HP: Mot de passe BIOS

le mot de passe BIOS comme son nom l'indique n'est pas demandé à chaque ouverture de session , mais seulement pour acceder au bios c'est à dire tres rarement

Qui leurs a appris la manipulation pour rentrer dans le bios?

be-bop: ok , mais alors comment poser un mot de passe bios à l'allumage du PC

direct: personne, mais moi je le sais

Est-ce que cela signifie qu'il n'y a pas de mot de passe BIOS pour bloquer l'accès au PC, a moins d'un upgrade BIOS ?

Comme be-pop
"mais seulement pour acceder au bios "
"pour bloquer l'accès au PC"
Là je pense que tu mélange tout,tu veux quoi bloquer l'accés de ton PC?

Non, je ne mélange rien du tout "direct"

Oui, je veux bloquer le PC avant le démarrage de Window par un mot de passe, that's all !  

ou est le probleme tu a bien le compte administrateur?
Pour la manipe je la connais pas désolé
Donc c'est 1 probléme logiciel tu est pas sur le bon forum
merci

Oui, j'ai mis un mot de passe administrateur et utilisateur

Le pb est qu'aucun mot de passe n'est demandé lors du démarrage du PC
Et je veux q'uil y en ai un, peut-etre que je n'ai pas vu un menu dans le Setup pour mettre en route ce password ?

Mon ordi est un HP t160.fr
Perso je cherche même pas pc carref...
WIN,ect spécial fabriquants...

ok direct, le mien est aussi un hp t160.fr, mais ca me dit pas si je peux mettre un password au boot (donc avant le démarrage de Windows XP)

erf, j'avais pas compris ton dernier msg ! direct !

Excuse je suis trop "direct"

Mdr ! Bon mais avec tout ca, j'ai tjrs pas ma réponse,

j'en viens a me demander si sur les HP t160 le BIOS permet ce genre de chose

Je vais être méchant tu a regardé dans le BIOS

oui tu es tres mechant, lol, of course, t'as pas bien lu mes premiers post !?

je pense que tu n'as pas compris qu'un mot de passe bios sert UNIQUEMENT à interdire l'acces au bios.
pour interdire l'acces à windows : mot de passe de session

Ou pour faire simple,avec des cartes mère de "marque" tu vas dans le BIOS ou WINDOWS

ok be-bop et direct.
Tout ca c'est bon, mot de passe BIOS et session Windows !

Je pensais que le mot de passe utilisateur du BIOS, permettait de restreindre l'accès au PC et ce quelque soit l'OS,, vu qu'il etait supposé le demander avant le chargement du noyau (Linux ou Windows).

Du coup, je ne vois pas a quoi sert le mot de passe utilisateur BIOS, si ce n'est accéder aux setup BIOS en visualisation uniquement.

ça sert par exemple à eviter le boot sur diskt ou( live) CD qui permet de s'affranchir de toutes les protections
si tu veux eviter qu'on allume l'ordi il y a des prises de courant à clef ...

Tu peux aussi dire à tes enfants qu'ils n'ont pas le droit d'y aller. Ca marche aussi avec un peu de persuasion.
Ou alors technique préhistorique (ça me rappelle ma jeunesse ^^), tu enlèves le cpu pour pas que ça boot (oui mon père était un tyran).

salut tapes
control userpasswords2
dans Exécuter coche la cas Les utilisateur doivent entrer....

GGCM: ca peut etre une solution d'enlever le processeur,

en effet, la persuasion c'est mieux, mais à 12 ans et apres avoir gouter à CS, c'est dur !

merci jong7, j'vais essayer, mais il me semble que le boot sous un OS a deja eu lieu, et c'est ce que je veux eviter, merci qd meme

jong7, cela me donne en effet acces à la gestion de compte Windows, mais ce n'est pas ce que je veux faire, je veux bloquer simplement l'acces au PC (en evitant de devoir l'enferme dans un placard pour que personne n'y touche ! mdr)

Mais c'est l'OS qui se charge d'interdire l'accès via un mot de passe. On s'en fiche qu'il commence à se charger si au bout du compte il interdit l'accès...
Et puis rigoureusement, si quelqu'un veut casser un mot de passe BIOS ou windows, il y arrivera, c'est vraiment pas compliqué.
Le seul truc un peu plus robuste que j'ai vu jusque là c'est un log nommé Access Master qui remplace l'utilitaire de connexion de windows.

oui benoit, c'est vrai, mais c'etait pour m'assurer qu'on pouvait poser un mot de passe interdisant meme un boot sur D7

ou acces master, c' est surement pour l' acces au serveur .

sinon ben , pour l' ordinateur portable le code d' accès bios peut bloquer l' accès à l' os .

Bonjour a tous,
j'ai la solution a ta demande je penses,
- Vous demarrez votre pc pour rentrer dans le Bios
Un écran bleu ( en général ) s'affiche. Allez sur le menu "PASSWORD SETTING" ( ou "USER PASSWORD" ) en vous déplaçant à l'aide des flèches de direction. Appuyez sur ENTER et une fenêtre rouge s'affiche. Entrez un mot de passe et validez le par ENTREE. Une autre fenêtre s'affiche pour vérifier le pass. Retapez-le et validez encore par ENTREE.
- Il faut maintenant dire au bios que le mot de passe doit être demandé au démarrage du PC. Revenez donc dans le menu principal avec la touche ECHAP et allez sur le menu "BIOS FEATURES SETUP". Entrez-y, toujours avec ENTREE. Descendez, dans le nouveau menu qui est apparu, à la ligne "Security Option" avec les flèches.
- Par défaut, il y a marqué "Setup". Changez cette valeur avec les touches "+" et "-" situées tout à droite du clavier. Mettez la valeur "System".
Remarque : Si vous laissez "Setup", le mot de passe ne vous sera demandé que pour entrer dans le Bios.
- Sauvegardez maintenant les changements avec le menu "SAVE AND EXIT SETUP" ( quittez le précédent avec la touche ECHAP ). Appuyer sur "Y" puis sur ENTREE.
- L'ordi redémarre et un mot de passe vous est demandé.

Ce mot de passe est assez efficace. Cependant, il existe une méthode pour le contourner : il faut remettre à zéro votre Bios en enlevant la pile de votre carte mère ou à partir d'un cluster. Mais encore faut il savoir comment faire !

Voila j'espere avoir repondu...

slt
la remise à 0 du MdP bios par enlevement de la pile , il y a longtemps que c'est fini .
il ya des prog qui le casse mais c'est beaucoup plus long que le MdP windows

Pourquoi casser un mdp bios alors que tu peux le recuperer directement, ça prend 30s "il faut juste" une ligne de commande et avoir debug  

si tu n'as acces à rien tu la tapes ou ta ligne de commande ?

J'ai dis "il faut juste" donc si tu n'as pas d'acces de toute façon tu ne pourras rien lancer pour le casser  

Je remonte ce sujet car il m'intéresse, désolé à ceux qui n'aiment pas ça.

Sur un HP Pavillon, d'un ami, je dois mettre un mot de passe BIOS pour complètement bloquer l'accès au PC (il n'est par ailleurs pas ouvrable, donc tout va bien). C'est un ordinateur fixe.

Quand je rentre dans le bios, je peux bien spécifier deux mots de passe : un "système" et un "utilisateur". Il me semble évident que le mot de passe "utilisateur" est censé bloquer l'utilisation de la machine, non ? En l'occurrence, quand je redémarre le PC, rien n'est demandé !

Je n'ai trouvé strictement aucune autre option parlant de mot de passe dans le BIOS. Je ne vois pas ce que je peux faire, est-ce un bug connu des HP Pavillon sur lesquels le mot de passe utilisateur serait inopérant ?

Par ailleurs, quelle est, selon vous, la manière la plus forte de bloquer le système par mot de passe si on ne peut pas le faire par mot de passe BIOS ? Les mots de passe Windows XP sautent sans problème grâce au mode sans échec, ce n'est pas pratique...

Merci bien !

Le password "utilisateur" doit débloquer une partie des options du BIOS et le "admin" la totalité, j'imagine, jamais eu de machine de ce style dans les mains.

Pour interdire l'accès à une machine, c'est un mot de passe windows qu'il faut mettre en place.

Pour interdire complètement l'accès à un PC il faut :

- Fermer physiquement le PC (ne pas pouvoir l'ouvrir, cadenas, serrure, etc)
- Mettre un mot de passe sur le BIOS qui empêche de jouer avec les ordres de boot
- Désactiver toutes les options de boot par périphérique USB, car c'est toujours possible de faire booter une distro linux installée sur clé USB
- Evidemment, empêcher le boot des lecteurs CD-ROM, etc.
- ne laisser que le DD principal comme prioritaire et seul périf de boot.

Avec ça, Windows est à peu près incrackable, reste la brute force pour cracker le mot de passe windows.

Je pense pas que le mode sans échec permette de s'affranchir du mot de passe, sinon c'est complètement débile comme stratégie de sécurité.

Bonsoir Benoit,

Merci pour ta réponse très complète.

Ce que tu décris pour la sécurisation complète du PC me semble en effet exhaustif. Ma seule interrogation, après avoir fait tout ce que tu décris, est en effet la sécurité de Windows. Je serais étonné qu'il n'existe pas de moyen simple pour annuler le mdp administrateur depuis une session utilisateur sous Windows, ce dernier n'ayant aucune notion poussée (surtout efficace) du droit d'accès aux fichiers.

Disons que j'ai du mal à imaginer qu'en canalisant tout le démarrage vers ce seul disque avec uniquement Windows, on puisse rendre le PC condamné à rester tel quel (utilisateurs et installation).

C'est pourquoi une solution "hard", inviolable logiciellement (par exemple un mdp bios qui ne puisse se modifier qu'au lancement de la machine) serait bien dans mon cas.

Cependant j'avoue qu'une fois tout ça effectué, j'aurais assuré 90% de la sécurité nécessaire, c'est déjà très bien  

Merci encore, à bientôt !

Je suis pas un hacker en herbe mais toutes les techniques de cracking de mot de passe windows que je connais sont basées sur une distro linux qui permet cela ou des editeurs de registre bootables... Une fois à l'intérieur de windows, il faudra des compétences un peu supérieures... D'où pour moi l'importance de rendre impossible le fait de booter sur autre chose que le DD primaire.

Non mais tu as probablement raison, et je vais appliquer ta logique, ça me suffira amplement.

Réflexion philosophique sur le sujet :

Une voiture ne se démarre qu'avec une clé, de plus en plus sophistiquée, ou alors il faut triturer de la mécanique, voire de l'électronique. Un coffre fort ne s'ouvre pas même si tu l'as emporté chez toi, à moins d'utiliser de la dynamite en masse et de perdre tout son contenu. Une carte bancaire est à peu près inutilisable sans son code...

Alors pourquoi, dites-le moi, un PC est-il si facilement pénétrable ? Une clé mécanique, plus un mot de passe dans un circuit à part de la carte mère, triplé d'un cryptage hardware des données devrait être, de nos jours, la norme de base, étant donné la puissance disponible !

Je sais que toutes ces méthodes existent, et se trouvent. Mais certainement pas de série, et encore moins bon marché...

C'était mon coup de gueule de la soirée, contre personne en fait, mais ça fait du bien, parce que je pense qu'il y a un réel vide là.

Sur ce, bonne nuit les gens  

Mais p'tain, c'est quoi ce délire?!

C'est mon tour d'y aller avec un coup de gueule...ne le prend pas perso surtout, seul ton raisonnement sera attaqué.

Pourquoi tu demandes? Parce que personne ne veut de cela, personne en a besoin, tout simplement!

On parle de PC familiaux qui servent à chatter sur MSN, à downloader des MP3, à envoyer des mails, à jouer à WoW et à bricoler une carte d'anniversaire de temps en temps sous Publisher. C'est pas la NASA chez tout le monde quand même, ni la banque mondiale.



Comme si les gens voudraient être obligés de suivre une procédure en 20 étapes pour envoyer un e-mail "au p'tit dernier qui est à l'Université loin de la maison histoire de prendre de ses nouvelles".

Franchement, je ne comprends pas ton raisonnement...

Qui voudrait "violer" ton PC déjà? La CIA? Al-Qaida? Les extra-terrestres?

Ton PC il est chez toi...merde, t'as que ta famille à gérer...c'est pas si compliqué. Windows est multi utilisateur depuis longtemps tu sais...et avec gestion des droits NTFS en prime! Y'a déjà pas mal plus de risque de se faire saloper son PC de l'extérieur de toute manière. T'as un firewall dit?

Pour ce qui est de l'accessibilité physique au PC, verrouille ta porte d'entrée, ça gardera les inconnus à l'extérieur pour commencer. Quand il ne te restera que ton entourage immédiat à gérer, ça deviendra plus facile.

Bah, tu peux protéger le BIOS et verouiller le boitier aussi...comme dit précédemment, ça évite que l'on puisse booter sur un support externe pour bypasser l'OS et aussi de tripoter le matos inside et/ou de retirer le disque dur pour le connecter ailleurs.

Vous z'allez me dire que "tout se contourne"...ben...euh...faut pas virer dingo non plus. Déjà que si tu juges ton entourage "inapte à utiliser un PC", ils ne doivent pas trop avoir de connaissances en la matière. C'est déjà pas si évident si ces précautions sont prises même pour qqn qui s'y connait.



Comme tu le dis...des protections "supérieures" existent déjà..et les entreprises qui en ont vraiment besoin s'en servent aussi. Verrouillage physique, gel du système avec Deep Freeze, authentification et connexion au domaine, GPO, mot de passe BIOS, profils itinérants, droits NTFS, lecteurs réseau authentifiés, lecteur d'empreintes digitales, scanner rétinien, cartes à puce, cryptage des données...name it!

Ceux qui en ont besoin donc, savent où et comment. Mais pour une utilisation domestique?!  



Faut pas être parano quand même!

Double post...

Ouais, je suis complètement duster... Ton PC s'il ne contient rien d'intéressant (coordonnées bancaires, secrets défense, secrets industriels, etc) n'intéresse strictement personne ou bien seulement le gars à qui tu as piqué la dernière promotion au taf' et qui voudrait diffuser les photos coquines que tu as prises avec ton ex'.

Y'a déjà pas mal de protections mises en place par Win même si c'est pas parfait pour prévenir les intrusions que je qualifierais d'occasionnelles, il ne mérite pas que l'on s'insurge contre lui à ce niveau.

Surtout si ce que tu préconises fait augmenter le prix des PC de 20% pour un petit 2% d'utilisateurs qui en ont besoin (ou en ressentent le besoin).

Et que quelqu'un m'explique une procédure infaillible pour pénétrer dans un PC (et donc accéder aux données) si:

Le BIOS est protégé par mot de passe

L'ordre de boot ne permet que de booter sur le disque système

Le boitier est verouillé avec un cadenas, donc aucun accès physique au disque dur

L'OS est protégé par des comptes utilisateurs ayant un mot de passe (et que le mot de passe n'est pas votre date de naissance...)


Ou même de "voler" des infos quelconque si:

Les droits NTFS sont gérés adéquatements

Les utilisateurs sont dans les groupes adéquats (genre pas tout le monde en admin)

Un firewall est installé et bien configuré

Que le PC est en IP privée, connecté à un routeur

Routeur sur lequel seule la MAC de votre PC a droit de connexion (que ce soit en filaire ou en WIFI) et que l'encrption est activé en WIFI


Tout ça, c'est accessible dans beaucoup de nos chaumières...quand ce n'est pas déjà built-in dans l'OS ou alors facile et peu dispendieux à mettre en place.

Par contre, ça ne vous protègera aucunement contre de mauvaises habitudes d'utilisation d'un PC...et c'est là la cause de la majorité des problèmes rencontrés au final.




Malgré les légendes urbaines, ils ne sont pas légion ceux qui pourront me donner une réponse satisfaisante et réellement efficace. Surtout pour la première partie et encore plus si on prend en considération le temps requis pour peut-être y arriver. Le "voleur" ne disposant surement pas d'une journée entière devant ton PC avant de se faire démasquer.

C'est clair qu'intervenir dans le BIOS est une opération très couteuse. Depuis que je suis au chômage, j'évite d'overclocker mon proco...

Les méthodes s'appellent "brute force" (bon là ok, faut avoir un peu de temps devant soi), logiciels utilisant des méthodes de décryptage du mot de passe par méthode des points distincts ou encore mieux qui prévoient la réaction de wondows vis-à-vis du cryptage de celui-ci, et pour les admins les plus stupides, le social engineering.

Cela dit, ici, la spécialité c'est le HW, donc je pense pas qu'on soit en mesure (moi en tout cas) d'aller au fond du sujet vu que cracker les mots de passe ne figure pas dans ma liste de hobby.

Euh...cette phrase était plutot destinée à Ninj à propos des "sécurité" de ouf qui devraient, selon lui, venir par défaut avec les PC!  

Faut quand même avoir une interface quelconque pour rouler le programme de brute force.

À moins de faire du brute force manuel...ce qui risque d'être long!  

Et le social engineering, vrai que c'est le mailllon faible mais j'ai précédemment dit que les mots de passes doivent minimalement être "adéquats".

Si le gars est trop bête pour mettre son nom, sa date de fête, AZERTY ou 12345 comme mot de passe...il aura beau mettre en place toutes les protections qu'il voudra...

Ce serait comem chialer que les manufacturier de bagnole laissent démarrer ces mêmes bagnoles sans clé...et le jour où ils te mettent une clé, tu la laisse sur le contact.


Vous savez, des mots de passe collés sur le moniteur avec un "post-it", j'en ai déjà vu...  

Tiens, moi aussi  

Pour en revenir au sujet, sur certains systèmes, il y a dans le BIOS une option qui permet de définir si le mot de passe est "Setup" ou "System" : soit il est demandé lors de l'accès au BIOS, soit il est demandé au démarrage du PC. J'ai pas de HP sous la main, mais je teste avec le prochain que je vois passer.

Pour le mot de passe Windows, le problème est que certains logiciels demandent un compte "non-limité" (avec les droits d'admin donc) pour fonctionner. Et si on a les droits d'admin, je pense que l'on peut aller faire joujou avec la base SAM, même sous Windows...

Ouch.

J'ai fait un peu comme vous, je n'ai lu qu'en diagonale, et j'ai compris ce qui m'arrangeait parmi vos posts hein, donc ne vous inquiétez pas si ça vous énerve  

Je ne fais strictement aucune citation, vous avez tellement décollé dans le grand n'importe quoi jubilatoire (attention, je ne juge que les raisonnements, hein, pas les personnes...) que ce serait trop de travail pour trop peu de résultat de vous relire tous.

duster, "Ex-Modérateur forum" <= "Mais p'tain, c'est quoi ce délire?!" : l'un expliquerai-t-il l'autre ?  



Tu t'es fais du bien là ? Il faut bien évacuer le stress de la ville, je comprends. Ma famille... hihi. Je me permet de rire hein. Je gère plus de PC par jour que tu n'en gérera dans ta vie   Mais je t'aime bien, tu es impulsif et tu animes le forum.

Bonjour d'abord, content d'avoir une réponse construite (probablement le seul mot non-ironique de mon post, ne pas le louper merci).

Je vous laisse me retrouver d'abord à a quel endroit je parle de PC personnel, ensuite m'expliquer en quoi l'utilisateur, une fois la clé laissée sur l'alim pour les PC persos, verra une quelconque complication, et enfin, à quel moment j'ai parlé de mot de passe obligatoire plutôt qu'optionnel.

Ensuite... ben relisez-vous, après une bonne tisane, mettez-vous dans un bon divan, et reeeeespirez. Là relisez une troisième fois quand même, si si... et enfin, vous pourrez répondre quelque chose en adéquation avec mon post.

Allez un indice ? En spoiler alors pour ne pas gâcher la devinette !

Sur ce mes amis, merci de l'accueil (mis à part en ce qui concerne les réponses de départ qui étaient propres), et à bientôt pour probablement mon dernier message sur ce forum de névrosés (pas tous, cependant, j'avoue) :]

Edit : Yannic, merci de ta réponse calme, cependant, j'ai précisé dans mon post initial qu'aucun des deux mots de passe ne bloquait le démarrage système malheureusement.

Toi tu ne parlais peut-être pas de PC domestique mais ce post a été débuté en ce sens.

Tu disais que les protections avancées devraient être une norme de base...moi j'y comprends que tu veux que tous les PC en soient équipés. Ceci n'inclue-t-il pas les PC domestique?!


C'est sympa de pouvoir avoir une bonne discussion animée...ça fait avancer le schmilblick. Il ne faut simplement pas y voir autre chose qu'une opportunité de défendre des idées. Y'a pas de névrose en vu.

Allez...part pas...on peut en tirer quelque chose de constructif si tu participe!  

Ne me dit pas que t'es ce genre de mec qui démissionne dès qu'on ne pense pas comme lui...

Finalement...si tu gérais autant de PC que tu le dis, tu ne te prendrais pas la tête...les solutions tu les connaitrais, tu saurais comment les mettre en oeuvre et tu ne t'attendrais pas à ce que les manufacturiers les implémente à ta place

Non je n'ai aucune envie de partir parce que quelqu'un pense autrement, au contraire. Par contre, quand je rentre dans une pièce et que quelqu'un me crache à la tête avant même que j'ai le temps de le voir, sois je lui rentre dedans, sois je dis merci et vais voir à côté si les gens sont plus sociables.

Sinon, oui j'ai géré (ce n'est plus le cas pour être précis) 900 PCs + 120 serveurs pendant un bon moment, mais je n'ai jamais eu besoin de les sécuriser au delà d'un mot de passe. Et les solutions de sécurité avancées je les maitrise pas trop mal mais je ne connais rien à la sécurité avancée sous Windows. J'évolue surtout dans le réseau, et donc notamment Unix et les solutions propriétaires.

Quand à la sécurité sur les PCs de tout-un-chacun, alors qu'aujourd'hui on paye une fortune des cartes graphiques contenant plus de 100millions de transistors pour jouer à des jeux, je considère que deux ou trois astuces simples (une puce de chiffrement triple AES, 2 ou 3€, sur un disque dur par exemple), et un moyen hard de vérouiller le PC, devraient être disponibles en standard, oui. Et certainement pas que je m'amuse à les implémenter sur 900 PCs, un par un.

Quand tu achètes une voiture moyen ou haut de gamme, elle a le démarrage chiffré (puce dans le moteur, très compliquée à ouvrir et outrepasser). On ne te propose pas de l'installer toi-même si ça t"intéresse  

M'enfin, depuis ce début de topic je suis passé à autre chose, donc j'en resterai certainement là de cette discussion, parti d'une simple réflexion sur l'état de l'art en matière de sécurité informatique système, déguisée en coup de gueule.

Sur ce, bonne journée les gens.

J'ai bien lu ton premier post, mais relis le mien : je parle d'une option (dans l'exemple suivant : "security option"), qui se balade dans certains bios, qui te permet de dire "le(s) mot(s) de passe que j'ai donné sont :"
1/ pour rentrer dans le BIOS (c'est souvent l'option "setup")
2/ pour démarrer le PC (option "system")

Un exemple :


Bon, forcement, c'est du bios award, je pense pas que le HP en question ait un bios de ce type. Mais une option équivalente s'y cache peut-être  

Yannick, malheureusement, il n'y avait aucune option de ce genre, il n'y a même pas de "advanced blabla". J'ai tout parcouru sans succès  

HP ne doit pas penser qu'il est intéressant de bloquer son système. Même si j'avoue qu'il est facile de trouver ce mot de passe avec des commandes systèmes, sous DOS ou Linux. Mais les BIOS récents ne sont plus si vulnérables. Bref, c'est dommage de la part de HP-Compaq.

Dommage