I. Présentation

Dans ce tutoriel, nous allons voir comment bloquer les ports USB d’un poste de travail Windows pour empêcher un utilisateur de connecter des périphériques de stockage USB : clés USB, disques durs externes USB, etc... !

La restriction configurée dans cet article s'appliquera à un utilisateur, sur l'ordinateur auquel l'utilisateur a l’habitude de se connecter. La configuration sera effectuée via une stratégie de groupe locale, avec la console Microsoft Management Console (MMC) de Windows !

Pour un besoin de sécurité ou de confidentialité, le propriétaire ou le responsable d'un poste de travail ou d'un serveur, peut vous solliciter afin de bloquer l'accès à tout périphérique de stockage USB sur une machine. Nous pouvons citer plusieurs raisons : se protéger contre les éventuels virus pouvant s'exécuter suite à l'exécution d'un fichier, se protéger contre le vol de données de l'entreprise ou données personnelles, etc.

Cependant, si cette machine n’est pas sous l’autorité d’un contrôleur de domaine Active Directory (le propriétaire des lieux n’ayant certainement pas les moyens de s’en offrir, n'en a pas le besoin, ou n’y ayant certainement pas pensé) : comment faire pour y parvenir ?

Eh bien, nous allons répondre à cette problématique dans ce tutoriel ! Si vous travaillez en environnement Active Directory, vous pouvez consulter ce tutoriel :

• Tutoriel - Comment bloquer les clés USB par GPO ?

Remarque : la méthode présentée dans ce tutoriel fonctionne sur les différentes versions de Windows, y compris Windows 10 et Windows 11. Elle fonctionne sur toutes les éditions, sauf Famille / Home (ceci implique des manipulations supplémentaires).

II. Mise en oeuvre des restrictions

A. Prérequis

D’abord, on crée un compte Administrateur local protégé par mot de passe sur le poste de travail (seul compte autorisé à exécuter des tâches d’administration sur le poste). Ensuite, on crée un compte utilisateur local (protégé ou pas en fonction de la demande du propriétaire du poste) et on met ce compte dans le groupe local "Utilisateurs".

Pour cet exercice, l’administrateur du poste de travail s’appellera "Admin", et l’utilisateur s’appellera "Consultation2a". N’oubliez pas de les remplacer à chaque fois par des noms d’utilisateurs qui sont propres à votre environnement.

Commençons par brancher le périphérique sur l'un des ports USB du poste de travail pour être sûr qu’on y a effectivement accès pour le moment, avant d’engager les opérations de restriction.

Accès au stockage USB avant la mise en place des restrictions, depuis le compte utilisateur :

Accès au stockage USB avant la mise en place des restrictions, depuis le compte Admin :

B. Blocage des ports USB pour le compte utilisateur (non-administrateur)

On se connecte ensuite avec le compte Admin, on ouvre la MMC par la barre de recherche du menu Démarrer de Windows. Sinon, l'alternative consiste à utiliser le raccourci clavier « Windows + R » afin de saisir « mmc » dans la fenêtre Exécuter. Puis, on valide avec « oui ».

Une fois la console ouverte, on clique sur « Fichier » puis sur « Ajouter/Supprimer un composant logiciel enfichable ».

Ensuite, on clique sur « Éditeur d’objet de stratégie de groupe », puis sur « Ajouter ».

Une nouvelle fenêtre s’ouvre et on poursuit en cliquant sur « Parcourir ». 

Ici, on sélectionne l’utilisateur à restreindre par la stratégie (ici "Consultation2a") et on valide. Autrement dit, sélectionnez l'utilisateur qui ne doit pas pouvoir connecter de clés USB, disques externes, etc... sur la machine.

Une fois l’utilisateur sélectionné, on revient à la fenêtre précédente et on clique sur « Terminer ».

Enfin, on valide la stratégie.

On retourne à la fenêtre principale de la MMC pour démarrer la configuration de la stratégie comme suit :

• Stratégie Ordinateur local/Consultation2a > Configuration utilisateur > Modèles d’administration > Système > Accès au stockage amovible

On peut désormais apercevoir les paramètres « Disques amovibles : refuser l’accès en lecture » et « Disques amovibles : refuser l’accès en écriture ».

On double-clique tour à tour sur les deux paramètres suscités pour les activer, puis valider comme sur les captures d’écran ci-dessous.

Nous bloquons l'accès en lecture :

Ainsi que l'accès en écriture :

Une fois terminé, on enregistre la stratégie sous un emplacement au choix et bien sûr sécurisé pour une utilisation ultérieure, au besoin.

Désormais, on doit tester la stratégie ! Donc, on applique la GPO via une console CMD en exécutant la fameuse commande « gpupdate/force ».

C. Test de fonctionnement.

Une fois la stratégie appliquée, on voit qu’on a toujours accès aux dossiers et fichiers de la clé USB branchée sur le poste de travail lorsqu’on est connecté avec le compte Administrateur (Admin).

Ce qui n’est cependant plus le cas une fois qu’on est connecté à l’aide du compte utilisateur standard (Consultation2a). On peut le voir à travers le message d’erreur « G:\ n’est pas accessible, Accès refusé ». La restriction s'applique correctement !

III. Conclusion

On vient de voir comment bloquer l’accès (Lecture/Écriture) à un stockage USB à un utilisateur précis sur un poste de travail Windows multi-utilisateurs ! Nous avons atteint notre objectif grâce à la configuration de la stratégie de groupe locale, par l'intermédiaire de la console MMC (Microsoft Management Console) de Microsoft.

Cette solution est pratique pour des restrictions de sécurité lorsqu’on n’a pas assez de moyen pour s’installer un contrôleur de Domaine Active Directory sous Windows Server. Ceci est utile aussi sur un poste de travail isolé.

Cependant, elle est accessible par défaut sur les éditions actuellement sous le support de Windows en édition Professionnel et Enterprise (Windows 10 et Windows 11). Pour le cas de l’édition Familiale, par exemple, il faudra encore activer des paramètres supplémentaires pour avoir accès aux GPO (car la fonction n'est pas disponible nativement).

The post Windows : comment bloquer les clés USB et les disques externes sur une machine locale ? first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons voir comment réinitialiser le mot de passe Administrateur du BIOS/UEFI d’un ordinateur (laptop, poste fixe, etc.) sans retirer sa pile de CMOS ou toucher à sa carte mère ! Autrement dit, nous allons outrepasser le mot de passe BIOS.

Pour des raisons de sécurité, un utilisateur, un technicien informatique ou même un administrateur peut entreprendre de verrouiller l’accès au BIOS/UEFI de son poste de travail à l’aide d’un mot de passe administrateur. Ainsi, la configuration est protégée par un mot de passe.

Par ailleurs, il peut aussi arriver qu’il ne se rappelle plus ce dernier (la pratique consistant à noter son mot de passer sur un support physique quelconque n’étant pas recommandée pour des raisons de sécurité) surtout au moment où il en a le plus besoin : mise à jour du BIOS/UEFI, configuration d’ordre de démarrage et autres...

La méthode la plus conventionnelle est de simplement démonter son ordinateur, déplacer un jumper sur la carte mère ou retirer et remettre la pile CMOS. Cette méthode fonctionne pratiquement dans tous les cas avec des ordinateurs de bureau et pas toujours avec des laptops. Ceux qui ont des compétences en programmation électronique, vont souvent dessouder la puce contenant le BIOS/UEFI de la carte mère afin de le réécrire hors de l’ordinateur via un programme fourni par son concepteur (flash).

On va donc partir du fait que vous soyez un profane de la programmation électronique ! Nous allons voir comment contourner ce mot de passe en utilisant un site web permettant de calculer et de générer un mastercode (mot de passe constructeur ou superviseur). Pour obtenir ce mastercode, nous avons besoin du numéro de série du laptop ou d’une clé renvoyée par le BIOS/UEFI, une fois qu’on lui a fourni un mot de passe Admin erroné à plusieurs reprises.

Il est important de rappeler ici que ce tutoriel n’est que le complément d’un précédent, posté par Mickael Dorigny, il y a quelques années de cela :

• Les mots de passe BIOS

II. Le BIOS et l'UEFI, qu’est-ce que c’est ?

Le BIOS (Basic Input and Output System) est la base du fonctionnement d’un ordinateur moderne. Il est écrit dans une puce électronique soudée ou reliée à la carte mère de l’ordinateur et contient toutes les instructions relatives au démarrage, au contrôle des composants de l’ordinateur (carte mère, disque, mémoire, chipset, etc.), à la sécurité, etc.

Ce programme, souvent aussi connu sous l’appellation de « firmware », a pour rôle de lancer le démarrage du poste de travail. Il effectue un inventaire de l’ensemble de ses composants au passage, et il peut éventuellement envoyer un message sonore ou visuel à l’utilisateur (en cas d’erreur matérielle ou logicielle ou pas en fonction du fabricant de la carte mère) et il va passer le relais du démarrage au système d’exploitation une fois le contrôle terminé.

C’est aussi à partir de ce dernier qu’on peut décider logiquement du composant qui va fonctionner avec le poste de travail ou pas (activation ou désactivation d’un composant matériel quelconque, de la virtualisation, etc.)

Il est souvent présenté à l’écran de l’utilisateur sous une interface graphique austère (uniquement manipulable avec les touches du clavier), contrairement à son successeur progressif qu’est l’UEFI (Unified Extensible Firmware Interface), qui propose une interface graphique un peu plus conviviale en plus des fonctionnalités avancées fournies avec (possibilité d’utiliser une souris, puce TPM, configuration du mode de démarrage hérité (legacy) ou UEFI, etc.).

Voyons donc comment il est possible de bypasser un mot de passe Admin du BIOS/UEFI d’un laptop en calculant le mastercode de ce dernier !

III. Bypass du mot de passe admin du BIOS avec le calcul du mastercode

Avant de débuter, il est nécessaire de rappeler qu’il existe plusieurs sites permettant d’atteindre cet objectif, chacun travaillant bien sûr avec un nombre de fabricants d’ordinateurs et de BIOS/UEFI spécifiques. Entre autres, on peut citer bios-pw (Fujitsu-Siemens, DELL, HP, Sony, Samsung, Phoenix, etc.), biosbug (Acer, Sony, Samsung, Fujitsu-Siemens, etc.), etc.

Toujours est-il qu’il faut effectivement se rassurer que le BIOS/UEFI du fabricant pour lequel on veut générer le mastercode est bien pris en charge par le site web choisit ceci en parcourant les pages ou les articles de ce dernier.

Pour ce tuto, on utilisera le site « bios-pw » pour trouver le mastercode du BIOS/UEFI d’un laptop « Dell Latitude E6230 ». Allez, on y va !

D’abord, on met le laptop en marche et on appuie la touche F2 du clavier pour essayer d’avoir accès au BIOS/UEFI. Une fois dans le BIOS/UEFI, on est invité à saisir le mot de passe Admin. L’ayant bien sûr oublié et tentant d’y introduire un mot de passe quelconque, le laptop renvoie alors un message de « mot de passe incorrect ».

On se rend alors sur la page d’accueil du site de bios-pw via un autre appareil connecté à internet. On y insère le numéro de série du Laptop qui est généralement de la forme « 1234567-595B » pour DELL avec des caractères généralement alphanumériques, puis on clique sur le bouton « Get password ».

Deux codes sont ainsi générés dont un pour le chiffrement du disque dur dans le BIOS/UEFI et l’autre comme mastercode pour bypasser le mot de passe Admin. Bien évidemment, le plus pertinent ici est le mastercode dont on a besoin, en occurrence l’indication « 1 » sur cette capture d’écran, tout en tenant compte qu’il est sensible à la casse.

Le site web recommande fortement de tenir compte du fait que le clavier de la machine à « bypasser » est automatiquement converti en « QWERTY » pendant que l’on sera en train de saisir les caractères du mastercode généré. De plus, certains mastercodes demandent à ce qu’on utilise la combinaison « CTRL + ENTREE » du clavier en lieu et place de « ENTREE » uniquement afin de valider le mastercode comme l’indication « 2 » le montre sur cette capture d’écran.

On retourne donc sur le laptop et on insère le mastercode généré en respectant les règles de saisie citées plus haut.

Si tout est respecté, on devrait voir le bouton « Unlock » disparaître en laissant place au bouton « Load Defaults », ce qui signifie bien évidemment qu’on a désormais accès au BIOS comme avant et qu’on peut de nouveau y apporter toutes les modifications souhaitées. Le bouton "Load Defaults" sert à réinitialiser tous les paramètres du BIOS.

IV. Conclusion

On vient de voir comment « bypasser » le mot de passe administrateur du BIOS d’un laptop à l’aide d’un code généré à partir du numéro de série ou d’une clé dudit laptop. Plus besoin d’avoir nécessairement des connaissances en programmation électronique (flasher) pour y parvenir !

Le plus souvent, la validation du mastercode ne passe qu’après plusieurs tentatives, donc ne pas hésiter à tenter plusieurs fois tout en s'assurant que les caractères saisis au clavier sont exactement ceux fournis par ledit mastercode.

Par ailleurs, il faut aussi noter que le mastercode généré, efface automatiquement le mot de passe Admin, qui lui devra être de nouveau créé au besoin.

The post Comment réinitialiser le mot de passe Admin du BIOS ou UEFI avec un mastercode ? first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons voir comment extraire des données d’une partition endommagée avec le logiciel de récupération de données TestDisk !

Il peut arriver, pour une raison ou pour une autre (choc physique, obsolescence, panne de courant électrique, attaque virale, etc.), qu’une partition d’un support de stockage devienne inaccessible en lecture/écriture. En d’autres termes, la partition passe d’un système de fichiers utilisé par la plupart des systèmes d’exploitation usuels (NTFS, FAT32, ext4, etc.) au système de fichiers binaire (RAW). La seule option qui se propose généralement à nous en ce moment est un formatage pur et simple de ladite partition… Et, les données alors ?...

TestDisk qui est un logiciel libre proposé par Christophe GRENIER fonctionnant sous une interface austère et actuellement sous sa version 7.2 (la première datant de 1998). TestDisk fonctionne à la fois sur des plateformes Windows, Linux et MacOS, peut justement aider à sauver les données avant le formatage. Très populaire, cette application rend bien des services lorsqu'il s'agit de restaurer ou récupérer des données.

Dans cet article, on traitera principalement de la fonction « extractions des données » de TestDisk bien que ce dernier propose également d’autres fonctionnalités (réparation des partitions, récupération des données effacées, etc.).

II. Petit rappel sur les systèmes de fichiers

L’informatique actuelle fonctionnant essentiellement avec le système de numération binaire (0 et 1) les données stockées sur unité de stockage, peu importe leur nature (HDD, SSD, USB, etc.), ne dérogent pas à cette règle. Il se pose alors le problème de représentation de ces dernières de telle enseigne qu’elles soient perceptibles par l’Homme.

C’est à partir de cet instant que les systèmes de fichiers rentrent en jeu.

Un système de fichiers est une des fonctionnalités d’un système d’exploitation consistant à créer, organiser et gérer les fichiers sur une unité de stockage connectée au système en question. On parle alors ici de la manière dont :

• Les partitions sont créées et formatées (taille, type de table, etc.)
• Les fichiers sont créés et gérés en cluster (de la plus petite taille constitutive d’un fichier à la plus grande)
• Des méthodes et des outils utilisés pour créer et gérer ces partitions et ces fichiers au besoin
• Etc.

Les systèmes de fichiers les plus usuels sont bien sûr NTFS, exFat, Fat32, FAT pour Windows ; NTFS, ext3, ext4 pour Linux ; APFS, HFS pour Apple, etc. Et bien sûr le système de fichier binaire RAW qui lui n’est pratiquement pas interprété par les systèmes d’exploitation sus-cités.

Sans plus tarder, nous allons voir comment extraire les données d’une partition en utilisant TestDisk

III. Extraire les données d’une partition avec TestDisk

D’abord, il faut télécharger TestDisk (pour ce tuto, on va prendre celui pour Windows) via le lien TestDisk 7.2 et l’extraire dans un dossier de créé pour la cause.

En ouvrant le dossier d’extraction, on doit pouvoir parcourir l’ensemble de ses fichiers, puis localiser et cliquer sur l’exécutable « testdisk_win » qui lui, demandera naturellement des privilèges Administrateur pour s’exécuter (inutile de rappeler ici que vous devez être connecté en tant que tel, ou connaître un compte Administrateur sur la machine locale).

Une fois TestDisk lancé, on sélectionne « CREATE » avec la touche « ENTREE » du clavier. Il faut rappeler ici que la plupart des consignes à suivre et des touches à utiliser sont indiquées par le logiciel.

Ensuite, on sélectionne avec les touches directionnelles du clavier le disque à partir duquel on souhaite extraire les données, ici « Disk \\.\PhysicalDrive1 - 30 GB / 28 GiB - USB SanDisk 3.2Gen1 » (mon support USB-test pour la cause) et on valide avec « PROCEED » avec la touche « ENTREE » du clavier.

Puis, on sélectionne le type de table de partition en fonction du formatage préalable du disque à extraire, ici « Intel/PC partition » (TestDisk pouvant aussi le détecter automatiquement) et on valide avec « ENTREE ».

Ensuite, on choisit « Advanced ».

Puis, on sélectionne le système de fichiers correspondant à la partition à partir de laquelle on souhaite extraire les fichiers. Ici « NTFS » et on choisit l’option « List » en bas pour afficher la liste des dossiers et des fichiers à extraire. Enfin, on valide.

On sélectionne ensuite le(s) fichier(s) (ici le logo de MEISTER INFORMATIK) à l’aide des « : » du clavier. Puis, on valide la copie avec « C » on constate que le fichier sélectionné devient automatiquement coloré en vert. Si on avait voulu choisir l’ensemble des fichiers, on aurait simplement appuyé sur la lettre « a » du clavier comme décrit par TestDisk.

À l'étape suivante, on choisit le dossier destination de stockage du ou des fichier(s) extrait(s). Ici le dossier « Recup TestDisk » de mon bureau et on valide de nouveau avec « C »

Une fois l’extraction terminée, TestDisk envoie un message signalant que l’extraction s’est correctement terminée. On peut le voir à travers le message « Copy done ! 1 ok, 0 failed » renvoyé par ce dernier. Il aurait également produit un message d’erreur au cas échéant.

On peut désormais ouvrir le dossier destination « Recup TestDisk » et y retrouver le logo de "MEISTER INFORMATIK" extrait du support USB.

Enfin, on peut l’ouvrir pour effectivement se rassurer qu’il ne soit pas altéré par l’état de santé du disque source (la partition étant bien sûr endommagée).

IV. Conclusion

Nous venons de voir comment extraire un ou plusieurs fichiers d'une partition endommagée avec le logiciel gratuit TestDisk. Cependant, il faut savoir que plus les fichiers sont nombreux à extraire, plus cela prendra du temps et de l’espace disque, donc il faudra prévoir les ressources spatio-temporelles adéquates.

Un des autres avantages de ce logiciel, est qu’il restaure généralement les fichiers tout en gardant leur structure d’origine depuis leurs dossiers racines. Donc, pas d’inquiétude à se faire quant au fait de les ranger de nouveau comme au départ : TestDisk s'en occupe.

Une fois l’opération d’extraction terminée, que faire ? On peut alors envisager de supprimer, créer et formater la partition afin de la réutiliser ou alors de purement remplacer l’unité de stockage défectueuse. En effet, un disque passé sous RAW est un signe que ce dernier est en train de « rendre l’âme » et qu’on pourrait se retrouver dans la même situation par la suite et perdre définitivement les données stockées sur ce dernier...

The post Comment récupérer les données sur une partition endommagée (RAW) avec TestDisk ? first appeared on IT-Connect.