Les prises USB sont des points d'entrée et sortie très importants. Je vous propose aujourd'hui de les désactiver si vous aviez besoin de verrouiller et ou protéger l'accès à votre ordinateur.
Pour être tout à fait honnête, ce qui a motivé l'écriture de ce tutoriel à l'origine est le fait que je me suis rendu compte que certains Sites faisaient payer jusqu'à 80€, des logiciels de verrouillage de port USB !
Je ne mets déjà pas cette somme dans un antivirus, alors un logiciel pour désactiver mes ports USB, même pas en rêve !
Pour la petite histoire, je devais travailler avec un nouvel éditeur pour un autre logiciel qui n'a aucun rapport, mais quand j'ai vu que ce dernier faisait partie de ceux qui facturaient à des prix exorbitants cette fonctionnalité, facilement accessible dans Windows, j'ai préféré ne pas donner suite…
J'ai donc cherché un moyen facile et pas compliqué pour y arriver et je n'ai eu que l'embarras du choix !
Certes, si vous voulez désactiver vos ports USB vous pouvez tout simplement aller dans le gestionnaire de périphériques, mais n'importe quel petit malin aura vite fait d'aller les réactiver en deux clics.
Je vous propose aujourd'hui de les désactiver via l’Éditeur de registre, seule solution fiable… et totalement gratuite !
Bloquer ces ports va vous permettre d'empêcher entre autres :
- toute installation de logiciels provenant de supports ou périphériques externes,
- toute importation de données extérieures,
- toute exportation de données internes,
- toute infection provenant de l’extérieur.
Cela peut être pratique sur un ordinateur en accès libre et ou dans un lieu public ou si tout simplement vous avez comme moi des enfants (et une femme… ).
À noter que cette manip ne rendra pas inopérante une souris qui serait branchée sur un port USB, je me suis dit que vous le préciser pourrait vous rassurer
Bon alors, vous êtes intéressés ? Suivez le guide !
***
Mode opératoire
Qui dit base de registre, dit Regedit. Je vous en parle fréquemment sur Sospc, vous en avez l'habitude, un petit rappel pour les nouveaux lecteurs.
- Quelle que soit votre version de Windows, vous allez pouvoir utiliser la combinaison de touches Windows + R.
- Il faudra ensuite taper regedit et confirmer par OK.
- Si vous utilisez Windows 8 ou 10, vous pouvez y accéder un poil plus rapidement en tapant regedit dans la zone de recherche et en cliquant sur le résultat adéquat.
- La fenêtre de l’Éditeur de registre s'ouvre.
- Déroulez l'arborescence en suivant ce chemin : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services.
- Choisissez enfin USBSTOR (la liste est longue mais classée par ordre alphabétique).
- Si vous utilisez Windows 10 vous pouvez tout simplement copier cette ligne HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR dans la zone dédiée en haut à gauche et appuyer sur la touche Entrée de votre clavier. Vous atteindrez directement la zone recherchée.
- Repérez la valeur Start à droite. Elle est à 3.
- Double-cliquez dessus pour faire apparaître la fenêtre de modification.
- Remplacez la valeur 3 par 4 et confirmez par OK.
- Voilà, c'est (déjà) fini ! Vous n'avez même pas besoin de redémarrer, la modification est instantanément déjà active.
Pour info : lors de l'introduction d'un périphérique USB sur votre ordinateur, vous entendrez comme d’habitude le son Windows correspondant, mais rien ne s'affichera dans le Poste de travail.
Il existe une manipulation qui permet de créer un fichier .reg qui permettrait en fonction de son contenu de changer la valeur dans la base de registre, permettant ainsi de désactiver et réactiver facilement les ports USB.
Le problème est que durant mes tests je n'avais à disposition que des PC sous Windows 10, et je ne sais pas si cela est dû au fait que le dernier OS de Microsoft est mieux protégé, mais malgré le message de confirmation comme quoi la valeur avait bien été modifiée, elle ne l'était pas en réalité, cela n'a donc logiquement pas fonctionné.
Seule la manipulation manuelle fonctionne, j'ai donc fait le choix de ne pas vous en parler aujourd’hui car ce n'était pas l'objet du tuto d'aujourd'hui.
Enfin, il existe une autre manip qui permet de laisser les ports disponibles, mais qui bloque la copie de données via USB, si vous étiez intéressés cela pourrait faire l'objet d'un prochain tutoriel.
À bientôt !
Christophe.
Principale source utilisée et consultée :
http://www.pcworld.com/article/2940859/windows/how-to-lock-and-unlock-your-usb-ports.html
***
Edit du 22/11/2020 : je publie à nouveau cet article, créé le 22/06/2017, qui est toujours d’actualité.
Oui, plutôt que de faire une pâle copie de ce que les contributeurs ou moi-même ont publié il y a quelques années, je me suis dit qu'il était plus simple et logique de créer une catégorie Replay qui vous permettra de (re)découvrir les articles les plus importants parmi le millier disponibles actuellement sur Sospc.
Rejoignez la Communauté SOSPC et accédez à des contenus
et des avantages exclusifs à partir d'1,70€/Mois avec l'abonnement annuel !
Cliquez ICI pour obtenir plus d'infos et consulter tous les abonnements disponibles. ;-)
Christophe. Administrateur.
C'est une bonne méthode que j'avais déjà appliquée à mon boulot sur une partie du parc informatique pour éviter une infection virale des postes de travail très sensibles (ou propagation via le réseau) par des clés usb vérolées mais des petits malins avaient réussi à remettre les bons paramètres…du coup j'ai préféré passer par l'éditeur de stratégie de groupe qui n'est pas accessible aux utilisateurs.
gpedit.msc
« Configuration ordinateur » -> « Modèles d’administration » -> « Système » -> « Accès au stockage amovible ». Puis double-cliquez sur « Disques amovibles : refuser l’accès en écriture ». Dans cette partie on peut aussi bloquer le lecteur CD, disquettes…mais pour accéder à gpedit.msc il faut une version pro de windows si je ne me trompe pas.
Bonjour Jeff77,
oui cette manip n'est accessible qu'avec les versions Pro.
Je viens d'ajouter la capture que tu m'as envoyée par mail à ton commentaire. :o)
Christophe.
Je viens de voir çà…Merci à toi Christophe 😉
Intéressant sauf qu'il n'est pas nécessairement souhaitable de désactiver tous les USB. Mon besoin est de désactiver un port USB précis soit celui ou est connecté mon disque de sauvegarde. Je compte créer un script qui va activer l'USB pour le temps de la prise de sauvegarde (sync) puis le désactiver immédiatement après.
Je sais comment le désactiver/activer manuellement via l'utilitaire gestionnaire de périphériques. Click de droit sur le bon contrôleur hôte puis "désactiver". Je dois maintenant trouver le moyen de scripter ce processus. Si vous avez une idée, ce serait bien apprécié.
Bonjour Clément,
Un article où vers le début ils donnent quelques méthodes (les numéros 2 et 3) : pas sûr que cela réponde totalement à tes souhaits, mais cela peut être une base pour la création de ton script : ICI
Au passage, quelques points importants :
- sauf à désinstaller totalement le port USB, un courant passera toujours via le dit port, alimentant le DDE de sauvegarde. Donc il sera alimenté en permanence, réduisant allégrement sa durée de vie et par extension son intégrité : plutôt gênant pour un DDE de sauvegarde.
- un contrôleur USB gère normalement plusieurs ports USB, sauf les cas particuliers comme sur des PC portables où tu as 1 port USB2 et 2 ports USB3 (ou l'inverse), où par exemple la désactivation du contrôleur USB2 ne désactivera pas les USB3. Ce cas mis à part, désactiver un contrôleur qui gère plusieurs ports fera que tous les ports seront impactés.
- en cas de surtension électrique importante, ton DDE sera touché lui aussi.
Je pense (ce n'est que mon avis
) que l'idée n'est pas si bonne que cela, et que l'éjection physique est la meilleur solution pour préserver tes précieuses données contre les risques physiques d'usure prématurée et de choc électrique.
Tu as l'alternative d'un hub USB avec commutateur, comme ceci : HUB USB3 (il en existe des équivalents sans le bloc alimentation
) : là tu es sûr que aucune transmission de données ne passera et le DDE ne sera pas alimenté en permanence.
: juste à appuyer sur l’interrupteur "I/O" et le tour est joué : simple et efficace.
Si tu te décides quand même à développer un script, cela serait intéressant de le découvrir.
Bonjour,
Sous Windows il est possible de désactiver l'autorun ainsi à l'insertion d'une clé USB infectée le système n'exécute pas le fichier présent. Pas pratique mais point de vue sécurité cela évite pas mal de souci.
sous windows 10 aller dans paramètres -> périphériques et exécution automatique.
d'ailleurs à chaque première insertion d'une clé Windows affiche une fenêtre qui informe d'un mécontentement mais ça on s'en fou.
Merci Christophe pour cette bonne " astuce " !