Inhibition de la fonction Autorun
Qu’est ce que cela signifie ? N’avons-nous pas désactivé précédemment l’exécution automatique ?
En effet, la fonctionnalité a été désactivée dans la partie “Désactivation de l’exécution automatique” du chapitre “Les mesures de protection sur le système“, mais vous n’êtes pas à l’abri qu’une infection déjà déclarée, ou propagée via un autre moyen que par un support amovible (email, documents piégés, sites infectés, etc.), ne rétablisse la fonctionnalité afin de se propager. Ainsi, indépendamment ou en complément de la désactivation, vous avez possibilité d’inhiber la fonction : si elle n’a pas été désactivée précédemment, cela signifie que la fonctionnalité est opérante, mais que l’exécution de l’Autorun a été détournée par vos soins. Si elle a été désactivée précédemment, nous nous retrouvons dans la cas de figure d’une fonctionnalité inopérante, et d’une exécution détournée : nous sommes là dans la situation idéale et la plus sécurisante pour la préservation du système.
Reprenons notre exemple du Démineur, ou de l’Autorunplasma si vous l’avez téléchargé, et rétablissons l’exécution automatique si elle avait été désactivée. Suite à un redémarrage, et sans plus de modifications, nous nous retrouvons de nouveau dans le cas où le démineur s’ouvre dès le double-clic sur le volume ou le lecteur (cf Illustration 9). Nous allons donc inhiber la fonction Autorun (Illustration 15) en créant la valeur et la donnée de valeur suivantes (qui n’existent pas par défaut) :
| Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] |
Illustration 15 (Windows XP) – Clés, valeurs et données de valeurs à créer pour inhiber la fonction Autorun.
Vous pouvez créer la clé, valeur et donnée directement via l’Editeur du Registre, via le fichier .regmentionné ci-dessus, ou en le téléchargeant directement : JF:) le propose en téléchargement (clic droit, enregistrer sous) à l’issue de son article sur la contamination par les supports amovibles. La manipulation inverse -pour revenir à la normale- impose de supprimer la clé et valeur et donnée associée.
| Windows Registry Editor Version 5.00 [–HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] |
Illustration 16 (Windows XP) – Clés, valeurs et données de valeurs à supprimer pour inhiber la fonction Autorun.
Là aussi, vous pouvez télécharger sur le même site le fichier .reg associé permettant de désinhiber la fonction Autorun. Comme précédemment, à l’issue de chaque modification, prenez soin de redémarrer le système pour que les changements soient bien effectifs et ne souffrent d’aucune carence.
Cette manipulation toute simple, couplée à la désactivation de l’exécution automatique, sécurisera passivement -et ce pour une grande efficacité- vos systèmes (quel qu’ils soient) de la contamination par un support amovible.
Il n’a pas été abordé, dans le cadre de la désactivation de l’exécution automatique et du détournement de la fonction autorun, les possibilités qu’offre la Microsoft Management Console, éditeur de stratégies (accessible en tapant directement dans ‘Exécuter‘ gpedit.msc). Mais il faut savoir que cela existe, et que cela peut être une alternative à l’Editeur du Registre pour effectuer des modifications suggérées.
Dernière mise à jour le 17 mars 2019