Accueil > Windows > Ne laissez pas Remcos RAT pirater votre PC Windows via PowerShell

Pour éviter que Remcos RAT ne puisse pirater votre PC Windows via PowerShell, bloquez les scripts non autorisés avec la commande « Set-ExecutionPolicy Restricted ». Activez ensuite le mode de langage contraint et interdisez l'exécution de mshta.exe via l'éditeur de stratégie de groupe. Ces réglages empêchent ce cheval de Troie de s'exécuter furtivement lors d'attaques par phishing.

Publicité

Si vous utilisez Windows, faites attention au cheval de Troie Remcos RAT. Ce virus se cache dans des e-mails de phishing avec des fichiers ZIP dangereux. Vous n’avez rien à télécharger, il suffit de cliquer sur le fichier pour que le malware démarre tout seul grâce à PowerShell, sans laisser de trace.

Une fois dedans, il peut voir tout ce que vous tapez, prendre des photos de votre écran, et même contrôler votre ordinateur à distance, comme s’il était devant vous.

Publicité

Aujourd'hui, je vais vous expliquer comment protéger PowerShell pour éviter que Remcos RAT ou d’autres virus similaires ne prennent le contrôle de votre PC.

C’est quoi Remcos RAT, et pourquoi c’est dangereux ?

Remcos RAT est un logiciel espion utilisé par des hackers. "RAT" signifie Remote Access Trojan, ou cheval de Troie d'accès à distance. Une fois installé, ce logiciel donne à un hacker le contrôle total de votre ordinateur, sans que vous vous en rendiez compte.

Ce qu’il peut faire :

  • Voir tout ce que vous tapez (y compris vos mots de passe).
  • Prendre des captures d’écran de ce que vous regardez.
  • Ouvrir et manipuler vos fichiers.
  • Contrôler votre ordinateur à distance.

Et le pire ? Il n’installe rien sur le disque dur. Tout se passe dans la mémoire, ce qui rend le virus invisible pour votre antivirus.

Comment Remcos RAT peut pirater votre PC ?

  1. Vous recevez un e-mail qui semble légitime (par exemple, une facture ou un document d’entreprise).
  2. Ce mail contient un fichier ZIP à ouvrir.
  3. Dans ce ZIP, il y a un fichier LNK (un raccourci Windows) déguisé en document.
  4. Quand vous l’ouvrez, ce fichier exécute un programme caché (mshta.exe) qui lance un script PowerShell malveillant.
  5. Ce script ne s’enregistre pas sur votre disque dur. Il agit en mémoire, ce qui le rend difficile à détecter.

Et comme c’est furtif, Microsoft Defender ne réagit pas. Les hackers se connectent ensuite à distance via un serveur mal sécurisé.

Bref, c’est rapide, discret… et très dangereux.

PowerShell, c’est quoi exactement ?

Maintenant que vous savez comment Remcos RAT s’infiltre (via un simple clic sur un faux fichier), il est temps de fermer la porte qu’il utilise pour agir : PowerShell.

PowerShell, c’est un outil puissant intégré à Windows. Il sert à automatiser des tâches comme l’installation de programmes, la gestion des fichiers ou la configuration du système. Les informaticiens l’adorent, car il peut presque tout faire.

Mais cette puissance a un prix : les hackers l’utilisent aussi pour contrôler un ordinateur sans être détectés. C’est justement ce que fait Remcos RAT.

Comment sécuriser PowerShell ?

Par défaut, PowerShell permet d’exécuter des scripts (des petits programmes) sans trop de restrictions. Et c’est là que Remcos frappe : il envoie un script caché qui se lance sans que vous ne voyiez rien.

Mais rassurez-vous, en quelques commandes, vous pouvez rendre PowerShell beaucoup plus sûr, sans le désactiver complètement.

Étape 1 : vérifier le niveau de sécurité actuel

  1. Ouvrez le menu Démarrer, tapez PowerShell.
  2. Faites un clic droit sur "Windows PowerShell", puis sélectionnez "Exécuter en tant qu’administrateur".
  3. Dans la fenêtre bleue qui s’ouvre, tapez cette commande : 
    Get-ExecutionPolicy

    Cette commande vous indique à quel point PowerShell autorise les scripts.
    Si la réponse est Unrestricted, RemoteSigned, ou Bypass : vous êtes vulnérable.

Étape 2 : bloquer les scripts non autorisés

Pour empêcher Remcos (et d’autres malwares) de lancer leurs scripts, tapez cette commande :

Set-ExecutionPolicy Restricted

Appuyez sur A, puis Entrée pour confirmer.

Ce que ça fait : PowerShell ne pourra plus exécuter de scripts automatiques non approuvés. C’est une barrière simple mais très efficace.

 Étape 3 : activer le mode de langage contraint

Même si un script passe, on peut limiter ce qu’il a le droit de faire. C’est le ConstrainedLanguage Mode, ou mode de langage contraint.

Dans PowerShell (toujours en admin), tapez :

$ExecutionContext.SessionState.LanguageMode = "ConstrainedLanguage"

Et pour que ce réglage soit permanent sur tout le système :

Set-ExecutionPolicy -Scope LocalMachine -ExecutionPolicy Restricted -Force

Résultat : les fonctions puissantes (celles que les hackers aiment utiliser) sont désactivées, mais vous gardez l’usage de base pour les besoins quotidiens.

Étape 4 : bloquer certaines commandes dangereuses

Les hackers utilisent souvent des options spéciales pour lancer PowerShell en toute discrétion.

Protégez votre système en activant un filtre de commandes :

New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell" -Name "CommandLineFiltering" -Force
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\CommandLineFiltering" -Name "EnableCommandLineFiltering" -Value 1

Cela permet à Windows de reconnaître et bloquer les tentatives suspectes.

Étape 5 : désactiver mshta.exe

mshta.exe est un petit programme Windows qui sert à lancer des fichiers HTML avec des scripts. C’est un outil légitime, mais malheureusement, les pirates l’utilisent souvent pour exécuter discrètement leur code malveillant, comme le cheval de Troie Remcos RAT.

En bloquant mshta.exe, vous empêchez ces attaques de se servir de ce moyen pour infecter votre ordinateur sans que vous le remarquiez.

Pour le désactiver sur Windows 11 Pro, tapez gpedit.msc dans la barre de recherche pour ouvrir l’éditeur de stratégie de groupe.

Ensuite, allez dans :

Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies de restriction logicielle.

Créez une nouvelle règle de chemin pointant vers C:\Windows\System32\mshta.exe et choisissez l’option Interdit. Cela empêchera mshta.exe de s’exécuter et renforcera la sécurité de votre PC.

Si vous êtes sur Windows 10/11 Famille :

  • Ouvrez Sécurité Windows > Contrôle des applications et du navigateur.
  • Cliquez sur Paramètres de protection contre les exploits > Paramètres du programme.
  • Cliquez sur Ajouter un programme > Choisir le chemin exact du fichier, puis sélectionnez mshta.exe.
  • Désactivez toutes les protections associées.

Vos articles sont-ils encore à jour en 2026 ?

Notre IA analyse chaque article de votre site et vous dit exactement quoi corriger pour rester visible en 2026.

Lancer mon audit gratuit
Ahmed el jaouari

Ahmed EL JAOUARI

Ahmed, fondateur de la plateforme FunInformatique, est diplômé en ingénierie des systèmes informatiques et passionné par la cybersécurité. Avec sa plateforme, il propose des guides pratiques et des tutoriels visuels visant à rendre les technologies numériques accessibles à tous, même aux débutants.

Publications similaires :

  1. Windows 11 n’est pas sécurisé tant que vous n’avez pas activé les règles ASR
  2. Google Chrome ne répond pas sous Windows 11 ? Voici comment le réparer
  3. N’installe pas Windows 11 sur ton vieux PC avant de lire ceci !
  4. FlyOOBE : Pourquoi vous ne devriez pas l’utiliser pour installer Windows 11
  5. Les images ne s’affichent pas dans Chrome ? Voici comment résoudre ce problème