deux jetons avec des droits différents, mais on va rester sur 2 sous-comptes :musique: ).
Ce compte "Poire standard" est utilisé par défaut pour toute les actions du quotidien (lancement d'un navigateur, ouverture d'un fichier Word etc…). Pour la suite de l'article, le compte "Poire administrateur" indiquera le compte d'administration.
Si "Poire" souhaite effectuer une tâche d'administration (normal c'est un administrateur), il faut lancer le programme souhaité avec les droits d'administration.
La demande de "Poire standard" est matérialisé par la pop-up UAC suivante, que vous avez tous vu au moins une fois :
Le compte standard "Pomme" quant à lui n'est pas dans le groupe d'administration et donc quand il souhaite lancer un programme en tant qu'administrateur, l'UAC demande à l'utilisateur de s'authentifier en tant qu'utilisateur faisant parti du groupe "Administrateurs", comme Poire par exemple :
Vous me direz "Mais en fait ça change quoi d'être administrateur ? ". Et bien énormément de choses :
- Pouvoir accéder et modifier quasiment tous les fichiers présents sur l'ordinateur. Je ne sais pas si le mot "ransomware" vous parle, mais si un administrateur se fait infecter, ce sera tous les documents qui seront chiffrés et pas uniquement les données de la personne en question.
- Désactiver un programme (antivirus, protections en tout genre)
- Détruire entièrement le système d'exploitation et les données qui sont dessus
- Installation d'un logiciel espion en profondeur, le rendant très difficilement supprimable (Rootkit kernel).
Enfin, il existe également des solutions permettant de contourner l'UAC, et donc en tant qu'utilisateur "Poire standard", il est possible de démarrer un programme en tant que "Poire Administrateur" sans que la demande d'UAC n'apparaisse.
Toutefois, les techniques sont rapidement bloquées par Microsoft, le classique jeu du chat et de la souris.
Pour résumer cet article :
- Utilisez un compte standard pour les tâches du quotidien,
- s'il vous plaît ne faites pas cette recherche, ça fait des trous dans la couche d'ozone
