Protection 📝 Bloquer les redirections malveillantes via un fichier hosts modifié

[Sylvain*]

Bloquer les redirections malveillantes via un fichier hosts modifié

Introduction

Les attaques via modification du fichier hosts de Windows permettent à un acteur malveillant de détourner des connexions vers de faux serveurs ou de bloquer l'accès à des services légitimes. Ces manipulations peuvent interférer avec la télémétrie, les services Microsoft, ou rediriger l’utilisateur vers des sites frauduleux. Ce tutoriel présente une méthode complète pour identifier, restaurer et verrouiller le fichier hosts afin de prévenir toute exploitation malveillante.

---

Prérequis

• Connaissance approfondie de Windows

• Familiarité avec les outils systèmes Windows

• Droits administrateurs nécessaires

---

Niveau de difficulté

• Étape #1 : Identifier une altération du fichier hosts

• Étape #2 : Restaurer le fichier original

• Étape #3 : Verrouiller les permissions du fichier

• Étape #4 : Scanner le système

• Étape #5 : Surveiller les modifications futures

---

Les Avantages

• Étape #1 : Empêche la redirection vers des sites de phishing

• Étape #2 : Réactive les services Microsoft bloqués

• Étape #3 : Renforce la sécurité du réseau local

• Étape #4 : Réduit les risques de fuite de données

• Étape #5 : Prévient les infections persistantes

---

Les Inconvénients

• Étape #1 : Requiert des droits administrateur

• Étape #2 : Nécessite des connaissances techniques

• Étape #3 : Peut bloquer certaines personnalisations réseau légitimes

• Étape #4 : Implique des vérifications manuelles régulières

• Étape #5 : Non compatible avec certains logiciels tiers qui modifient hosts

---

Étape #1

Ouvrir Notepad en mode administrateur

Accéder au fichier hosts situé dans :

C:\Windows\System32\drivers\etc\hosts

Vérifier la présence de lignes suspectes telles que des redirections vers 127.0.0.1 ou vers des domaines tiers douteux

Comparer avec la version d’origine de Microsoft disponible dans la documentation officielle

---

Étape #2

Supprimer toutes les lignes inconnues ou malveillantes

Réinitialiser le contenu du fichier avec celui par défaut :

# Copyright (c) Microsoft Corp.

127.0.0.1 localhost

::1 localhost

Enregistrer les modifications

Fermer Notepad

---

Étape #3

Clic droit sur le fichier hosts, sélectionner Propriétés

Aller dans l’onglet Sécurité

Cliquer sur Modifier, puis refuser toutes les écritures sauf pour Administrateurs

Appliquer et fermer la boîte de dialogue

---

Étape #4

Lancer une analyse complète avec Microsoft Defender

Utiliser également un outil secondaire comme Malwarebytes

Rechercher spécifiquement les malwares modifiant le fichier hosts

Supprimer toutes les menaces détectées

---

Étape #5

Installer un outil de surveillance comme Sysmon ou AuditPol

Configurer une alerte sur le fichier hosts via l’Observateur d’événements

Exporter les journaux régulièrement

Vérifier qu’aucune règle d’automatisation ne modifie ce fichier à votre insu

---

Astuce

Vous pouvez utiliser une commande PowerShell pour afficher rapidement les redirections présentes dans le fichier hosts sans l’ouvrir manuellement.

---

Mise en garde

Certains logiciels de sécurité ou pare-feu personnalisés utilisent le fichier hosts pour bloquer volontairement certaines adresses de télémétrie. Supprimer ces lignes sans évaluation peut altérer la confidentialité ou la sécurité souhaitée par certains outils.

---

Conseil

Effectuez régulièrement une sauvegarde du fichier hosts et conservez une copie saine dans un répertoire sécurisé ou sur une clé USB de dépannage.

---

Solutions alternatives

• hosts file redirection attack

• restore default windows hosts file

• windows hosts file monitoring tool

---

Références utiles

• Support Microsoft

• Microsoft Learn

• Recherche GitHub

---

Conclusion

La modification malveillante du fichier hosts constitue une méthode efficace pour détourner les connexions réseau. En appliquant les bonnes pratiques de vérification, de restauration et de verrouillage, vous protégez votre système contre les redirections frauduleuses et améliorez la résilience de votre environnement Windows.