L’Assistance Rapide, cette application native de Windows souvent méconnue, représente bien plus qu’un simple outil de support à distance : elle constitue un vecteur d’accès potentiel à vos systèmes si elle n’est pas correctement contrôlée. Laisser cette fonctionnalité active sans surveillance dans un environnement d’entreprise expose les postes de travail à des risques de prise en main non autorisée, et ce d’autant plus que les utilisateurs peuvent la réinstaller facilement via le Microsoft Store sans intervention administrative.
Qu’est-ce que l’Assistance Rapide et pourquoi constitue-t-elle un risque de sécurité
L’Assistance Rapide, également appelée Quick Assist, est une application intégrée nativement dans Windows 10 et Windows 11. Elle permet à un utilisateur de partager son écran et de donner le contrôle complet de son ordinateur à une tierce personne via Internet, dans l’objectif de fournir un support technique. Microsoft a conçu cet outil pour simplifier l’assistance à distance sans nécessiter l’installation de logiciels tiers complexes.
Cependant, dans un contexte professionnel, maintenir cette application active crée plusieurs vulnérabilités. Un utilisateur peu vigilant pourrait accorder l’accès à son système à un individu malveillant se faisant passer pour un support informatique. L’application ne demande pas d’authentification robuste et repose principalement sur la vigilance de l’utilisateur, ce qui en fait un point faible dans la chaîne de sécurité d’une organisation.
Les risques spécifiques incluent :
- 🔓 Prise en main à distance non contrôlée par le service informatique
- 🛡️ Contournement des outils de support officiels déjà déployés (TeamViewer, AnyDesk, Remote Help)
- 📊 Accès potentiel à des données sensibles ou confidentielles
- ⚙️ Installation de logiciels malveillants sans détection préalable
- 🔐 Modification de paramètres critiques du système d’exploitation
Pour cette raison, les entreprises adoptant une posture de sécurité stricte préfèrent désactiver complètement cette fonctionnalité sur leurs appareils gérés. L’approche recommandée consiste à utiliser des solutions de gestion centralisée comme Microsoft Intune, qui permet de déployer cette désactivation de manière uniforme sur tous les postes de travail de l’organisation.
L’Assistance Rapide (ou Quick Assist) est une application native de Windows 10 et 11 qui permet le partage d’écran et le contrôle à distance d’un ordinateur pour offrir un support technique.
Comprendre le mécanisme de blocage via le pare-feu Windows
Pour bloquer efficacement l’Assistance Rapide, il est nécessaire de comprendre sa nature technique et la manière dont elle fonctionne. Contrairement aux anciens exécutables Windows classiques, Quick Assist n’est pas un simple fichier EXE téléchargeable depuis le système. Il s’agit d’une application UWP (Universal Windows Platform), distribuée exclusivement via le Microsoft Store, ce qui implique une approche de blocage différente des méthodes traditionnelles.
Une application UWP n’est pas une application traditionnelle liée à un exécutable unique. Elle utilise un système d’empaquetage appelé AppX, qui encapsule l’application et ses ressources. Pour cibler précisément une telle application dans le pare-feu Windows, il ne suffit pas d’identifier un nom d’exécutable : il faut utiliser l’identifiant unique de l’application, appelé Package Family Name.
Le Package Family Name pour Quick Assist est : MicrosoftCorporationII.QuickAssist_8wekyb3d8bbwe. Cet identifiant peut être récupéré via une commande PowerShell simple :
Get-AppxPackage | Where-Object { $_.Name -like "*QuickAssist*" }
En créant une règle de pare-feu sortante ciblant ce Package Family Name, l’administrateur réseau empêche l’application d’établir des connexions Internet, rendant ainsi impossible son fonctionnement, même si l’application reste techniquement installée sur la machine. Cette approche offre un avantage majeur : elle fonctionne indépendamment du fait que Quick Assist soit pré-installé ou qu’un utilisateur l’installe ultérieurement depuis le Store.
| 🔧 Élément | ⚙️ Valeur/Paramètre | 📌 Description |
|---|---|---|
| Type d’application | UWP (Universal Windows Platform) | Application moderne distribuée via Microsoft Store, non exécutable classique |
| Package Family Name | MicrosoftCorporationII.QuickAssist_8wekyb3d8bbwe | Identifiant unique permettant de cibler l’application dans les règles de pare-feu |
| Direction de la règle | Sortante (Outbound) | Bloque les flux émis par l’application vers Internet |
| Action | Bloquer | Refuse toute connexion tentée par Quick Assist |
| Profils de pare-feu | Tous (Domaine, Privé, Public) | Applique la règle indépendamment du réseau auquel l’appareil est connecté |
Cette stratégie de blocage au niveau du pare-feu est considérée comme plus efficace que la suppression pure de l’application, car elle persiste même si Quick Assist est réinstallée ultérieurement par un utilisateur. Elle crée une protection en couches, où le système d’exploitation lui-même empêche la communication réseau de l’application, indépendamment de tout autre facteur.
Pour bloquer l’Assistance Rapide via le pare-feu, utilisez son Package Family Name : MicrosoftCorporationII.QuickAssist_8wekyb3d8bbwe. Cela empêche toute connexion Internet de l’application tout en la laissant installée.
Déployer une règle de blocage via Microsoft Intune étape par étape
Microsoft Intune offre un portail centralisé pour gérer les stratégies de sécurité sur l’ensemble des appareils Windows d’une organisation. Le déploiement d’une règle de pare-feu pour bloquer Quick Assist via Intune suit un processus structuré et reproductible. Cette méthode garantit une cohérence de configuration et une traçabilité complète des changements apportés aux postes de travail.
Première étape : accès au portail Intune et création de la stratégie
L’administrateur doit accéder au portail Intune et naviguer vers la section dédiée à la sécurité des points de terminaison. La chemise à suivre est : Sécurité du point de terminaison > Pare-feu. Depuis cette page, il faut cliquer sur le bouton « Créer une stratégie » ou « Créer Azure Policy » (le libellé peut varier selon la version du portail). Cette action ouvre un assistant de création de stratégie.
🔧 Points à valider lors de cette étape :
- ✅ Vérifier que vous êtes dans le bon tenant Azure/Intune
- ✅ S’assurer d’avoir les permissions suffisantes (rôle Administrateur Intune ou équivalent)
- ✅ Préparer les groupes de périphériques cibles en amont
Deuxième étape : sélection de la plateforme et du type de profil
L’assistant demande de spécifier la plateforme cible. Dans ce cas, sélectionner « Windows » (ou « Windows 10 and later » selon la version de l’interface). Ensuite, choisir le type de profil : « Règles de pare-feu Windows ». Cette sélection est cruciale car Intune propose d’autres types de profils (endpoint protection, restrictions d’applications, etc.) qui ne conviendraient pas pour une règle de pare-feu spécifique.
Troisième étape : nommage et description de la stratégie
Attribuer un nom explicite à la stratégie, par exemple : « Bloquer Quick Assist – Règle Pare-feu ». Ajouter une description détaillée, comme : « Bloque l’Assistance Rapide (Quick Assist) en créant une règle de pare-feu sortante ciblant le Package Family Name de l’application UWP, conformément à la politique de sécurité de l’organisation. » Cette documentation facilite la maintenance ultérieure et aide les autres administrateurs à comprendre l’objectif de la stratégie.
Quatrième étape : configuration des paramètres de la règle
À ce stade, Intune propose un ensemble de paramètres configurables. Les réglages essentiels sont :
| 📋 Paramètre | 🎯 Réglage recommandé | 💡 Justification |
|---|---|---|
| Direction de la règle | Sortante (Outbound) | Bloque les tentatives de connexion émises par Quick Assist vers les serveurs Microsoft |
| Action | Bloquer | Refuse explicitement tout flux réseau générée par l’application |
| Profil de pare-feu | Tous (ALL) | Applique la règle sur les réseaux domaine, privé et public |
| Type d’interface | Tous (ALL) | Couvre Ethernet, Wi-Fi, VPN et autres connexions |
| Statut de la règle | Activée | La règle s’applique immédiatement après le déploiement |
| Nom de famille du package | MicrosoftCorporationII.QuickAssist_8wekyb3d8bbwe | Identifie précisément l’application Quick Assist à cibler |
Intune propose généralement un lien pour « Modifier l’instance » ou une option avancée permettant de personnaliser davantage la règle. Cliquer sur ce lien pour accéder aux options supplémentaires et s’assurer que l’option « Nom de famille du package » est active.
Cinquième étape : assignation aux groupes de périphériques
Une fois la règle configurée, l’étape suivante consiste à déterminer quels appareils recevront cette stratégie. Intune utilise un système de groupes d’appareils, généralement organisés par département, fonction, localisation ou autre critère métier. Sélectionner les groupes cibles dans la section « Affectations ». Il est courant de créer des groupes spécifiques comme « Tous les appareils gérés », « Postes de travail sensibles », ou « Utilisateurs administratifs ».
⚠️ Points d’attention critiques :
- 🚀 Tester d’abord sur un petit groupe pilote avant un déploiement massif
- 🔍 Vérifier les rapports de conformité après 24 à 48 heures
- 📞 Communiquer le changement aux utilisateurs concernés
- 🛠️ Prévoir une procédure de rollback en cas de problème inattendu
Sixième étape : review et déploiement
Avant de finaliser, vérifier tous les paramètres configurés dans l’écran de synthèse. Cliquer ensuite sur « Créer » pour enregistrer et déployer la stratégie. Intune commencera à synchroniser la règle sur tous les appareils assignés au cours des prochaines 24 heures, bien que le délai réel dépende de la fréquence de synchronisation des appareils et de leur connectivité réseau.
Avant de déployer massivement une règle de pare-feu via Intune, effectuez toujours un test sur un groupe pilote et vérifiez les rapports de conformité pour éviter des perturbations imprévues.
Vérifier l’application de la règle et tester le blocage
Après le déploiement de la stratégie Intune, vérifier que la règle de pare-feu a bien été appliquée sur les appareils cibles est une étape incontournable. Cette validation confirme que la configuration n’a pas généré d’erreurs et que la protection fonctionne effectivement. Plusieurs méthodes permettent d’effectuer cette vérification, du simple au plus technique.
Vérification via l’Observateur d’événements
L’Observateur d’événements Windows est le premier endroit où vérifier l’application de la règle. Windows Defender Firewall enregistre chaque action liée aux règles de pare-feu, y compris leur déploiement via Intune. Pour accéder à ces journaux :
Ouvrir l’Observateur d’événements (eventvwr.msc) et naviguer vers : Journaux des applications et des services > Microsoft > Windows > Windows Firewall With Advanced Security > Pare-feu. Dans cette section, chercher les événements correspondant au déploiement et à l’application de la règle. Les événements portant l’identifiant « 2004 » ou « 2006 » indiquent généralement l’ajout ou la modification d’une règle.
Les détails de l’événement affichent le nom de la règle, sa direction, son action et l’application ou le package ciblé. Cela permet de confirmer visuellement que la règle « Bloquer Quick Assist » a bien été créée avec les bons paramètres.
Vérification via PowerShell
Pour une approche plus programmatique, utiliser PowerShell pour interroger directement les règles de pare-feu. La commande suivante retourne toutes les règles actives contenant « Quick Assist » :
Get-NetFirewallRule -PolicyStore ActiveStore | Where-Object DisplayName -Like "*Quick Assist*"
Cette commande affiche les propriétés de la règle, notamment son nom, sa direction (Inbound/Outbound), son action (Allow/Block) et son statut (Enabled/Disabled). Il est important de valider que la règle est bien Enabled et que l’action est Block.
Pour obtenir plus de détails sur la règle déployée, exécuter :
Get-NetFirewallRule -PolicyStore ActiveStore -DisplayName "*Quick Assist*" | Format-List
Cette commande affiche les paramètres complets, y compris le Package Family Name associé à la règle. Cette vérification technique confirme que Intune a correctement configuré le pare-feu au niveau du système.
Test fonctionnel du blocage
La meilleure preuve du blocage est le test de lancement de l’Assistance Rapide. Lancer l’application Quick Assist sur un appareil où la règle a été déployée produit un comportement prévisible : l’application démarre mais échoue rapidement lors de la tentative de connexion aux serveurs de Microsoft.
L’utilisateur reçoit un message d’erreur, généralement du type : « L’Assistance Rapide ne peut pas se connecter au service en ce moment » ou un code d’erreur spécifique. Ce message confirme que l’application tente bien une connexion réseau, mais que cette connexion est bloquée par la règle de pare-feu.
🔐 Résultats attendus après blocage :
- ❌ Impossible de lancer une session Quick Assist
- ❌ Impossible de se connecter avec un code de groupe assisté
- ❌ Impossible d’offrir une assistance à un tiers
- ✅ L’application reste installée mais non fonctionnelle
- ✅ Aucun impact sur les autres fonctionnalités Windows
Consulter les rapports de conformité Intune
Intune fournit également des rapports détaillant le statut de conformité de chaque appareil vis-à-vis des stratégies déployées. Accéder au rapport via : Appareils > Tous les appareils, puis sélectionner un appareil spécifique pour voir son historique de conformité. Cette vue indique si la stratégie « Bloquer Quick Assist » a été appliquée avec succès et à quelle date.
Un statut de « Conforme » signifie que la règle a bien été déployée et que l’appareil respecte la configuration attendue. Un statut « Non conforme » ou « Erreur » indiquerait un problème nécessitant une investigation supplémentaire, comme un souci de synchronisation ou une incompatibilité système.
Considérations avancées et stratégies de déploiement alternatives
Si les approches précédentes via les règles de pare-feu Intune suffisent pour la majorité des organisations, certains contextes ou exigences peuvent justifier des approches complémentaires ou alternatives. Ces stratégies avancées permettent une gestion plus fine et adaptée aux risques spécifiques de chaque environnement.
Utilisation de scripts PowerShell de remédiation Intune
Intune propose également une fonctionnalité appelée « Scripts de détection et remédiation », qui permet de lancer des scripts PowerShell personnalisés sur les appareils gérés. Bien que moins élégant qu’une règle de pare-feu, cette approche offre une plus grande flexibilité pour certains scénarios. Un script peut vérifier la présence de Quick Assist et la désinstaller automatiquement ou effectuer d’autres actions correctives.
Cependant, cette méthode présente des inconvénients : une latence d’exécution (le script s’exécute périodiquement, pas en temps réel), la possibilité pour un utilisateur de réinstaller l’application ultérieurement, et une surcharge administrative accrue. Pour cette raison, la règle de pare-feu reste préférable, car elle fonctionne indépendamment de l’installation ou non de l’application.
Combinaison de plusieurs couches de sécurité
Certaines organisations adoptent une approche multi-couches, combinant la règle de pare-feu avec d’autres mesures :
- 🔒 Configuration GPO (Stratégie de Groupe) sur les appareils domaine pour restreindre l’accès au Microsoft Store
- 🛡️ Déploiement d’une solution EDR (Endpoint Detection and Response) capable de monitorer les tentatives d’utilisation de Quick Assist
- 📊 Audit et alertes pour détecter tout accès à l’application ou ses répertoires associés
- 🧠 Sensibilisation des utilisateurs aux risques de sécurité et aux pratiques recommandées
Cette approche en profondeur offre une protection robuste et réduit les risques de contournement accidentel ou intentionnel.
Gestion des appareils hors domaine et BYOD
Pour les appareils personnels (BYOD) ou les ordinateurs portables nomades non systématiquement connectés au réseau d’entreprise, Intune offre toujours une couche de protection via des profils synchronisés localement. Cependant, la synchronisation des stratégies peut être moins fréquente ou moins prévisible dans ces scénarios.
Pour améliorer la sécurité dans ces contextes, Intune permet de configurer des conditions d’accès conditionnel qui exigent que les appareils soient conformes avant d’accéder à certaines ressources (courrier, SharePoint, etc.). Un appareil non conforme (par exemple, dépourvu de la règle de pare-feu) se voit refuser l’accès, incitant l’utilisateur à mettre à jour sa machine.
Exceptions et exemptions ciblées
Il peut arriver que certains utilisateurs ou départements aient légitimement besoin de Quick Assist pour leur travail (équipe support, consultants externes, etc.). Dans ces cas, créer des groupes d’appareils ou d’utilisateurs spécifiques exempts de la règle de blocage permet une gestion granulaire. Cela s’effectue en Intune en créant deux stratégies : une appliquant le blocage aux appareils généraux, l’autre l’exemptant pour les groupes spécifiques.
Cette approche favorise la sécurité par défaut (tout est bloqué) tout en gardant la flexibilité nécessaire pour les cas d’usage spécifiques. Une documentation claire des raisons pour lesquelles certains groupes sont exemptés est essentielle pour maintenir la gouvernance de la sécurité.
| 🎯 Stratégie | ✅ Avantages | ⚠️ Limitations | 🏢 Contexte recommandé |
|---|---|---|---|
| Règle pare-feu via Intune | Immédiat, persistant, fonctionne même si app réinstallée | Nécessite Intune, peu de flexibilité d’exception | Organisations managées, sécurité stricte |
| Script PowerShell remédiation | Plus flexible, peut effectuer actions multiples | Latence, risque de contournement utilisateur | Configurations complexes, besoins spécifiques |
| GPO (Stratégie de Groupe) | Déploiement simple, fonctionne hors-ligne initialement | Limité aux appareils domaine Windows | Environnements Active Directory classiques |
| Accès conditionnel + conformité | Combine sécurité et productivité, encourage conformité | Configuration complexe, dépend d’Azure AD | Organisations hybrides ou cloud-first |
La sélection de la stratégie appropriée dépend de l’architecture informatique de l’organisation, du niveau de sécurité souhaité et de la flexibilité requise. Dans la plupart des cas, la combinaison d’une règle de pare-feu Intune avec une approche d’accès conditionnel offre le meilleur équilibre entre sécurité et praticité.
Bloquer efficacement l’Assistance Rapide via Intune représente un investissement stratégique dans la sécurité du parc informatique. En ciblant directement le Package Family Name de l’application via une règle de pare-feu sortante, les organisations empêchent tout accès à distance non contrôlé tout en conservant l’intégrité des autres fonctionnalités Windows. Cette approche démontre comment les outils de gestion centralisée comme Intune transforment la cybersécurité d’entreprise en rendant les mesures de protection granulaires, reproductibles et auditables. Les appareils conformes à cette politique jouissent d’une protection supplémentaire contre les tentatives d’intrusion opportunistes, réduisant ainsi la surface d’attaque globale de l’organisation et renforçant sa posture de défense.
