Vous êtes sur la page 1sur 18

La sécurité sous Windows 10

Ce livre sur la sécurité sous Windows 10 décrit les fonctionnalités Freddy ELMALEH est consultant
de sécurité de ce système d’exploitation, leur mode de fonction- freelance, expert Active Directory et
nement, leur implémentation interne ainsi que leur paramétrage. Sécurité, architecte systèmes et chef
Il s’adresse à tout informaticien en charge de la sécurité sur des de projet, fondateur de la société de

La sécurité

La sécurité sous Windows 10


postes équipés de Windows 10 mais également aux lecteurs dési- services Active IT. Il intervient au sein
reux d’en savoir plus sur les nouvelles mesures de sécurité imagi- de nombreuses grandes entreprises.
nées pour ce système. Certifié MCSE Sécurité/Message-
Le premier et le second chapitre sont consacrés à une présenta- rie et MCITP Enterprise Administra-

Windows 10
tion avancée de l’architecture du système, aux nouveaux méca- tor sur Windows Server 2008/2012.
nismes pour protéger ses identifiants (comme Credential Guard, Freddy est également reconnu
Windows Hello) et également aux solutions permettant de se pro- Microsoft MVP (Most Valuable Pro-

sous
téger des virus et autres malwares (Device Guard, AppLocker, fessional) depuis 2007 sur Windows
Windows Defender, etc.). Le pare-feu avancé Windows s’intègre Server - Active Directory et Enter-
Téléchargement
complètement avec IPSEC et fait l’objet du chapitre 3. Le chapitre 4 prise Mobility.
www.editions-eni.fr
.fr

traite des nouveautés de partage de fichiers et d’imprimantes, de


SMB V3, DirectAccess, BranchCache et de la gestion des ré-
seaux sans fil dans Windows 10.
Le chapitre 5 est entièrement consacré à UAC (contrôle des Sur www.editions-eni.fr :
comptes utilisateurs) et tout naturellement le chapitre 6 traite des b Webographie.
contrôles d’accès et de l’impact d’UAC sur les permissions. Le
chapitre 7 est consacré à Internet Explorer et Microsoft Edge, leurs
nouveautés de sécurité avec en particulier le fonctionnement du
mode protégé. Le chapitre 8 est entièrement consacré à BitLocker
et EFS, les deux fonctionnalités de chiffrement destinées à protéger
efficacement les données et l’intégrité du système d’exploitation.
Le chapitre 9 présente les nouveaux paramètres et les changements
de design et d’architecture liés aux stratégies de groupes (GPO).
Enfin, le chapitre 10 fait un focus sur les différents paramètres de
Windows 10 qui concernent la vie privée de l’utilisateur.

Les chapitres du livre


Pour plus
Avant-propos  • L’authentification dans Windows 10  • La protec- d’informations :
tion contre les malwares • Le pare-feu Windows • Le réseau sous
Windows 10 • Le contrôle de comptes utilisateurs • Les contrôles
d’accès • Internet Explorer et Microsoft Edge • La protection des
données locales • Les stratégies de groupe de sécurité • La protec-
ISBN : 978-2-409-00535-0

tion de la vie privée • Annexe


Freddy
ELMALEH
39 €
Table des matières 1

Les éléments à télécharger sont disponibles à l'adresse suivante : 


http://www.editions-eni.fr 
Saisissez la référence ENI de l'ouvrage EI10WINS dans la zone de recherche
et validez. Cliquez sur le titre du livre puis sur le bouton de téléchargement.

Avant-propos

Chapitre 1
L’authentification dans Windows 10
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2. Winlogon. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.1 Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.2 Fournisseurs d'informations d'authentification . . . . . . . . . . . . . 15
3. Isolation des sessions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
4. Mode d’authentification d’un utilisateur . . . . . . . . . . . . . . . . . . . . . . 18
4.1 Mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
4.2 Code PIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
4.3 Windows Hello . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
5. Credential Guard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
5.1 Sécuriser l’accès RDP grâce à Remote Credential Guard
(ou Credential Guard pour bureau à distance) . . . . . . . . . . . . . . 29
5.2 Implémentation de Remote Credential Guard . . . . . . . . . . . . . . 30
6. Renforcement des contrôles d'accès . . . . . . . . . . . . . . . . . . . . . . . . . . 32
6.1 Comptes de service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
6.1.1 Système local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
6.1.2 Service réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
6.1.3 Service Local. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
6.1.4 Comptes utilisateurs du domaine . . . . . . . . . . . . . . . . . . 35
6.2 SID de service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
2 La sécurité sous Windows 10

6.3 SID restreints . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36


6.4 Comptes de services gérés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
6.5 Comptes virtuels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
7. Spécificités de Windows 64 bits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
7.1 Signature des pilotes de périphériques . . . . . . . . . . . . . . . . . . . . 39
7.2 PatchGuard (protection contre la modification du noyau) . . . . 39

Chapitre 2
La protection contre les malwares
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
2. Les mécanismes de protection du système d’exploitation. . . . . . . . . 42
2.1 Sécurisation du matériel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
2.2 Sécurisation du processus de démarrage de l’OS . . . . . . . . . . . . 43
2.3 Sécurité basée sur la virtualisation . . . . . . . . . . . . . . . . . . . . . . . 46
2.4 Device Guard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
3. Renforcement contre les débordements de pile . . . . . . . . . . . . . . . . . 50
3.1 DEP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
3.2 ASLR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
4. MIC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
5. WRP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
6. SMEP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
7. Null Dereference Protection. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
8. Contrôle des applications (AppLocker). . . . . . . . . . . . . . . . . . . . . . . . 59
8.1 Générer les règles par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
8.2 Générer les règles automatiques . . . . . . . . . . . . . . . . . . . . . . . . . 64
8.3 Auditer les règles AppLocker sur les postes de production . . . . 66
8.4 Appliquer les règles AppLocker sur les postes de production . . 69
9. Contrôle des périphériques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
9.1 Menaces existantes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
9.2 Blocage par stratégies de groupe . . . . . . . . . . . . . . . . . . . . . . . . . 71
Table des matières 3

9.3 Exemple . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
9.3.1 Blocage d'une classe d'installation de périphériques . . . . 76
9.3.2 Blocage d'un ID de périphérique . . . . . . . . . . . . . . . . . . . . 80
10. Autres évolutions notables. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
10.1 Signature des pilotes de périphériques . . . . . . . . . . . . . . . . . . . . 80
10.2 Gestion des mises à jour Windows . . . . . . . . . . . . . . . . . . . . . . . 81
11. Le panneau "Sécurité et maintenance" . . . . . . . . . . . . . . . . . . . . . . . . 85
12. Windows Defender. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
12.1 Présentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
12.2 Options de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
12.2.1 Protection en temps réel . . . . . . . . . . . . . . . . . . . . . . . . . . 95
12.2.2 Protection dans le cloud et Envoi automatique
d’un échantillon. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
12.2.3 Exclusions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
12.2.4 Windows Defender Offline. . . . . . . . . . . . . . . . . . . . . . . . 96
12.3 Windows Defender en ligne de commande . . . . . . . . . . . . . . . . 97
12.4 Visualisation et modification des logiciels autorisés
ou Mise en quarantaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
12.5 Analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
13. Outil de suppression d'applications malveillantes . . . . . . . . . . . . . . 100

Chapitre 3
Le pare-feu Windows
1. Présentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
1.1 Rappels essentiels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
1.2 Le pare-feu de Windows 10 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
2. Paramétrage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
2.1 Présentation des outils d'administration. . . . . . . . . . . . . . . . . . 110
2.1.1 Panneau de contrôle . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
2.1.2 Console de logiciel enfichable . . . . . . . . . . . . . . . . . . . . . 111
2.1.3 Stratégies de groupe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
4 La sécurité sous Windows 10

2.1.4 Script . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114


2.1.5 Netsh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
2.2 Paramètres globaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
2.2.1 Paramétrage par défaut IPsec . . . . . . . . . . . . . . . . . . . . . 119
2.2.2 Échange de clés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
2.2.3 Protection des données . . . . . . . . . . . . . . . . . . . . . . . . . . 122
2.2.4 Méthode d'authentification . . . . . . . . . . . . . . . . . . . . . . 125
2.3 Configuration des règles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
2.3.1 Profils . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
2.3.2 Règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
2.3.3 Ordre d'application des règles . . . . . . . . . . . . . . . . . . . . . 128
2.4 Scénarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
2.4.1 Restriction d'accès à un service particulier. . . . . . . . . . . 128
2.4.2 Mode isolation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
2.4.3 Exemptions d'authentification . . . . . . . . . . . . . . . . . . . . 145
2.4.4 Mode Tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

Chapitre 4
Le réseau sous Windows 10
1. Le partage de fichiers et d'imprimantes. . . . . . . . . . . . . . . . . . . . . . . 147
1.1 Présentation générale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
1.2 Authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
1.3 Intégrité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
1.4 Paramétrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
1.4.1 Activation/désactivation des partages . . . . . . . . . . . . . . 156
1.4.2 Partage et visualisation . . . . . . . . . . . . . . . . . . . . . . . . . . 159
1.4.3 Interopérabilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
2. L'accès réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
2.1 DirectAccess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
2.2 VPN Reconnect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
2.3 BranchCache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
2.4 DNSSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
Table des matières 5

3. Les réseaux sans fil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171


3.1 Présentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
3.2 Assistant Wi-Fi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
3.3 Risques liés aux réseaux sans fil. . . . . . . . . . . . . . . . . . . . . . . . . 172
3.3.1 Utilisation frauduleuse du réseau Wi-Fi
et accès Internet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
3.3.2 Interception de données et modifications . . . . . . . . . . . 174
3.4 Protocoles de chiffrement des réseaux sans fil . . . . . . . . . . . . . 175
3.4.1 WEP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
3.4.2 WPA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
3.5 Sécurisation des réseaux sans fil . . . . . . . . . . . . . . . . . . . . . . . . 181

Chapitre 5
Le contrôle de comptes utilisateurs
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
2. Définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
2.1 SID. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
2.2 Jeton d'accès (Access Token) . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
2.3 Privilèges et droits. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
3. Fonctionnement de UAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
3.1 Explication du fonctionnement. . . . . . . . . . . . . . . . . . . . . . . . . 191
3.2 Architecture en détail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
3.2.1 Utilisation du shell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
3.2.2 ShellExecute vs CreateProcess . . . . . . . . . . . . . . . . . . . . 197
3.3 Virtualisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
3.4 Contrôle d'intégrité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
3.5 Élévation des privilèges . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
3.5.1 Interface graphique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
3.5.2 Fichiers Manifest . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
3.5.3 Par programmation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
6 La sécurité sous Windows 10

3.6 Changements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207


3.6.1 Compte administrateur. . . . . . . . . . . . . . . . . . . . . . . . . . 207
3.6.2 Compte DefaultAccount. . . . . . . . . . . . . . . . . . . . . . . . . 207
4. Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
5. Questions fréquentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

Chapitre 6
Les contrôles d'accès
1. Définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
1.1 Objets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
1.2 ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
1.3 ACE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
1.4 Descripteur de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
1.5 DACL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
1.6 SACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
1.7 SDDL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
1.8 Héritage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
1.9 Ordre et priorité d'application des ACE . . . . . . . . . . . . . . . . . . 220
1.10 Création et application de permissions. . . . . . . . . . . . . . . . . . . 222
2. Groupes et SID spéciaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
2.1 TrustedInstaller . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
2.2 CREATEUR PROPRIETAIRE . . . . . . . . . . . . . . . . . . . . . . . . . . 234
2.3 DROITS DU PROPRIÉTAIRE. . . . . . . . . . . . . . . . . . . . . . . . . . 234
2.4 GROUPE CREATEUR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
2.5 INTERACTIF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
2.6 LIGNE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
2.7 OUVERTURE DE SESSION DE CONSOLE . . . . . . . . . . . . . . 235
2.8 REMOTE INTERACTIVE LOGON . . . . . . . . . . . . . . . . . . . . . 236
2.9 RESEAU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
2.10 SERVICE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
2.11 SERVICE RÉSEAU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
Table des matières 7

2.12 SERVICE LOCAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236


2.13 SYSTEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
2.14 TACHE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
2.15 UTILISATEUR TERMINAL SERVER. . . . . . . . . . . . . . . . . . . . 237
2.16 Utilisateurs du Bureau à distance . . . . . . . . . . . . . . . . . . . . . . . 237
2.17 Utilisateurs du modèle COM distribué. . . . . . . . . . . . . . . . . . . 237
2.18 Utilisateurs avec pouvoir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
3. Évolutions depuis Windows Vista. . . . . . . . . . . . . . . . . . . . . . . . . . . 240
3.1 SID de refus dans le jeton d'accès . . . . . . . . . . . . . . . . . . . . . . . 240
3.2 ACL sur le système de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . 241
3.3 Documents and Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
3.4 Partages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
3.5 Niveau d'intégrité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
3.6 Audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
3.6.1 Principe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
3.6.2 Configuration avancée de la stratégie d'audit . . . . . . . . 247
3.7 Outils. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250

Chapitre 7
Internet Explorer et Microsoft Edge
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
1.1 Le filtre SmartScreen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
1.2 La barre de statut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
1.3 Le gestionnaire de modules . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
1.4 ActiveX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
1.4.1 Service d'installation ActiveX . . . . . . . . . . . . . . . . . . . . . 262
1.4.2 ActiveX Opt-In . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
1.4.3 Filtrage ActiveX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
1.4.4 Contrôle ActiveX par site . . . . . . . . . . . . . . . . . . . . . . . . 264
1.5 Filtre XSS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
1.6 Navigation InPrivate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
1.7 Protection contre le tracking . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
8 La sécurité sous Windows 10

2. La protection d'Internet Explorer . . . . . . . . . . . . . . . . . . . . . . . . . . . 269


2.1 DEP/NX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
2.2 Le mode protégé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
3. Les paramètres des zones de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . 275
3.1 Définition des zones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
3.2 .NET Framework . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278
3.3 Authentification utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
3.4 Autoriser l'installation de .NET Framework. . . . . . . . . . . . . . . 279
3.5 Composants dépendants du .NET Framework . . . . . . . . . . . . 279
3.6 Contrôles ActiveX et plug-ins . . . . . . . . . . . . . . . . . . . . . . . . . . 280
3.7 Divers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284
3.8 Script . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
3.9 Téléchargement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290
4. Les paramètres de sécurité avancés . . . . . . . . . . . . . . . . . . . . . . . . . . 290
5. Le paramétrage par stratégie de groupe. . . . . . . . . . . . . . . . . . . . . . . 296
5.1 Fonctionnalités de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298
5.2 Panneau de configuration d'Internet Explorer . . . . . . . . . . . . . 302
6. Le navigateur Microsoft Edge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303

Chapitre 8
La protection des données locales
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313
2. Chiffrement du périphérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313
3. BitLocker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314
3.1 Introduction à BitLocker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314
3.2 Présentation des menaces. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
3.2.1 Données contenues dans un fichier . . . . . . . . . . . . . . . . 317
3.2.2 Données contenues dans une base de données . . . . . . . 317
3.2.3 Comptes utilisateurs et mots de passe. . . . . . . . . . . . . . 317
3.2.4 Données pour accéder au réseau privé
d'une entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318
Table des matières 9

3.2.5 Données confidentielles contenues en mémoire . . . . . . 319


3.2.6 Vidage mémoire d'une application ou du système . . . . 320
3.2.7 PageFile. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321
3.2.8 Fichier d'hibernation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321
3.2.9 Clés de chiffrement et certificats numériques . . . . . . . . 322
3.3 Fonctionnement de BitLocker . . . . . . . . . . . . . . . . . . . . . . . . . . 323
3.4 BitLocker avec TPM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
3.5 BitLocker avec USB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334
3.6 BitLocker avec TPM et code PIN . . . . . . . . . . . . . . . . . . . . . . . . 335
3.7 BitLocker avec TPM et USB . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
3.8 BitLocker avec TPM et USB et code PIN . . . . . . . . . . . . . . . . . 336
3.9 Déploiement de BitLocker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
3.9.1 Mode d'authentification . . . . . . . . . . . . . . . . . . . . . . . . . 337
3.9.2 Paramétrage et déploiement . . . . . . . . . . . . . . . . . . . . . . 338
3.9.3 Gestion des clés de chiffrement . . . . . . . . . . . . . . . . . . . 343
3.10 BitLocker To Go . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
4. EFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
4.1 Introduction à EFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
4.2 Fonctionnement d'EFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
4.2.1 Opérations de chiffrement
et déchiffrement de fichier . . . . . . . . . . . . . . . . . . . . . . . 348
4.2.2 Fonctionnement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351
4.3 BitLocker et EFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
4.4 Plans de restauration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356
4.4.1 Sauvegarde du certificat de chiffrement . . . . . . . . . . . . 356
4.4.2 Agent de récupération EFS . . . . . . . . . . . . . . . . . . . . . . . 361
4.4.3 Agent de récupération de certificats. . . . . . . . . . . . . . . . 363
4.5 Stratégies de groupe EFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
10 La sécurité sous Windows 10

Chapitre 9
Les stratégies de groupe de sécurité
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
2. Les évolutions depuis Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372
2.1 Nouveau format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372
2.2 Multiples stratégies de groupe locales . . . . . . . . . . . . . . . . . . . . 375
2.3 Particularités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
2.3.1 Diagnostics. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
2.3.2 Scripts de logon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
2.3.3 PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
2.4 Windows 10 Security Guide . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
3. Les paramètres de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
3.1 Stratégies de compte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
3.1.1 Stratégies de mot de passe . . . . . . . . . . . . . . . . . . . . . . . 384
3.1.2 Stratégie de verrouillage de compte . . . . . . . . . . . . . . . . 386
3.2 Stratégies d'audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388
3.3 Options de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392
3.4 Préférences des stratégies de groupe . . . . . . . . . . . . . . . . . . . . . 394

Chapitre 10
La protection de la vie privée
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
2. Détails des paramètres liés à la vie privée . . . . . . . . . . . . . . . . . . . . . 399
2.1 Télémétrie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399
2.2 Identifiant de publicité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401
2.3 Assistant Wi-Fi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402
2.4 Windows SmartScreen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
2.5 Informations sur l’écriture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
2.6 Accès à la liste de langues. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
2.7 Localisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
2.8 Accès à la caméra . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Table des matières 11

2.9 Accès au microphone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406


2.10 Voix, entrée manuscrite et frappe . . . . . . . . . . . . . . . . . . . . . . . 407
2.11 Informations sur votre compte . . . . . . . . . . . . . . . . . . . . . . . . . 408
2.12 Accès à vos contacts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408
2.13 Accès à vos calendriers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
2.14 Accès à votre historique des appels . . . . . . . . . . . . . . . . . . . . . . 409
2.15 Accès à vos messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
2.16 Capacité pour une app d’activer le Wi-Fi, Bluetooth, etc. . . . . 410
2.17 Partage d’information avec des appareils
connectés sur le même réseau sans fil . . . . . . . . . . . . . . . . . . . . 410
2.18 Envoi des commentaires et diagnostics. . . . . . . . . . . . . . . . . . . 410
2.19 Applications en arrière-plan . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
2.20 Empêcher l’utilisation de OneDrive . . . . . . . . . . . . . . . . . . . . . 412
2.21 Cortana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412
2.22 Indexation des fichiers chiffrés . . . . . . . . . . . . . . . . . . . . . . . . . 412
2.23 Définir quelles informations sont partagées dans Search . . . . 413
2.24 Synchroniser vos paramètres . . . . . . . . . . . . . . . . . . . . . . . . . . . 413
2.25 Désactiver l’envoi des rapports d’erreur Windows. . . . . . . . . . 414
2.26 Rejoindre Microsoft MAPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414
2.27 Envoyer des exemples de fichier
lorsqu’une analyse supplémentaire est nécessaire . . . . . . . . . . 415
2.28 Désactiver le Programme d’amélioration
de l’expérience utilisateur Windows . . . . . . . . . . . . . . . . . . . . . 416
2.29 Désactiver le rapport d’erreurs Windows . . . . . . . . . . . . . . . . . 417

Annexe
1. Liste de sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
183

Chapitre 5
Le contrôle de comptes utilisateurs

1. Introduction
Le contrôle de comptes utilisateurs

Le contrôle de comptes utilisateurs UAC (User Account Control) est un change-


ment important apparu lors de la sortie de Windows Vista et qui a fait couler
beaucoup d'encre depuis les premières versions de test de Windows Vista. Ce
chapitre a pour but d'expliquer les problèmes que UAC tente de résoudre,
comment il fonctionne en détail, comment il est implémenté dans le système
d'exploitation et comment il peut être paramétré. Enfin, la dernière section
tente d'apporter une réponse aux questions les plus fréquemment posées.
Le contrôle de compte d'utilisateur (UAC) a été créé pour rendre le système
d'exploitation moins vulnérable aux logiciels malveillants en obligeant les uti-
lisateurs, même les administrateurs, à exécuter la plupart des applications
avec des privilèges utilisateur standard. Bien entendu, la protection ne sera pas
efficace à 100 % et avec le temps, des failles ou des moyens de contournement
seront probablement découverts. Avant d'aller plus loin dans la présentation
d'UAC, il est important d'alerter le lecteur que UAC n'est pas un périmètre de
sécurité en soi, qu'il n'a pas été développé en ce sens, mais qu'il est censé
apporter une aide pour diminuer l'exposition du système aux travers des uti-
lisateurs logués et exposés par exemple aux dangers d'Internet. Le dernier pa-
ragraphe de ce chapitre introduira les risques et menaces résiduels malgré
l'utilisation d'UAC.
184 La sécurité sous Windows 10

Par le passé, les systèmes d'exploitation de Microsoft ont régulièrement été


infestés par des logiciels malveillants comme les virus, les vers, chevaux de
Troie et autres rootkits. En soi, le système d'exploitation n'était pas moins
sécurisé que ses concurrents, mais les auteurs de codes malveillants ont profité
d'une part de la large base installée pour prendre le contrôle d'un nombre
conséquent de postes, et d'autre part du fait que la plupart des utilisateurs
étaient logués en tant qu'administrateur du système. De plus, bon nombre de
ces utilisateurs offraient une cible facilement piégeable du fait de leur manque
d'expertise en informatique : il était alors aisé de leur faire exécuter une appli-
cation reçue en pièce jointe d'un message envoyé par un inconnu depuis
Internet : cette application exécutée avec toutes les permissions nécessaires,
puisque l'utilisateur est administrateur de son poste, peut alors prendre le
contrôle de l'ordinateur.
Le contrôle de comptes utilisateurs a donc été développé dans l'optique de per-
mettre aux utilisateurs d'utiliser leurs ordinateurs sans avoir besoin d'être
administrateur afin qu'ils soient mieux protégés lors de la navigation sur
Internet, la lecture de messages électroniques, la messagerie instantanée, la
lecture de forums de discussion, les jeux, et plus généralement toute utilisa-
tion pouvant nécessiter l'accès à des ressources disponibles sur Internet. Lors
de ces connexions, tout code téléchargé depuis Internet est potentiellement
dangereux ; exécuté dans le contexte utilisateur, il peut corrompre ou modi-
fier le paramétrage du système d'exploitation si l'utilisateur dispose de droits
d'administration (comme c'est le cas sur les plates-formes Microsoft avant
Windows Vista).
La finalité d'UAC, est de permettre d'utiliser le système d'exploitation et les
applications installées sans avoir besoin d'être administrateur. Pour atteindre
ce but, plusieurs changements importants ont été nécessaires au fil des
années, et notamment après Windows XP. Tout d'abord, pour que l'utilisateur
puisse se loguer sans être administrateur et cependant administrer correcte-

© Editions ENI - All rights reserved


ment son système, il a fallu revoir la plupart des tâches d'administration et les
réimplémenter de façon différente afin que l'utilisateur n'ait pas nécessaire-
ment besoin d'être administrateur pour les réaliser (par exemple, changer de
fuseau horaire pour un utilisateur itinérant, ou encore se connecter à un
réseau sans fil, ou installer un pilote d'impression).
Le contrôle de comptes utilisateurs 185
Chapitre 5

Un certain nombre de tâches nécessitant toujours des privilèges d'administra-


tion, il a fallu ensuite concevoir un mécanisme d'élévation de privilèges afin
que l'utilisateur puisse exécuter une tâche en tant qu'administrateur sans
avoir à se loguer avec un autre compte ou utiliser un outil en ligne de com-
mande comme runas.exe.
Le dernier objectif de UAC est d'isoler les applications s'exécutant en tant
qu'administrateur des autres applications s'exécutant dans le même bureau
afin qu'ils ne puissent pas élever leurs privilèges en prenant le contrôle d'une
application s'exécutant dans un contexte administrateur.
Historiquement, l'utilisateur Windows a toujours été administrateur de son
poste. C'est dû en partie au fait que les premiers systèmes d'exploitation qui
ont démocratisé la plate-forme de Microsoft ne possédaient pas de notion de
sécurité (Windows 3.1, Windows 95, Windows 98) et les tâches d'administra-
tion devaient être simplifiées et être accessibles à un utilisateur final. Lors de
la convergence de la plate-forme Windows 95 et Windows NT Server qui a
abouti à Windows 2000 Server et Workstation, un certain nombre de tâches
sont restées en l'état, afin d'assurer la compatibilité avec une importante base
installée d'ordinateur. Résultat, un grand nombre de tâches qui pouvaient
avoir besoin d'accéder en écriture à des parties protégées du système d'exploi-
tation (des clés de registre sous HKEY_LOCAL_MACHINE), écrire dans un
fichier de configuration dans le répertoire SYSTEM32 ou sous %PROGRAM
FILES% n'ont pas été redéveloppées. Ainsi, un grand nombre de tâches ont
nécessité de disposer de permissions réservées aux administrateurs pour s'exé-
cuter et ceci a perduré jusqu'à Windows 2003.
Dans le même temps, de nombreux éditeurs de logiciels ont développé des
applications, prenant pour postulat que l'utilisateur était administrateur de sa
machine, ceci aussi bien chez Microsoft que chez les autres éditeurs. De même
bon nombre de jeux nécessitent d'être administrateur de la machine.
Cet état des lieux est le résultat d'une double responsabilité. Responsabilité
des éditeurs de logiciels qui ne concevaient pas leur applications pour s'exécu-
ter dans un contexte de privilèges restreints et responsabilité de Microsoft qui
n'a pas poussé en ce sens (ou alors trop tard et trop timidement) et qui n'a pas
toujours fourni des interfaces de programmation qui ne nécessitent pas d'être
administrateur à l'exécution.
186 La sécurité sous Windows 10

UAC, qui tente d'apporter une solution à ces problèmes, n'est qu'une pièce
importante de la stratégie de Microsoft qui consiste à mettre en avant un nou-
veau modèle dans lequel personne n'est administrateur de la machine, et les
tâches réservées aux administrateurs vont pouvoir s'exécuter à l'aide d'un
mécanisme d'élévation de privilèges déclenchés à la demande par les applica-
tions nécessitant d'être administrateur.
L'utilité et l'efficacité de l'UAC ont été démontrées à maintes reprises sous
Windows Vista. Cependant la technologie n'avait pas forcément été bien
accueillie par les utilisateurs finaux car les sollicitations engendrées par l'UAC
étaient trop nombreuses.
Windows a beaucoup amélioré l'expérience utilisateur liée à l'UAC en rédui-
sant considérablement le nombre de prompts affichés. Certains exécutables et
certaines tâches ont également été réécrits afin de ne plus nécessiter des privi-
lèges administrateur. L’UAC s’est également adapté aux nouvelles possibilités
d’authentification et la fenêtre d’élévation de privilèges supporte ainsi de
s’authentifier via un compte Windows Hello, un code PIN, un certificat ou le
mot de passe plus classique.

2. Définitions

2.1 SID

Dans les systèmes Windows, tout compte de sécurité possède un identifiant


unique appelé SID pour Secure Identifier. Un compte de sécurité peut être un
compte utilisateur, un groupe d'utilisateurs ou un ordinateur, mais il en existe
d'autres (comme par exemple une relation d'approbation). Depuis Windows
Vista, ça peut également être un service.

© Editions ENI - All rights reserved


En interne, le système manipule des SID. Les noms d'utilisateurs, de groupes
ou d'ordinateurs ne sont que des représentations sous forme de chaînes de
caractères de ces comptes référencés par un SID. Cela permet par exemple de
renommer un utilisateur ou un groupe tout en conservant les permissions
pour cet utilisateur ou groupe puisque cela pointe toujours sur le même
compte de sécurité (SID).
Le contrôle de comptes utilisateurs 187
Chapitre 5

Par contre, supprimer un utilisateur puis le recréer immédiatement à l'iden-


tique crée deux comptes de sécurité différents : la gestion des SID est assurée
par le système d'exploitation qui incrémente par 1 le SID à chaque création de
compte et il n'est pas possible de créer un compte en spécifiant un SID donné.
Si vous créez un compte et lui assignez des permissions sur une ressource, en
interne, c'est le SID qui est référencé dans la liste des permissions. Si vous
supprimez alors le compte et en recréez un nouveau avec le même nom, il se
voit assigner un SID différent et n'aura donc pas les permissions du compte
précédent.
Un SID se présente sous la forme suivante : S-1-5-21-2577476284-
2273008180-4043047528-1000. Sans décortiquer bit à bit le SID en question,
sachez que les premiers octets du SID identifient le domaine auquel appar-
tient l'utilisateur si celui-ci est membre du domaine, ou l'ordinateur si c'est un
utilisateur local. Pour un domaine ou un ordinateur donné, le préfixe sera donc
toujours le même. Le dernier nombre (ici 1000) identifie l'utilisateur. Ce
nombre est incrémenté de 1 à chaque création de compte par l'ordinateur local
si un utilisateur ou un groupe local est créé, ou par un contrôleur de domaine
si c'est un compte de sécurité du domaine qui est créé.
Les systèmes d'exploitation Microsoft sont installés avec un certain nombre
de comptes génériques, qui ont toujours le même nombre relatif d'un système
à l'autre. Par exemple, tout compte générique administrateur sera de la forme
S-1-5-domaine-500 (c'est d'ailleurs la raison pour laquelle le renommage du
compte Administrateur ne sert pas à grand chose car l'attaquant l'identifiera
rapidement grâce à son SID). De même, le groupe générique administrateurs
aura toujours le SID S-1-5-32-544 d'un système à l'autre. Microsoft maintient
une liste des numéros de SID génériques. Il est utile de l'avoir sous la main lors-
qu'il s'agit par exemple d'analyser des journaux d'événements pour déterminer
quel compte a réalisé telle action. L'annexe de ce livre fournit un lien sur la
fiche technique qui référence les SID génériques.
L'outil système en ligne de commande whoami utilisé avec le paramètre /all
permet de déterminer le SID de l'utilisateur logué ainsi que les noms et SIDS
des groupes auxquels il appartient.
188 La sécurité sous Windows 10

L'outil psgetsid, disponible en téléchargement sur le site de Microsoft, per-


met quant à lui d'afficher le SID de l'ordinateur ou de l'utilisateur de son choix.

2.2 Jeton d'accès (Access Token)

Lors du processus de Logon, un jeton d'accès (en anglais Access Token) est créé
par le sous-système de sécurité LSA (Local Security Authentication) appelé
LSASS en référence au nom du processus système en charge de réaliser cette
opération. Le jeton d'accès contient le SID unique de l'utilisateur, la liste de
tous les SID de groupe local et du domaine auquel le compte de sécurité appar-
tient et également la liste des privilèges dont dispose l'utilisateur. Dans Win-
dows 7/10, il contient également le niveau d'intégrité du compte qui sera
abordé un petit peu plus loin. La notion de privilèges sera présentée au cha-
pitre suivant, pour l'instant il suffit de savoir qu'un privilège est un droit de
réaliser une opération d'administration particulière comme arrêter le système

© Editions ENI - All rights reserved


ou changer de fuseau horaire, tâches qui ne sont pas contrôlées par des permis-
sions sur un objet.
Le jeton d'accès de l'utilisateur étant créé par le système au moment du logon
de l'utilisateur, le rajout d'un compte dans un groupe n'est pas pris en compte
dynamiquement. Celui-ci doit se déloguer et se reloguer pour obtenir un jeton
contenant les nouveaux groupes auxquels il appartient.