Bloquer l’utilisation malveillante de cartes SD sous Windows 11
IntroductionLes cartes SD peuvent être utilisées à des fins malveillantes lorsqu’elles sont insérées dans un système Windows 11. Elles servent à introduire des scripts d’automatisation, des fichiers infectés, ou à exfiltrer discrètement des données. En environnement professionnel ou sécurisé, il est essentiel de contrôler rigoureusement leur usage, voire de les désactiver totalement pour prévenir les risques de compromission. Ce tutoriel présente une méthode complète pour surveiller, restreindre et bloquer l’usage de cartes SD à des fins malveillantes.
Prérequis• Connaissance du gestionnaire de périphériques et des lettres de lecteur
• Accès administrateur local ou domaine
• Familiarité avec Gpedit.msc, AppLocker, WDAC et Defender
Niveau de difficulté• Étape #1 : Identifier les ports ou lecteurs SD installés
• Étape #2 : Restreindre ou bloquer les lecteurs de cartes SD
• Étape #3 : Appliquer une stratégie de groupe contre les supports amovibles
• Étape #4 : Surveiller les activités suspectes sur les lecteurs SD
• Étape #5 : Neutraliser l’exécution automatique et l’accès non autorisé
Les Avantages• Étape #1 : Identification précise des supports amovibles présents
• Étape #2 : Blocage total ou sélectif de l’accès aux cartes SD
• Étape #3 : Protection contre l’exfiltration et l’injection de code
• Étape #4 : Détection rapide d’une utilisation frauduleuse
• Étape #5 : Conformité avec les politiques de sécurité métier
Les Inconvénients• Étape #1 : Certains lecteurs intégrés peuvent ne pas être clairement identifiés
• Étape #2 : Risque de blocage de supports légitimes (appareil photo, diagnostic)
• Étape #3 : Nécessite un suivi lors des mises à jour de stratégie
• Étape #4 : Complexité de la supervision sur machines non connectées
• Étape #5 : Incompatibilité avec certains workflows terrain
Étape #1
Ouvrir Gestionnaire de périphériques
Rechercher dans les sections :
Code:
Lecteurs de disque
Code:
Contrôleurs de bus SD
Identifier le nom du périphérique SD (ex : Realtek PCIE CardReader)
Noter les informations de l’ID matériel pour les étapes suivantes Étape #2 Ouvrir Gpedit.msc Aller dans :
Code:
Configuration ordinateur > Modèles d'administration > Système > Accès au stockage amovible
Code:
Refuser l'accès en lecture aux lecteurs amovibles
Code:
Refuser l'accès en écriture aux lecteurs amovibles
Code:
Empêcher l’installation de périphériques correspondant à ces IDpuis y ajouter les VID/PID du lecteur SD
Étape #3 Ouvrir Regedit Aller à la clé :
Code:
HKLM\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices
Code:
Deny_All = 1
Code:
ID 6 : Driver loaded
Code:
ID 11 : File created
Code:
E:, F:, G:, etc.
Code:
Gpedit.msc > Composants Windows > Comportement de l'exécution automatique
Code:
Désactiver l’exécution automatique sur tous les lecteurs
AstuceUtilisez un utilitaire tiers pour journaliser automatiquement les insertions/suppressions de cartes SD sur les postes critiques (ex : USBLogView, DevManView).
Mise en gardeLes cartes SD sont parfois utilisées avec un microcontrôleur pour simuler des claviers ou injecter du code. Le blocage doit donc être combiné avec une restriction sur les périphériques HID et l’exécution automatique.
ConseilDans les environnements sensibles, privilégiez des machines sans lecteur SD intégré ou désactivez le contrôleur correspondant via UEFI/BIOS pour une sécurité maximale.
Solutions alternatives• block sd card windows 11 gpo
• windows deny removable storage sd card
• sysmon monitor sd card access
Références utiles• Microsoft – Restrictions d’installation de périphériques
• Microsoft – Blocage du stockage amovible
• Microsoft WDAC
ConclusionLa carte SD, souvent négligée comme vecteur d’attaque, peut pourtant servir à exécuter du code ou exfiltrer discrètement des données. En bloquant son accès, en désactivant les services d’exécution automatique et en surveillant l’activité associée, vous renforcez significativement la sécurité de vos systèmes Windows 11.
