Depuis la sortie du système d’exploitation Windows 10, de nombreuses questions sur la vie privée des utilisateurs sont soulevées. En effet, même si certaines de nos données étaient déjà récoltées auparavant, Microsoft a ouvert sa communication sur la récupération de données personnelles avec Windows 10. Ceci a notamment permis à un certain nombre de personnes d’ouvrir les yeux et de prendre conscience des choses.
Néanmoins, il est possible via différentes petites manipulations et configurations de limiter les données personnelles recueillies par Microsoft. Cela peut notamment passer par l’utilisation des Group Policy Objetcs, que nous allons découvrir dans cet article. Je vous donnerai quelques exemples afin que vous puissez vous même vous faire une idée de leur utilisation. J’en profite pour placer un mot au sujet de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) qui publie régulièrement des guides de bonnes pratique au sujet de l’hygiène numérique. Les configurations abordées dans cet article sont d’ailleurs tirées de leur guide “Préoccupations relatives au respect de la vie privée et à la confidentialité des données sous Windows 10” et ont été compilées par @Gouzou, je le remercie pour l’aide apportée !
[Note préliminaire 1] Cet article sera mis à jour (plus ou moins) régulièrement afin d’ajouter ou retirer certains paramètres intéressants.
[Note préliminaire 2] L’édition des GPO n’est possible qu’avec une version Pro, Enterprise ou Intégrale de Windows 7, 8.1 ou 10. Néanmoins il semble possible d’installer l’éditeur sur des versions plus classiques (Home). Ne l’ayant pas testé, je ne peux affirmer ou non cela.
Les GPO (Group Policy Objects)
Qu’est ce que c’est ?
Les Group Policy Objects (GPO) ou Stratégies de Groupe sont des fonctions de gestion centralisée des machines sous Windows. Elles sont notamment utilisées dans le cadre des réseaux d’entreprise composés de parc informatiques. Leur utilisation permet de déployer des paramètres facilement sur l’ensemble du parc ou encore de configurer certains paramètres réseaux, de sécurité etc. Il en existe plusieurs centaines, permettant d’administrer un grand nombre de choses.
Même si ce système est majoritairement utilisé dans le cadre de parc informatiques, il existe une version locales aux ordinateurs, permettant à chaque administrateur de définir des paramètres pour sa machine, on parle alors de stratégies locales.
Dans le cadre d’une entreprise, il est possible de mettre en place à la fois des stratégies locales (pour votre PC uniquement) et des stratégies de groupe (pour l’ensemble du parc informatique). Néanmoins, si différents paramètres rentrent en conflit, la stratégie de groupe prendra la priorité et sera appliqué, au détriment du paramétrage local.
Dans le cas d’un PC personnel, pas de soucis à se faire et c’est d’ailleurs ce qui est recherché dans cet article. Je n’entrerai pas plus en détails sur les GPO car cela pourrait rapidement devenir complexe et le but n’est pas d’aller en profondeur là dessus.
Comment ça marche ?
Concrètement, l’ensemble des GPO se gèrent au même endroit, dans l’éditeur de stratégies de groupe. Un nombre conséquent de paramètres sont disponibles et il suffit de choisir une des valeurs proposées ou d’entrer la valeur choisie quand cela est possible. Par exemple, pour le paramètre “Comptes : Status du compte Invité” il est possible soit d’activer ce compte, soit de le désactiver. Ci-dessous une capture d’écran illustrant à quoi ressemble l’éditeur.
Au sein d’un parc informatique d’entreprise, les stratégies de groupe se gèrent au niveau des contrôleurs de domaine Active Directory. Il s’agit des serveurs du parc.
Et sur mon ordinateur ?
Comme dit précédemment, il existe une version locale de l’éditeur de stratégies. On parle ici de l’éditeur de stratégies locales. Il ressemble en tous points à l’éditeur de GPO des serveurs Windows, mais les paramètres définis sont seulement appliqués sur l’ordinateur en question. Plutôt pratique quand on veut simplement protéger son PC personnel !
Afin de trouver l’éditeur, deux façons :
- Utiliser la barre de recherche de Windows et taper “Group Policy” ou “Stratégies de Groupe”. Il est nécessaire d’exécuter le programme en tant qu’administrateur (clic droit dessus puis “exécuter en tant qu’administrateur”) ;
- Utiliser l’application Windows permettant de lancer un programme. Pour cela, utilisez les touches “Windows” (la touche avec l’icône de Windows) + “R” puis entrez “gpedit.msc”.
Une fois cela exécuté, on se retrouve avec le même éditeur. Et on peut commencer à fouiller :).
Mise en application - Modification des GPO
Conformément aux documents de l’ANSSI et aux paramètres que @Gouzou a extrait de leur documents, on trouve plusieurs catégories de paramètres qu’il est intéressant de regarder à des fins de protection personnelle. Il est cependant à noter que tout n’est pas à prendre au pied de la lettre. En effet, les recommandations présentées ici permettent de vous guider dans la configuration de votre système mais c’est à vous de définir ce que vous voulez protéger. Je vous invite fortement à lire le descriptif de chaque paramètre afin de savoir sur quoi cela porte.
Notion de chemin
Dans la suite de l’article, chaque paramètre sera accessible via un “chemin”. Par exemple :
Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Composants Windows/Collecte de données et versions d'évaluation Preview
Cela correspond aux différentes catégories et sous-catégories visibles dans l’éditeur.
Une fois arrivé sur un paramètre, il suffit de cliquer dessus pour ensuite choisir si on souhaite l’activer, le désactiver et y ajouter d’éventuelles options.
Télémétrie, Recherche et Outils intégrés
Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Composants Windows/Collecte de données et versions d'évaluation Preview
| Paramètre | Etat | Options |
|---|---|---|
| Autoriser la télémétrie | Activé | 0 (Désactivé) ou 1 (De base) |
| Ne pas afficher les notifications de commentaire | Désactivé | - |
| Basculer le contrôle utilisateur sur les Builds Insider | Désactivé | - |
Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Composants Windows/Antivirus Windows Defender/MAPS
| Paramètre | Etat | Options |
|---|---|---|
| Configurer une valeur de remplacement … MAPS | Désactivé | 0 (Désactivé) ou 1 (De base) |
| Envoyer des exemples de fichier lorsqu’une analyse supplémentaire est nécessaire | Activé | Ne jamais envoyer |
| Rejoindre Microsoft MAPS | Désactivé | - |
Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Composants Windows/Rechercher
| Paramètre | Etat | Options |
|---|---|---|
| Autoriser Cortana | Désactivé | - |
| Autoriser Cortana au-dessus de l’écran de vérouillage | Désactivé | - |
| Autoriser l’indexation des fichiers chiffrés | Désactivé | - |
| Ne pas autoriser la recherche web | Activé | - |
| Définir quelles informations sont partagées dans Search | Activé | Informations anonymes |
| Ne pas effectuer des recherches sur le Web ou afficher des résultats Web dans Search | Activé | - |
| Autoriser la recherche dans le Cloud | Désactivé | - |
| Autoriser la page Cortana dans OOBE sur un compte AAD | Désactivé | - |
Expérience Utilisateur
Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Composants Windows/Localiser mon appareil
| Paramètre | Etat | Options |
|---|---|---|
| Activer/Désactiver l’option localiser mon appareil | Désactivé | - |
Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Composants Windows/Rapport d'erreur Windows
| Paramètre | Etat | Options |
|---|---|---|
| Désactiver rapport d’erreurs Windows | Activé | - |
| Envoyer automatiquement des images mémoire … d’exploitation | Désactivé | - |
| Ne pas envoyer de données additionnelles | Activé | - |
Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Panneau de configuration/Options régionales et linguistiques
| Paramètre | Etat | Options |
|---|---|---|
| Autoriser la personnalisation de la saisie | Désactivé | - |
Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Panneau de configuration/Options régionales et linguistiques/Personnalisation de l'écriture manuscrite
| Paramètre | Etat | Options |
|---|---|---|
| Désactiver l’apprentissage automatique | Activé | - |
Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Système/Gestion de la communication Internet/Paramètres de communication Internet
| Paramètre | Etat | Options |
|---|---|---|
| Désactiver le contenu “Le saviez vous ?” dans le centre d’aide | Activé | - |
| Désactiver le partage des données de personnalisation de l’écriture manuscrite | Activé | - |
| Désactiver le programme d’amélioration de l’expérience utilisateur Windows | Activé | - |
| Désactiver le signalement d’erreurs de la reconnaissance de l’écriture manuscrite | Activé | - |
| Désactiver l’accès au Windows Store | Activé | - |
| Désactiver le rapport d’erreurs Windows | Activé | - |
Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Composants Windows/Contenu Cloud
| Paramètre | Etat | Options |
|---|---|---|
| Désactiver les expériences consommateur de Microsoft | Activé | - |
| Ne pas afficher les conseils de Windows | Activé | - |
Applications universelles
Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Composants Windows/Confidentialité de l'application
| Paramètre | Etat | Options |
|---|---|---|
| Permettre aux applications Windows d’accéder à […tout…] | Activé | Ne jamais autoriser |
Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Composants Windows/Windows Store
| Paramètre | Etat | Options |
|---|---|---|
| Afficher uniquement le magasin privé dans le Microsoft Store | Activé | - |
| Désactiver l’application Store | Activé | - |
| Désactiver toutes les applications depuis le Microsoft Store | Activé | - |
Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Système/Profils utilisateur
| Paramètre | Etat | Options |
|---|---|---|
| Désactiver l’ID de publicité | Activé | - |
| Ne pas ouvrir de session pour les utilisateurs avec des profils temporaires | Activé | - |
Stratégie Ordinateur local/Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégies Locales/Options de sécurité
| Paramètre | Etat | Options |
|---|---|---|
| Comptes : Bloquer les comptes Microsoft | Activé | Les utilisateurs ne peuvent pas ajouter ni se connecter avec un compte Microsoft |
Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Composants Windows/OneDrive
| Paramètre | Etat | Options |
|---|---|---|
| Empêcher l’utilisation de OneDrive pour le stockage de fichiers | Activé | - |
Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Composants Windows/Saisie de texte
| Paramètre | Etat | Options |
|---|---|---|
| Améliorer la reconnaissance de l’écriture manuscrite et de la saisie | Désactivé | - |
Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Composants Windows/Windows Defender Application Guard
| Paramètre | Etat | Options |
|---|---|---|
| Activer Windows Defender Application Guard en mode Entreprise | Activé | - |
Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Composants Windows/Installation poussée
| Paramètre | Etat | Options |
|---|---|---|
| Désactiver le service d’installation poussée | Activé | - |
Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Composants Windows/Stratégies de système d'exploitation
| Paramètre | Etat | Options |
|---|---|---|
| Active le flux d’activité | Désactivé | - |
| Autoriser la publication des activités de l’utilisateur | Désactivé | - |
| Autoriser le chargement des activités utilisateur | Désactivé | - |
Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Composants Windows/Enregistrement et diffusion de jeux Windows
| Paramètre | Etat | Options |
|---|---|---|
| Active ou désactive Enregistrement et diffusion de jeux Windows | Désactivé | - |
Petit bonus - Mener la vie dure aux applications Microsoft installées par défaut
Vous avez surement dû déjà y faire face, lorsque vous achetez un nouvel ordinateur, un certain nombre d’applications sont installées par défaut. Même si certaines sont utiles, il n’est pas rare qu’on ait envie d’en supprimer quelques unes. Cependant, Windows ne nous laisse pas faire si facilement ! En effet, l’option “désinstaller” n’est pas proposée…
Mais il est quand même possible d’en supprimer certaines ! Malheureusement, il ne sera pas possible de toutes les désinstaller (Cortana, par exemple). Encore une fois, c’est à vous de juger ce qu’il sera bon de garder ou pas :).
Les quelques lignes à venir pourraient faire peur aux moins bidouilleurs d’entre vous. Néanmoins pas de panique, ne partez pas à la moindre ligne de code, tout est expliqué !
On va commencer par ouvrir un interpréteur Powershell. Grossièrement, il s’agit d’un terminal dans lequel nous pouvons entrer des commandes. Recherchez le programme “Powershell” et lancez le en tant qu’administrateur (clic droit > Exécuter en tant qu’administrateur). Un terminal bleu, comme celui ci, devrait apparaître.
Par la suite, 3 commandes vont être nécessaires.
Premièrement, on va lister les applications installées. Cela se fait à l’aide de la commande suivante. Cette dernière va lister les applications et afficher un grand nombre d’informations à leur sujet.
Get-AppxPackage
Pour des raisons de lisibilité, nous aimerions simplement lister les applications et n’afficher que leur nom complet. On peut le faire avec la commande ci-dessous.
Get-AppxPackage | Select Name, PackageFullName
Ensuite, il suffit de dire à l’ordinateur de récupérer une application puis on ajoute une seconde commande “Remove-AppxPackage” afin de lui dire de supprimer l’application.
Get-AppxPackage -allusers *3dbuilder* | Remove-AppxPackage
Description de la commande :
- GetAppxPackage = Liste les applications installées ;
- -allusers = Indique que la commande va porter sur tous les utilisateur de l’ordinateur ;
- *zunevideo* = Nom de l’application. On utilise deux “*” pour indiquer qu’on cherche simplement l’expression entre les deux symboles dans le résultat de la liste afin de sélectionner la bonne application. Dans notre cas, on va désinstaller toutes les applications contenant “zunevideo” dans leur nom ;
- | = Permet de lier la première commande à une seconde ;
- Remove-AppxPackage = Indique que l’on souhaite supprimer l’application sélectionnée.
Il est ainsi possible de supprimer beaucoup d’applications. Je vous invite à consulter ce lien afin d’avoir de plus amples informations et une liste des applications qu’il est possible de supprimer.
Conclusion
En conclusion de cet article, je rappelerai que beaucoup de choses sont possibles afin de personnaliser son ordinateur et limiter les fuites d’information, mais qu’il ne faut pas forcément tout prendre au pied de la lettre. En effet, plus que d’appliquer des recommandations (même celles de cet article), il est important de s’informer et d’essayer de comprendre au moins le fontionnement global. Chaque personne ou entreprise a des besoins différents en termes de sécurité et de confidentialité, ce qui laisse une multitude de configurations possibles. A vous de trouver le juste milieu qu’il vous faut !
Comme toujours, si vous avez la moindre question, n’hésitez pas à me contacter par Twitter ! ;)