Internet est la source de la quasi-totalité des attaques et de l

Initiation à la sécurité
avec DrpMyRights
1/ 8
Internet est la source de la quasi-totalité des attaques et de l'insécurité. Vous ne devez ni surfer sur le Web,
ni consulter vos e-mail ni accéder sous quelque forme que ce soit (messagerie instantanée, P2P etc. ...) à
l'Internet lorsque vous êtes en mode Administrateur.
On le répète sans cesse et on le redit encore une fois
Vous ne devez pas travailler de manière courante, sous Windows, en mode Administrateur, cela est
dangereux pour votre ordinateur et vos données. Le mode Administrateur donne des droits extrêmement
étendus que l'on doit utiliser extrêmement rarement comme lors de la modification de Windows lui-même
lors d'une mise à jour (Windows Update - Microsoft Update). Chaque application que vous lancez hérite
des droits du compte qui lance cette application. Si vous êtes identifié (logué) en mode administrateur, les
applications que vous lancez ont toutes des droits Administrateur. Si une application se connecte alors que
vous êtes en mode Administrateur, elle hérite des droits les plus étendus et un attaquant peut profiter de ce
mode Administrateur et prendre le contrôle total de votre machine, en faire un Zombie ou voler vos données
ou les compromettre.
Les parasites les plus dangereux s'installent et fonctionnent correctement à cause de vous ! Parce que vous
êtes allé sur le Net ou avez consulté vos e-mails sous votre compte Administrateur. Ils n'auraient rien pu
faire, ou bien moins, si vous étiez allé sur le Net avec un compte d'utilisateur normal. Les crapules du Net
n'ont pas besoin d'implanter un RootKit si vous leur donnez le mode Administrateur ! Lire le papier de
Symantec (Norton Antivirus) à propos de w32.beagle.av@mm.
Si vous êtes connecté en mode restreint, toutes les applications que vous lancez ont des droits restreints.
Avec des droits restreints, il ne serait pas possible à un parasite de :

Créer des fichiers dans le répertoire system32
 Tuer des processus
 Désactiver le pare-feu Windows
 Télécharger et écrire des fichiers dans le répertoire system32
 Détruire des valeurs du Registre Windows dans HKLM
Toutes ces tentatives auraient échoué si l'utilisateur utilisant son client de messagerie (Outlook etc. ...) ou
son navigateur (Internet Explorer etc. ...) ne s'était pas connecté avec son compte administrateur.
Aucun usage quotidien de Windows ne justifie le mode Administrateur (sauf pour de très rares personnes
dont vous ne faites probablement pas partie). Aucune application liée à l'Internet (communicante), comme
les navigateurs, les messageries instantanées, les clients de messagerie, les clients de P2P etc. ... ne devrait
jamais être lancée dans un contexte "Administrateur".
Vous disposez, par défaut, de 4 profils de travail avec Windows XP. Créez un compte dans le profil
"utilisateurs" et travaillez sous ce compte. N'exploitez votre compte dans le profil "administrateur"
qu'exceptionnellement.
1. Administrateur
Ont un droit d'accès illimité à l'ordinateur
Fait par Enryc
Cir
Le 7 novembre 2011
Initiation à la sécurité
avec DrpMyRights
2/ 8
2. Utilisateurs avec pouvoirs - (Power User )
Possèdent quelques droits administratif sur une machine comme partager des fichiers, installer des
imprimantes locales, changer la date et l'heure du système. Ils possèdent des pouvoirs étendus pour
accéder aux fichiers dans les répertoires système.
3. Utilisateurs - (Users)
Ils possèdent des droits limités et suffisants pour utiliser des applications autorisées etc. ... Ils ne
peuvent effectuer des changements, accidentels ou volontaires, dans le système, ne peuvent ouvrir
un port dans le pare-feu, ne peuvent lancer un service (ni en arrêter un).
4. Invités
Droits restreints par rapport aux droits "Utilisateurs".
Que faire pour les irréductibles du contexte inutile et dangereux "Administrateur" ?
Utiliser "DropMyRights" !
DropMyRights permet de lancer certaines applications choisies dans un contexte de droits réduits bien que
l'utilisateur soit identifié en tant qu'Administrateur.
Comment installer et utiliser DropMyRights (DMR)
DropMyRights va vous permettre de créer des raccourcis de lancement des applications que vous choisissez.
Chaque raccourci va lancer DropMyRights et c'est DropMyRights qui va lancer l'application dans un
contexte à droits restreints. Vous créez donc autant de raccourcis que vous avez d'applications se
connectant au Net (les raccourcis habituels, non sécurisés, de lancement de vos applications, restent
inchangés et vous pouvez toujours les utiliser (mais cela est vivement déconseillé).
Idée:
Nommez ces raccourcis du même nom que celui qui lance l'application de manière non sécurisée et ajoutez
simplement un préfixe ou un suffixe, toujours le même, à ces noms, pour les distinguer. Par exemple :
Internet Explorer > DMR Internet Explorer ou Sécur Internet Explorer
Outlook Express > DMR Outlook Express ou Sécur Outlook Express
Etc. ...
Ensuite, créez grouper
1. Télécharger DropMyRights
http://www.commentcamarche.net/download/telecharger-34055429-dropmyrights
Enregistrez-le dans un dossier à lui (par exemple c:\DropMyRights ou C:\dmr).
Fait par Enryc
Cir
Le 7 novembre 2011
Initiation à la sécurité
avec DrpMyRights
3/ 8
Vérifiez le téléchargement
Vérifiez que le téléchargement n'est pas corrompu. Les chiffres clés doivent être identiques à ceux
donnés ci-dessus sous la rubrique "Taille" de la fiche DropMyRights (164 ko).
2. Installez DropMyRights
1. Faites un "double click" sur le fichier téléchargé (DropMyRights.msi) pour en lancer
l'exécution. Les fichiers .msi utilisent l'installateur de Microsoft : Windows Installer dont
vous devriez disposer (normalement).
Nota : Windows Installer va tenter d'accéder au Net mais on ne voit pas pour quelle
raison donc on le lui interdit au niveau du pare-feu.
2. Premier écran d'installation - cliquez sur le bouton "Next"
3. Second écran d'installation - Accepter les conditions de licence et cliquez sur le bouton
"Next"
Troisième écran d'installation - Choisissez un répertoire d'installation, par exemple
C:\dmr\ et rendez-le exploitable par tous les utilisateurs de cet ordinateur en cochant le
bouton radio Everyone. Cliquez sur le bouton "Next"
Fait par Enryc
Cir
Le 7 novembre 2011
Initiation à la sécurité
avec DrpMyRights
4/ 8
4. Quatrième écran d'installation - Windows Installer vous dit qu'il est prêt à installer
DropMyRights - Cliquez sur le bouton "Next".
Cinquième écran d'installation - Attendez un dizaine de secondes environ.
5. Sixième écran d'installation - C'est fini : DropMyRights est installé
Dans le répertoire d'installation vous devez avoir ces 5 fichiers dont le programme
DropMyRights.exe (dont le chemin d'accès, dans cet exemple, est
c:\dmr\DropMyRights.exe)
Fait par Enryc
Cir
Le 7 novembre 2011
Initiation à la sécurité
avec DrpMyRights
5/ 8
6. Faites un clic droit (clic avec le bouton droit de la souris) sur DropMyRights.exe > Créer
un raccourci
Faites un clic droit sur le raccourci > Copier
3. Utilisez DropMyRights
1. Créez un menu d'accueil sur votre bureau
Nous allons créer des raccourcis permettant de lancer certaines applications en mode sûr. Il
est possible de laisser traîner ces raccourcis sur le bureau de Windows mais il est préférable
et plus propre de les grouper. Nous allons donc créer un menu (un groupe) pour accueillir
ces raccourcis.
Clic droit (clic avec le bouton droit de la souris) sur votre bureau > Nouveau > Dossier et
appelez, par exemple, "Navigation sure DropMyRights"
2. Insérer des raccourcis vers DropMyRights
Nous allons mettre dans ce groupe plusieurs raccourcis vers DropMyRights - nous en
aurons besoin tout à l'heure.
Clic une fois sur ce nouveau dossier pour le sélectionner (ou double clic pour l’ouvrir- le
résultat sera le même) > Clic droit > Coller (vous venez de coller dedans la copie du
raccourci vers DropMyRights).
Refaites "Clic droit > Coller" plusieurs fois. Vous devez obtenir ceci :
Fait par Enryc
Cir
Le 7 novembre 2011
Initiation à la sécurité
avec DrpMyRights
6/ 8
3. Créez les raccourcis sûrs
Allez, par exemple, au hasard, sur votre icône de lancement d'Internet Explorer
Clic droit (clic avec le bouton droit de la souris) > Propriétés (le champ "Cible" est déjà
entièrement sélectionné) > Clic droit sur le champ "Cible" > Copier
Sur votre bureau, ouvrez le dossier "Navigation sure DropMiRights" > Clic droit sur l'un
des nombreux raccourcis DropMyRights.exe que l'on vient de créer > Propriétés > Dans le
champ cible mettez le point d'insertion à la droite du chemin d'accès à DropMyRights (à la
droite de "C:\dmr\DropMyRights.exe" pour l'exemple donné) > insérez UN espace > coller
> Appliquer > Ok. C'est terminé, le raccourci pour une navigation un peu plus sûre qu'en
mode Administrateur et prêt.
Fait par Enryc
Cir
Le 7 novembre 2011
Initiation à la sécurité
avec DrpMyRights
7/ 8
Renommez ce raccourci, par exemple, en DMR Internet Explorer
Clic sur le raccourci > Saisissez le nom que vous voulez lui donner.
(Dans le cas d'Internet Explorer c'est "C:\Program Files\Internet Explorer\iexplore.exe" notez que des guillemets ouvrants et fermants entourent la valeur de ce champ car ce
chemin d'accès contient des caractères "espace". Il n'y a pas de guillemet (ou ils sont
inutiles) lorsque le chemin d'accès ne comporte pas d'espace).
Personnaliser le raccourci.
Pour finir, éventuellement, une fois le raccourci créé, il suffit de cliquer sur Propriétés du
raccourci > "Changer icône" > puis clic sur "Autres icônes" > et choisir un icône dans la liste
présentée pour personnaliser le raccourci.
Recommencez ce point pour vos autres applications se rendant sur le Net
Les chemins d'accès montrés ici en exemple ne correspondent probablement pas aux vôtres.
Vos applications sont, par défaut, installées dans le répertoire "Program Files" du disque
système (généralement C:) et sont dans un sous répertoire du nom de l'application. Vous
récupérez leurs chemins d'accès complets en faisant un clic droit > Propriété sur leurs
icônes de lancement actuel.
Exemples:
Outlook Express: "C:\Program Files\Outlook Express\msimn.exe"
Outlook: C:\ms_office\Office\OUTLOOK.EXE
Firefox: C:\Navigateurs\Firefox\firefox.exe
Thunderbird: C:\Courrieleurs\Thunderbird\thunderbird.exe
Windows Media Player: "C:\Program Files\Windows Media Player\wmplayer.exe"
/prefetch: 1. Etc.
A la fin, vous obtenez un groupe, sur votre bureau, du genre de celui-ci (affichage en liste
ou en icônes selon votre réglage de votre explorateur de Windows) :
Affichage en liste
Fait par Enryc
Affichage en icônes
Cir
Le 7 novembre 2011
Initiation à la sécurité
avec DrpMyRights
8/ 8
Attention :

Il y a incompatibilité entre DropMyRights et une connexion SSL sous Internet Explorer. Si vous
devez aller sur un site en mode SSL avec Internet Explorer, par exemple votre banque, lancez votre
navigateur en mode normal et pas en mode restreint. Cela semble fonctionner normalement avec
Firefox en mode restreint.
Dito ci-dessus : Il y a incompatibilité entre DropMyRights et une connexion SSL sous Outlook et
Outlook Express. Votre compte ****@gmail.com par exemple, qui utilise une connexion sécurisée,
devrait, selon la remarque ci-dessus, être joint en mode normal avec Outlook et Outlook Express et
pas en mode restreint. Cela semble fonctionner normalement, y compris avec le commutateur U,
avec Fox Mail (Fox mail lancé avec DRM commutateur U accepte de relever des mails sur @Gmail
en mode SSL sur le port 995 nous fait remarquer Félix le chat sur nos forums).

Allez sur Windows Update (Microsoft Update), (sous Internet Explorer à cause d'ActiveX), en
mode normal (avec droits administratifs - sinon vos tentatives de modifications du système (mises à
jour) en tant qu'utilisateur à droits restreints seraient, très logiquement, rejetées).
Options :
1. Il existe d'autres utilitaires pour ne pas travailler en mode administrateur comme RunAsAdmin par
exemple. L'avantage de DMR est qu'il n'y a aucune incidence sur des utilitaires de sécurité qui
nécessitent une session en mode administrateur, son action se limitant aux seules applications dont
on lui demande de contrôler le raccourci.
Tutoriel en provenance d’Internet mis en page et modifié par Enryc.
Didacticiel original : http://assiste.com.free.fr/p/logitheque/dropmyrights.html
Fait par Enryc
Cir
Le 7 novembre 2011