Durcir son OS : Windows, macOS, Linux

Un RSSI m’envoie la baseline Windows de son entreprise : 220 items, validée en comité, signée par le DSI. Item 1 : désactiver SMBv1. Item 47 : désactiver PowerShell v2. Item 89 : définir un délai d’écran de veille. Tout juste. Sauf que le PDG utilise encore son compte admin local au quotidien et que son mot de passe est “Summer2024!”. La checklist était parfaite. La sécurité, non.

Le piège habituel

Les benchmarks CIS, les baselines Microsoft, les guides ANSSI — ce sont des documents de compliance. Ils documentent un ensemble de configurations connues pour être meilleures que les défauts. Ce ne sont pas des modèles de menace. Appliqués sans réflexion, ils donnent l’illusion du travail fait tout en ratant les mesures qui comptent vraiment.

Le problème typique : une entreprise passe trois mois à appliquer 180 items CIS, pendant lesquels personne ne vérifie que les mises à jour automatiques sont activées, que les utilisateurs n’ont pas tous des droits admin locaux, et que les macros Office non signées sont bloquées. Ces trois points — simples, ignorés — valent dix fois plus que les 180 items combinés contre 90% des attaques réelles.

Ce qui change vraiment la surface d’attaque

Il y a cinq mesures qui, à elles seules, bloquent la grande majorité des attaques que nous voyons en pratique. Tout le reste est utile à la marge, mais secondaire.

1. Compte utilisateur standard pour le quotidien

C’est probablement la mesure la plus impactante et la moins appliquée. Travailler en compte admin signifie que n’importe quel malware qui s’exécute dans votre contexte utilisateur hérite de vos droits. Un PDF piégé ouvert depuis le compte admin installe un ransomware en silence. Ouvert depuis un compte standard, il peut au mieux corrompre vos fichiers personnels — pas le système.

Sur Windows : créer un compte standard séparé pour le quotidien, garder le compte admin pour les installations. Sur macOS : même chose, même si la gestion est légèrement différente avec sudo. Sur Linux : c’est déjà le mode par défaut sur toutes les distros sérieuses — ne pas casser ça en donnant des droits sudo sans expiration.

2. Mises à jour automatiques, sans exception

Selon les statistiques disponibles sur les vecteurs d’attaque réels, plus de 80% des compromissions exploitent des vulnérabilités pour lesquelles un patch existait depuis plus de 30 jours. L’adversaire moyen ne cherche pas les 0-days — il cherche les machines qui n’ont pas été mises à jour depuis le dernier trimestre.

Windows Update en mode automatique. macOS avec “Installer automatiquement” coché pour les mises à jour d’OS et d’apps. Sur Linux : unattended-upgrades sur Debian/Ubuntu, dnf-automatic sur Fedora/RHEL.

3. Chiffrement de disque avec passphrase

Voir l’article dédié. En résumé : FileVault ou BitLocker actif ne suffit pas — il faut un PIN ou une passphrase, pas juste le TPM.

4. Pare-feu applicatif activé

Le pare-feu OS de base bloque les connexions entrantes non sollicitées. C’est un niveau minimal. Au-delà, les outils de pare-feu applicatif (LuLu sur macOS, Windows Firewall avec règles outbound) permettent de voir et de bloquer les connexions sortantes non autorisées — utile pour détecter un malware qui essaie de communiquer avec un serveur de commande.

5. Gatekeeper / SmartScreen en mode strict

Sur macOS, Gatekeeper en mode “App Store et développeurs identifiés” (paramètre par défaut depuis Catalina). Ne pas le désactiver pour installer une app douteuse téléchargée d’un forum. Sur Windows, SmartScreen activé dans ses paramètres maximaux et ne pas “Exécuter quand même” par réflexe.

Par OS : les mesures additionnelles qui valent vraiment quelque chose

Windows

UAC au niveau maximum : oui, c’est agaçant. Oui, ça protège. Toujours notifier plutôt que Notifier uniquement quand des apps essaient de modifier.

Windows Defender avec ASR rules activées : les Attack Surface Reduction rules (règles de réduction de la surface d’attaque) sont sous-utilisées. Règles qui valent vraiment quelque chose : bloquer les processus fils créés par Office, bloquer les scripts obfusqués, bloquer les exécutables dans les dossiers temporaires. Activables via GPO ou Intune.

Macros Office non signées bloquées : aller dans les Trust Center settings de chaque application Office et sélectionner “Désactiver toutes les macros sauf les macros signées numériquement”. Les macros dans les documents Word reçus par mail sont encore un vecteur actif en 2026.

AppLocker ou Windows Defender Application Control : permet de définir des règles sur les exécutables, scripts et DLL autorisés à tourner. Déploiement initial en mode audit (log sans bloquer) pendant 2-3 semaines pour identifier les faux positifs, puis passage en mode enforce. Nécessite Windows Enterprise ou Education.

macOS

Compte standard au quotidien : même logique que sur Windows. Créer un compte admin séparé pour les installations, utiliser un compte standard pour le travail. Sur macOS, les demandes de mot de passe admin apparaissent pour les actions système même depuis un compte standard.

Gatekeeper mode strict + SIP intact : ne jamais désactiver SIP (System Integrity Protection) pour quoi que ce soit. SIP protège les répertoires système contre les modifications même par root. Des tutoriels vous demanderont de le désactiver “temporairement” — ne le faites pas.

Objective-See tools : Patrick Wardle (ex-NSA) maintient une suite d’outils gratuits spécifiques à macOS.

• LuLu : pare-feu applicatif qui vous demande si une nouvelle connexion sortante est légitime. Bloque le téléphone maison des malwares.
• BlockBlock : surveille les mécanismes de persistance courants (LaunchAgents, LaunchDaemons, cron) et alerte quand quelque chose essaie de s’installer.
• KnockKnock : inventaire de tout ce qui est configuré pour s’exécuter au démarrage. À lancer après une installation pour voir ce qui a été ajouté.

Lockdown Mode pour les profils à risque élevé : ce mode désactive ou restreint un ensemble de fonctionnalités qui ont été exploitées dans des attaques ciblées (Pegasus et similaires). Concrètement : désactive le JIT WebKit (ralentit la navigation), restreint les aperçus de liens dans iMessage, bloque les connexions filaires vers des appareils inconnus quand verrouillé, désactive certaines API WebRTC. Coût ergonomique réel — certaines apps web deviennent moins rapides, quelques fonctionnalités disparaissent. Adapté aux journalistes, activistes, dirigeants ou personnes qui pensent avoir un profil d’espionnage ciblé.

Linux

La sécurité Linux dépend énormément de la distro, du Desktop Environment, et de qui administre la machine.

sudo avec expiration courte : par défaut, sudo garde les droits pendant 15 minutes après authentification. Réduire à 5 minutes ou désactiver le cache avec Defaults timestamp_timeout=0 dans /etc/sudoers.

AppArmor / SELinux actifs : ne pas les désactiver. Les distributions Debian/Ubuntu utilisent AppArmor par défaut. RHEL/Fedora utilisent SELinux. Ces systèmes de contrôle d’accès mandatory sont l’une des raisons pour lesquelles Linux résiste mieux aux exploits locaux que Windows dans beaucoup de configs.

Mises à jour auto : unattended-upgrades sur Ubuntu avec notification des paquets de sécurité. Tester la config avec unattended-upgrades --dry-run avant d’activer.

Ce qu’on fait souvent et qui ne sert à rien

Désactiver le Bluetooth “parce que sécurité” : le Bluetooth a eu des vulnérabilités sérieuses (BlueBorne, BIAS, etc.). Le désactiver quand vous n’en avez pas besoin est une mesure raisonnable de réduction de la surface. Ce n’est pas une mesure de sécurité magique — un attaquant déterminé avec accès physique ou réseau ne sera pas stoppé par l’absence de Bluetooth.

VPN toujours actif “pour la sécurité” : un VPN protège votre trafic sur des réseaux non fiables (Wi-Fi public, hôtel). Sur votre réseau domestique ou d’entreprise, il ne fait rien contre les menaces que vous pensez couvrir. Voir l’article dédié sur les VPN.

Renommer le compte admin : security by obscurity. Un attaquant qui a accès au système lit la liste des comptes en deux secondes. Renommer “Administrator” en “JohnSmith” ne retarde personne.

Désactiver PowerShell : PowerShell est un outil d’administration légitime. Le désactiver crée des problèmes d’administration sans bloquer les attaquants — ils utiliseront cmd.exe, WScript, ou autre. La bonne approche est le constrained language mode ou la signature de scripts, pas la désactivation.

Qubes OS : pour qui ?

Qubes OS est un système d’exploitation basé sur Xen (hyperviseur) qui exécute toutes les applications dans des VMs isolées — une VM pour le browser, une pour les emails, une pour les documents sensibles. Une compromission d’une VM ne donne pas accès aux autres.

C’est la solution la plus solide architecturalement pour un poste de travail. C’est aussi la plus contraignante : courbe d’apprentissage réelle, compatibilité matérielle limitée (pas tous les laptops), certaines apps refusent de tourner ou sont difficiles à intégrer, performances réduites. Adapté aux journalistes d’investigation, chercheurs en sécurité, ou personnes avec un profil de menace très élevé qui ont le temps d’investir dans l’adoption.

Erreurs fréquentes

Utiliser le compte admin au quotidien : encore. On le voit dans 70% des audits de poste. C’est l’erreur la plus simple à corriger et la plus fréquente.

CIS benchmark appliqué sans modèle de menace : désactiver SMBv1 sur un laptop qui ne fait jamais de partage réseau ne sert à rien. Appliquer une baseline sans comprendre pourquoi chaque item est là produit un faux sentiment de sécurité.

Mises à jour manuelles “quand j’ai le temps” : en pratique, jamais dans les 30 jours. Les mises à jour automatiques sont le contrôle le plus simple et le plus impactant.

Ignorer les alertes Gatekeeper / SmartScreen : “Je sais ce que je fais, j’ignore l’avertissement”. Un clic de trop sur “Exécuter quand même” suffit.

• N1 Utiliser un compte utilisateur standard pour le travail quotidien (pas admin)
• N1 Activer les mises à jour automatiques OS et applications
• N1 Vérifier que FileVault ou BitLocker est actif avec PIN/passphrase
• N1 Activer le pare-feu OS (macOS firewall, Windows Defender Firewall)
• N2 Installer LuLu (macOS) ou configurer Windows Firewall avec règles outbound
• N2 Bloquer les macros Office non signées numériquement
• N2 Activer les ASR rules Windows Defender (Office child processes, obfuscated scripts)
• N2 Installer BlockBlock + KnockKnock pour surveillance persistance macOS
• N2 AppLocker en mode audit d'abord, puis enforce sur poste Windows sensible
• N3 Activer Lockdown Mode sur iPhone et Mac pour profils à risque élevé
• N3 Évaluer Qubes OS pour profils très exposés avec compétences techniques
• N3 Audit sudo et AppArmor/SELinux sur postes Linux