Un PC sorti de boîte avec Windows en configuration d’usine est déjà partiellement exposé. Les services inutiles tournent, le pare-feu laisse passer ce qu’il devrait bloquer, le BIOS n’a pas de mot de passe. Selon le rapport ENISA Threat Landscape 2024, 80 % des compromissions exploitent une configuration par défaut. Le hardening (ou durcissement) consiste à corriger ça systématiquement, couche par couche, avant qu’un attaquant n’en profite.
Les techniques décrites ici viennent des environnements haute sécurité. Administrations, banques, infrastructures industrielles SCADA. Certaines s’appliquent en 30 minutes sur n’importe quel PC Windows. D’autres supposent une configuration Linux comme système hôte avec Windows en machine virtuelle isolée.
Au programme de cet article
- Un PC non durci est vulnérable dès l’allumage
- Verrouiller le BIOS et activer Secure Boot correctement
- Chiffrer le disque entier avec BitLocker ou LUKS
- Réduire la surface d’attaque Windows avec les CIS Benchmarks
- Linux comme système hôte avec Windows en machine virtuelle
- Cloisonner l’accès réseau
- Principe de moindre privilège et rotation du matériel
- Ce qu’on peut appliquer soi-même en moins d’une heure
Un PC non durci est vulnérable dès l’allumage
Un PC Windows fraîchement installé démarre avec des dizaines de services actifs dont la plupart des utilisateurs n’ont jamais besoin. Chaque service ouvert est un vecteur d’attaque potentiel. Le BIOS n’a pas de mot de passe, ce qui permet à n’importe qui avec un accès physique de démarrer sur une clé USB en 90 secondes et de contourner tout le système. Secure Boot est parfois activé, mais sans mot de passe BIOS il ne sert à rien. Un attaquant peut le désactiver depuis l’UEFI avant même que Windows ne charge.
Le principe du hardening tient en une règle. Refuser tout par défaut, n’autoriser que ce qui est nécessaire. C’est l’opposé exact d’une installation standard, qui autorise tout et restreint au cas par cas. Les CIS Benchmarks (Center for Internet Security) formalisent cette logique en deux niveaux. Le niveau 1 couvre 250 à 300 paramètres sans impact sur la productivité. Le niveau 2 monte à 550 paramètres pour les environnements sensibles.
Verrouiller le BIOS et activer Secure Boot correctement
Le mot de passe BIOS (ou UEFI) est la première barrière physique. Sans lui, un attaquant avec accès à la machine peut modifier la séquence de démarrage, désactiver Secure Boot et booter depuis une clé USB infectée. L’opération prend moins de 2 minutes et laisse zéro trace dans Windows.
Secure Boot vérifie la signature cryptographique de chaque composant chargé au démarrage. Il empêche un bootloader malveillant de s’installer sous Windows. Mais Secure Boot sans mot de passe BIOS, c’est une porte blindée sans verrou. Il suffit de passer par l’UEFI pour le désactiver. Les deux mesures sont indissociables.
Pour les machines qui le supportent, activer également la protection DMA via IOMMU (Intel VT-d ou AMD-Vi dans le BIOS). Les ports Thunderbolt et USB-C sans protection DMA permettent une attaque directe sur la mémoire vive par DMA (Direct Memory Access), indépendamment du système d’exploitation.
| Mesure BIOS/UEFI | Ce qu’elle bloque | Où l’activer |
|---|---|---|
| Mot de passe superviseur UEFI | Modification de la config BIOS par un attaquant physique | Security → Set Supervisor Password |
| Secure Boot activé | Bootloader malveillant non signé | Boot → Secure Boot → Enabled |
| Boot USB désactivé | Démarrage sur support externe non autorisé | Boot Order → retirer USB/CD |
| IOMMU (VT-d / AMD-Vi) | Attaque DMA via Thunderbolt/USB-C | Advanced → VT-d ou AMD IOMMU → Enabled |
| TPM 2.0 activé | Déchiffrement du disque sans puce dédiée | Security → TPM Device → Enabled |
Chiffrer le disque entier avec BitLocker ou LUKS
Un disque non chiffré extrait d’un PC volé se lit en clair depuis n’importe quel autre ordinateur. Le chiffrement complet du disque rend cette opération inutile même avec un accès physique direct au matériel.
Sur Windows, BitLocker chiffre le volume système et lie la clé de déchiffrement à la puce TPM 2.0. Au démarrage, le TPM vérifie que le système n’a pas été modifié (BIOS, Secure Boot, séquence de boot) avant de libérer la clé. Sans TPM dédié, BitLocker est utilisable avec un mot de passe de démarrage, mais la protection est moindre.
assistouest.frSur Linux, LUKS (Linux Unified Key Setup) fait l’équivalent. La partition est chiffrée en AES-256 et le mot de passe est demandé avant le chargement du système. LUKS peut aussi être couplé à une clé stockée sur puce TPM via systemd-cryptenroll sur les distributions modernes.
Réduire la surface d’attaque Windows avec les CIS Benchmarks
Le durcissement Windows consiste à désactiver les services inutiles, restreindre les droits locaux, configurer le pare-feu et appliquer des politiques de groupe (GPO) selon un référentiel validé. Les CIS Benchmarks fournissent une liste de paramètres avec leur justification. L’ANSSI publie des recommandations équivalentes adaptées au contexte réglementaire français (NIS 2, LPM).
HardeningKitty est l’outil open source de référence pour auditer et appliquer ces paramètres sur Windows. Il s’exécute en PowerShell, compare la configuration actuelle aux listes CIS ou Microsoft Security Baseline et produit un rapport des écarts. Un audit de base prend moins de 10 minutes.
# Lancer un audit HardeningKitty (PowerShell, en tant qu'admin) Invoke-HardeningKitty -Mode Audit -Log -Report
Les paramètres les plus impactants au niveau 1 comprennent la désactivation de SMBv1, du compte Administrateur local, l’activation de Windows Defender Credential Guard, la restriction de WinRM et la désactivation des scripts PowerShell non signés.
| Niveau CIS | Paramètres couverts | Impact productivité | Profil cible |
|---|---|---|---|
| Level 1 | 250 à 300 | Nul | Tout PC Windows |
| Level 2 | 550 à 650 | Modéré | Postes sensibles, entreprises |
| ANSSI Élevé (BP-028) | Non public | Fort | OIV, défense, État |
Linux comme système hôte avec Windows en machine virtuelle
C’est l’architecture utilisée sur les postes les plus sensibles, administrations et infrastructures critiques incluses. Le principe est le suivant. Linux tourne directement sur le matériel, réduit au minimum (aucune interface graphique, services limités au strict nécessaire, droits root inaccessibles à l’utilisateur). Windows s’exécute dans une machine virtuelle KVM isolée, lancée depuis cet environnement Linux verrouillé.
Architecture haute sécurité
Utilisateur
│
VM Windows (KVM/QEMU) ←── interface métier, applications bureautiques
│
Hyperviseur KVM (ring −1)
│
Linux minimal durci ←── seul accès au matériel
│
Matériel physique (CPU · RAM · Disque · Réseau)
Ce choix présente 3 avantages concrets. La surface d’attaque du système hôte est drastiquement réduite. Linux n’expose que les services indispensables à la VM. Si la VM Windows est compromise, l’infection est confinée à l’image virtuelle, supprimable et réinitialisable sans toucher le système hôte. Enfin, l’hôte Linux peut imposer des règles de filtrage réseau (iptables, nftables) que Windows dans la VM ne peut pas contourner.
Les performances baissent de 5 à 15 % selon la charge (overhead de la couche de virtualisation). Dans les environnements haute sécurité, ce coût est assumé. Pour la virtualisation matérielle, notre guide sur activer VT-x ou AMD-V dans le BIOS explique la configuration par marque.
AppArmor et SELinux pour confiner les applications
Même sur un Linux durci, une application compromise peut tenter d’accéder à des fichiers ou des processus hors de son périmètre. AppArmor (Debian, Ubuntu) et SELinux (Red Hat, Fedora) définissent des profils de confinement par application. Chaque processus ne voit que les ressources explicitement autorisées dans son profil. Un service réseau compromis ne peut pas lire les fichiers de l’utilisateur, même en root, si le profil l’interdit.
Cloisonner l’accès réseau
Sur un poste haute sécurité, l’accès Internet n’est pas libre. Toutes les connexions sortantes passent par un proxy filtrant qui inspecte les flux, bloque les domaines non autorisés et journalise les activités réseau. Seule une liste blanche de domaines est accessible depuis le poste utilisateur.
Pour un usage personnel ou en PME, l’équivalent accessible est un DNS filtrant local. Pi-hole ou AdGuard Home bloquent les domaines malveillants, de tracking et publicitaires au niveau réseau, avant même que le navigateur ne charge la page. Ce n’est pas le niveau d’un proxy gouvernemental, mais ça coupe une large partie des vecteurs d’infection courants.
Le cloisonnement réseau ne repose pas sur un VPN grand public. Un VPN applicatif (NordVPN, Mullvad) protège le transit entre le poste et le serveur VPN, pas la segmentation du réseau local. La microsegmentation réseau se fait au niveau du switch ou du routeur, pas d’une application tierce installée sous Windows.
Principe de moindre privilège et rotation du matériel
Le principe de moindre privilège stipule que chaque compte et chaque processus ne doit disposer que des droits strictement nécessaires à sa fonction. Sur un poste durci, l’utilisateur travaille sur un compte standard sans droits d’administration. Le compte administrateur local est désactivé. Même l’équipe IT n’a pas accès au mot de passe root des postes en production. Toute intervention passe par un compte dédié avec journalisation.
Cette règle empêche l’escalade de privilèges. Un malware qui s’installe dans le contexte d’un compte utilisateur standard reste bloqué à ce niveau. Il ne peut pas écrire dans les dossiers système, modifier les services ou désactiver l’antivirus.
Dans les environnements les plus sensibles, les PC sont remplacés à intervalles réguliers. Chaque nouveau poste est déployé depuis une image système validée (golden image), sans historique ni configuration résiduelle. Les anciens postes sont effacés via Secure Erase (SSD NVMe) ou DBAN (HDD) puis détruits physiquement selon le niveau de classification. Notre guide sur effacer définitivement un disque dur ou SSD détaille les méthodes selon le type de stockage.
Ce qu’on peut appliquer soi-même en moins d’une heure
Toutes ces techniques ne nécessitent pas une infrastructure gouvernementale. La plupart s’appliquent sur un PC Windows standard avec des outils gratuits.
- Auditer la configuration Windows avec HardeningKitty. Télécharger depuis GitHub, exécuter en PowerShell admin, lire le rapport. Comptez 10 minutes. Les 20 à 30 paramètres critiques identifiés peuvent être corrigés dans la foulée.
- Activer BitLocker avec TPM 2.0. Paramètres Windows, Chiffrement de l’appareil ou Panneau de configuration pour BitLocker complet. Vérifiez d’abord que le TPM est activé dans le BIOS.
- Verrouiller le BIOS et désactiver le boot USB. Redémarrer, entrer dans l’UEFI (touche Del, F2 ou F10 selon la marque), définir un mot de passe superviseur, retirer USB de la séquence de démarrage. Notre guide liste les touches d’accès au BIOS par marque.
- Activer le pare-feu Windows en mode strict. Bloquer toutes les connexions entrantes non sollicitées, journaliser les connexions bloquées.
- Installer un DNS filtrant local. Pi-hole ou AdGuard Home sur un Raspberry Pi ou une machine locale, rediriger tous les postes du réseau dessus.