Supprimer ou réinitialiser les mots de passe de fichier dans Office 2013

  • Article

 

Sapplique à : Office 2013, Office 365 ProPlus

Dernière rubrique modifiée : 2016-12-16

Résumé : explique comment utiliser l’outil DocRecrypt d’Office 2013 pour déverrouiller les fichiers Word, Excel et PowerPoint au format OOXML protégés par un mot de passe.

Public concerné : professionnels de l’informatique

Utilisez la stratégie de groupe pour propager les modifications du Registre qui associent un certificat aux documents protégés par un mot de passe. Ces informations de certificat sont incorporées dans l’en-tête du fichier. Par la suite, en cas d’oubli ou de perte du mot de passe, utilisez l’outil de ligne de commande DocRecrypt et la clé privée pour déverrouiller le fichier et éventuellement lui attribuer un nouveau mot de passe.

Êtes-vous utilisateur ?

Si vous souhaitez obtenir des informations concernant les mots de passe dans une copie personnelle d’Office 2013, reportez-vous à Ajouter ou retirer la protection de votre document, classeur ou présentation à la place.

Pour obtenir un exemple supplémentaire, reportez-vous à Supprimer un mot de passe d’un document.

Êtes-vous administrateur ?

Si vous êtes professionnel de l’informatique et que vous cherchez à supprimer ou réinitialiser des mots de passe dans des fichiers Office 2013 au sein de son organisation, par exemple si un employé a quitté l’organisation et que vous ne connaissez pas le mot de passe, vous êtes au bon endroit, continuez la lecture.
ImportantImportant :
Cet article fait partie de la Feuille de route pour l’identité, l’authentification et l’autorisation Office 2013 pour les professionnels de l’informatique. Utilisez la feuille de route comme point de départ pour les articles, les téléchargements, les affiches et les vidéos qui vous aident à évaluer l’identité Office 2013.

Contenu de cet article

  • Vue d’ensemble : suppression ou réinitialisation du mot de passe d’un fichier dans Office 2013 à l’aide de l’outil DocRecrypt

  • Configuration des ordinateurs clients pour la suppression de la protection par mot de passe

  • Configuration de l’ordinateur de l’administrateur informatique qui dispose de la clé et de l’outil DocRecrypt

  • Utilisation de l’outil Office DocRecrypt

  • Fichiers Office 2010 et 2007

Vue d’ensemble : suppression ou réinitialisation du mot de passe d’un fichier dans Office 2013 à l’aide de l’outil DocRecrypt

Il se peut que les utilisateurs veuillent ou doivent protéger un document Word, Excel ou PowerPoint par un mot de passe pour plusieurs raisons. Par exemple :

  • Plusieurs personnes dans une organisation immédiate veulent travailler sur un budget de groupe, mais ne veulent pas que d’autres personnes puissent voir ces chiffres tant qu’ils n’ont pas fini.

  • Les conseillers travaillent avec des clients qui ont besoin que, grâce à un accord de niveau de service, leurs données sensibles restent protégées lorsqu’ils en perdent le contrôle.

  • Les enseignants veulent s’assurer que les tests créés dans Word ne peuvent pas être compromis.

  • Les professionnels des médias, tout comme les scientifiques qui travaillent sur des présentations destinées à d’éminents chercheurs dans leurs domaines, veulent être sûrs que leurs découvertes ne sont pas divulguées au public avant l’annonce officielle.

Auparavant, si le créateur d’origine du mot de passe d’un fichier perdait ce mot de passe ou quittait l’organisation, le fichier devenait irrécupérable. Avec Office 2013 et une clé secrète, générée à partir du magasin de certificats de clé privée de votre société ou organisation, un administrateur informatique peut « déverrouiller » le fichier pour un utilisateur, puis laisser ce fichier sans protection par mot de passe ou lui en attribuer un nouveau. Vous êtes, en tant qu’administrateur informatique, le gardien de la clé secrète qui est générée à partir du magasin de certificats de clé privée de votre société ou organisation. Vous pouvez transmettre sans assistance les informations de clé publique à des ordinateurs clients une fois via un paramètre de clé de Registre que vous pouvez créer manuellement ou à l’aide d’un script de stratégie de groupe. Par la suite, lorsqu’un utilisateur crée un fichier Office 2013Word, Excel ou PowerPoint protégé par un mot de passe, cette clé publique est incluse dans l’en-tête du fichier. De plus, un professionnel de l’informatique peut utiliser l’outil Office DocRecrypt pour supprimer le mot de passe associé au fichier et, éventuellement, protéger celui-ci avec un nouveau mot de passe. Pour ce faire, les professionnels de l’informatique doivent disposer de tous les éléments suivants :

  • Le nouvel outil DocRecrypt Office

  • Le fichier Word, Excel ou PowerPoint qui possède une clé publique incorporée

  • Autorisation et accès aux clés publiques et privées qui sont associées au certificat

Protéger la clé privée

Cette fonctionnalité ne prescrit aucun processus d’entreprise pour la gestion et la distribution d’une clé privée, l’emplacement de stockage de cette clé, les autorisations nécessaires pour demander la suppression ou la réinitialisation du mot de passe, ou encore pour l’emplacement du fichier après sa restauration. Ces décisions doivent être prises en fonction des normes et processus de votre organisation.

Ceci étant, pour maintenir un niveau élevé de sécurité sur les fichiers protégés par un mot de passe, nous vous recommandons d’adopter les stratégies suivantes :

  • Ne transmettez jamais la clé privée à un ordinateur client. Il s’agit de notre recommandation la plus importante.

  • Verrouillez le magasin de certificats qui contient la clé privée et le certificat qui a été utilisé pour générer la clé secrète et les clés publiques.

  • Assurez-vous que personne ne puisse compromettre les services d’infrastructure de clés publiques (PKI). En outre, nous vous recommandons de distribuer les rôles de gestion des certificats parmi différentes personnes de votre organisation.

Si vous ne suivez pas ces recommandations de manière systématique, la sécurité de tous les nouveaux fichiers protégés par des mots de passe peut être compromise. Votre société ou organisation doit déjà disposer d’une stratégie d’infrastructure d’autorité de certification (AC) et de modèle d’administration de services de certificats Active Directory (AD CS) bien définie comprenant, par exemple, le stockage hors site de la clé privée et des certificats. Pour plus d’informations, reportez-vous à Implémenter l’administration basée sur les rôles.

RemarqueRemarque :
Le certificat utilisé pour DocRecrypt peut être le certificat d’un utilisateur ordinaire dont le rôle prévu est l’authentification utilisateur. L’objectif principal du certificat est de pouvoir chiffrer le document.

Où se trouve le certificat approprié ?

Étant donné qu’un grand nombre de certificats de clé privée peuvent se trouver sur un ordinateur du service informatique, il est juste de se demander comment trouver le bon certificat. Dans le gestionnaire de certificats (certmgr.msc), l’outil DocRecrypt Office 2013 recherche d’abord le magasin logique, puis le magasin de l’utilisateur actuel. Dans chacun de ces magasins, l’outil recherche d’abord les certificats ne nécessitant pas de code confidentiel d’application pour le système Windows. Il recherche ensuite ceux qui en nécessitent un.

Éléments à prendre en compte

Fichiers XML Open Office uniquement   L’outil DocRecrypt Office fonctionne uniquement sur les documents au format XML Open Office, comme les fichiers docx, pptx et xlsx.

Fichiers chiffrés précédemment   L’outil DocRecrypt Office ne peut pas être utilisé pour récupérer des fichiers qui étaient protégés par un mot de passe avant que vous ne déployiez le certificat et la clé secrète. Cependant, une fois ceux-ci déployés, si un utilisateur ouvre un fichier précédemment protégé dans Office 2013 et l’enregistre, la clé secrète est ajoutée au fichier à ce stade. Dès lors, vous pourrez supprimer ou réinitialiser le mot de passe du fichier à l’aide de l’outil DocRecrypt Office.

Autres méthodes de protection des fichiers Word, Excel et PowerPoint   Pour en savoir plus sur les autres méthodes de protection des fichiers Word, Excel et PowerPoint, reportez-vous à Ajouter ou retirer la protection de votre document, classeur ou présentation.

N’oubliez pas que les utilisateurs peuvent appliquer indépendamment une de ces méthodes de protection. Si un mot de passe est supprimé par un administrateur informatique, tous les autres paramètres de protection demeurent actifs. La suppression du mot de passe n’affecte pas les autres paramètres.

Certains facteurs peuvent affecter votre capacité à supprimer le mot de passe d’un fichier. Pour plus d’informations et de conseils, consultez le tableau suivant.

Éléments à prendre en compte lors de la suppression du mot de passe d’un fichier

Problème Conseil

Le fichier est marqué comme étant en lecture seule ou masqué.

L’outil DocRecrypt Office ne fonctionne pas sur les fichiers marqués comme étant en lecture seule ou masqués. Toutefois, vous pouvez supprimer le paramétrage, déchiffrer le fichier, puis le définir à nouveau comme étant en lecture seule ou masqué une fois votre recherche terminée.

Le fichier est stocké dans plusieurs emplacements.

L’outil DocRecrypt Office supprime uniquement la protection par mot de passe sur l’instance spécifique du fichier référencé. Toutefois, vous devez également supprimer la protection par mot de passe sur les fichiers référencés sur un système RAID ou une autre configuration de disque dur.

Le fichier se trouve dans un classeur partagé.

L’outil DocRecrypt Office ne fonctionne pas sur les fichiers co-écrits qui contiennent des fichiers incorporés.

Le fichier est signé numériquement.

La suppression de la protection par mot de passe d’un fichier signé numériquement ne compromet pas la validité de la signature numérique.

Le nom du fichier commence par un trait d’union (« - »).

Si le nom du fichier que vous recherchez à l’aide de l’outil DocRecrypt Office contient un trait d’union, mettez-le entre guillemets.

Le demandeur n’est pas autorisé à ouvrir le fichier.

L’administrateur informatique détermine si la personne qui demande le déchiffrement d’un fichier a réellement le droit de visualiser le contenu du fichier une fois le mot de passe supprimé ou réaffecté. De même, si un fichier protégé par un mot de passe est associé à une liste de contrôle d’accès, le processus de déchiffrement supprime cette association. Vous devez par la suite la rétablir.

L’emplacement de fichier ou de destination est en lecture seule.

Assurez-vous que le fichier protégé par un mot de passe et l’emplacement de destination sont accessibles en lecture et en écriture.

Le certificat a été révoqué ou est arrivé à expiration.

Votre service informatique doit s’assurer que les certificats de clé privée sont valides et à jour. De plus, n’oubliez pas que l’outil DocRecrypt Office ne vérifie pas le statut de révocation du certificat de clé privée.

Le fichier protégé par un mot de passe se trouve dans le nuage.

Pour pouvoir être déchiffré, le fichier doit être copié vers un disque dur ou un partage UNC en lecture/écriture.

Configuration des ordinateurs clients pour la suppression de la protection par mot de passe

Pour permettre à votre service informatique de supprimer le mot de passe qui protège un fichier Word, PowerPoint ou Excel, lorsque vous déployez Office 2013 au sein de votre organisation, vous devez d’abord transmettre le certificat de clé publique et effectuer des actions relatives au Registre sur les ordinateurs clients. Pour ce faire, les deux méthodes suivantes sont disponibles :

  • Via un modèle d’administration de stratégie de groupe, solution la plus adaptée en présence de plusieurs ordinateurs clients ou d’ordinateurs clients d’entreprise, ou

  • En modifiant manuellement le Registre d’un ordinateur client, solution la plus adaptée en présence d’un ordinateur unique ou d’un petit nombre d’ordinateurs clients.

RemarqueRemarque :
Vous pouvez exécuter des tâches partout dans suites Office 2013 au moyen d’une souris, de raccourcis clavier ou d’entrées tactiles. Pour plus d’informations sur l’utilisation des raccourcis clavier et des entrées tactiles avec les produits et services Office, consultez la rubrique relative aux raccourcis clavier et le Guide des fonctions tactiles dans Office.

Pour configurer plusieurs ordinateurs clients pour la protection par mot de passe à l’aide d’un objet de stratégie de groupe

  1. Téléchargez le modèle d’administration de stratégie de groupe (ADMX/ADML), qui est disponible dans les fichiers de modèle d’administration d’Office 2013 (ADMX/ADML) et l’outil de personnalisation Office

  2. Ouvrez le modèle dans l’éditeur de stratégie de groupe locale et accédez aux paramètres de la clé secrète. Ouvrez la branche Configuration utilisateur, puis sélectionnez Modèles d’administration, Microsoft Office 2013, Paramètres de sécurité et enfin Certificats de dépôt de clé.

    20 clés secrètes peuvent être configurées ; elles sont toutes nommées Clé secrète #n.

  3. Sélectionnez une clé secrète puis, dans le menu contextuel (clic droit), choisissez Modifier pour la configurer.

    La boîte de dialogue Clé secrète #n s’affiche.

  4. Pour configurer et activer cette clé, sélectionnez le bouton Activée. Pour désactiver cette clé ultérieurement, revenez à la boîte de dialogue Clé secrète #n et sélectionnez le bouton Désactivée.

  5. Dans le champ Hachage du certificat, entrez le hachage du certificat utilisé en tant qu’identificateur unique du certificat, également appelé « empreinte ». Par exemple, si l’empreinte de votre certificat est 9131517191121d94d143117fc126213c1781d21c, définissez la valeur de hachage du certificat sur ce nombre. Ce hachage peut inclure des espaces pour le rendre plus lisible.

  6. Entrez un commentaire pour fournir plus de détails sur ce certificat, si nécessaire. (Cette étape est facultative.)

  7. Cliquez sur OK.

Pour plus d’informations sur les modèles, l’Outil de personnalisation Office, la stratégie de groupe et les scripts de démarrage de stratégie de groupe, consultez les rubriques suivantes :

Pour configurer un ordinateur client unique pour la protection par mot de passe avec les nouveaux paramètres du Registre

Pour pouvoir supprimer le mot de passe d’un fichier Word, PowerPoint ou Excel, vous devez créer une clé de Registre afin d’indiquer les certificats de clé publique que vous voulez mettre à disposition pour la protection des fichiers par mot de passe.

RemarqueRemarque :
Pour obtenir des instructions spécifiques sur la création d’une clé de Registre, reportez-vous à l’aide disponible à partir du menu d’aide de l’Éditeur du Registre (regedit.exe).

  1. Dans l’Éditeur du Registre, créez une clé dans le Registre de l’ordinateur client en suivant le chemin d’accès au Registre ci-dessous :

    Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0 \common\Security\Crypto\EscrowCerts

    Créez cette clé manuellement ou via un fichier de commandes .reg. Pour créer un fichier .reg à l’aide de regedit.exe, consultez la page relative à la création d’un fichier .reg.

    Créer une clé dans le Registre de l’ordinateur client

    Élément du Registre Description

    Nom de la clé

    Il doit s’agir de EscrowCerts.

    Type de données

    clé

    Parent

    Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\ common\Security\Crypto\

  2. Dans la nouvelle clé que vous avez créée à l’étape 1, ajoutez des informations de certificat de clé publique comme indiqué dans le tableau ci-dessous. Créez une entrée par certificat de clé publique que vous voulez mettre à disposition pour la protection des fichiers par mot de passe.

    Ajouter des informations de certificat de clé publique

    Élément du Registre Description

    Nom de la clé

    Nom unique défini par l’utilisateur qui décrit le certificat de clé publique. Par exemple, EscrowCert01, EscrowCert02, etc.

    Type

    STRING

    Valeur

    Hachage qui est utilisé en tant qu’identificateur unique du certificat, également appelé « empreinte » dans la boîte de dialogue Certificat Windows. Par exemple, si votre empreinte de certificat est 9131517191121d94d143117fc126213c1781d21c, définissez la valeur sur ce nombre. Ce hachage peut inclure des espaces pour le rendre plus lisible.

  3. Lorsque les entrées de Registre sont en place, transmettez le certificat à l’ordinateur client. Le certificat de clé publique doit être stocké dans le gestionnaire de certificats Windows (certmgr.msc) dans le magasin de certificats de l’utilisateur actuel, logique ou personnel. Pour plus de détails sur la transmission des certificats de clé publique aux ordinateurs clients via la stratégie de groupe, reportez-vous à Distribuer des certificats sur les ordinateurs clients à l’aide de stratégie de groupe.

    ImportantImportant :
    L’administrateur informatique doit s’assurer que le certificat qui a été utilisé pour ce processus est valide et qu’il n’est pas arrivé à expiration.

Lorsque les utilisateurs décident de protéger par un mot de passe les fichiers qu’ils créent dans Office 2013Word, PowerPoint ou Excel, les informations de clé publique appropriées sont enregistrées dans l’en-tête de fichier. L’administrateur peut utiliser cette clé publique et la clé privée correspondante s’il lui est demandé ultérieurement de supprimer la protection par mot de passe.

Configuration de l’ordinateur de l’administrateur informatique qui dispose de la clé et de l’outil DocRecrypt

L’ordinateur de l’administrateur informatique n’a pas besoin d’avoir de clé et de sous-clé dans le Registre, ni de copie du certificat de clé publique. Toutefois, il doit disposer des éléments suivants :

  • La paire certificat/clé privée correspondante

  • L’outil DocRecrypt Office

Pour configurer l’ordinateur de l’administrateur informatique

  1. Utilisez l’Assistant Importation de certificat pour importer la clé privée correspondante vers le certificat dans le gestionnaire de certificats Windows.

  2. Téléchargez et installez l’outil DocRecrypt Office. Cet outil est disponible dans le Centre de téléchargement Microsoft.

    Lorsque vous installez l’outil DocRecrypt Office sur un ordinateur 64 bits, il est installé à l’emplacement suivant :

    • %programfiles(x86)%\Microsoft Office\DOCRECRYPT

    Lorsque vous installez l’outil DocRecrypt Office sur un ordinateur 32 bits, il est installé à l’emplacement suivant :

    • %programfiles%\Microsoft Office\DOCRECRYPT

Voilà. Tous les éléments sont en place et vous serez prêt à supprimer le mot de passe d’un fichier Word, Excel ou PowerPoint la prochaine fois qu’un utilisateur vous le demandera.

Utilisation de l’outil Office DocRecrypt

Utilisez l’outil DocRecrypt, qui est maintenant installé sur l’ordinateur de l’administrateur informatique, pour supprimer le mot de passe du fichier et en attribuer un nouveau.

Pour utiliser l’outil DocRecrypt

Suivez les instructions suivantes pour utiliser l’outil DocRecrypt à partir de la ligne de commande. Vous pouvez également exécuter des commandes DocRecrypt sans assistance à partir d’un fichier de commandes ou d’un script.

  • Accédez à la ligne de commande de l’outil DocRecrypt Office et ouvrez-la à l’aide de la syntaxe suivante :

    DocRecrypt [-p <new_password>] -i <inputfile_or_folder> [-o <outputfile_or_folder>] [-q]

    Les options de l’outil DocRecrypt sont décrites dans le tableau ci-dessous.

    Options de l’outil DocRecrypt

    Paramètre Description

    -p <new_password>

    (Facultatif) Il s’agit du nouveau mot de passe qui sera attribué au fichier d’entrée, ou au fichier de sortie si un nom de fichier de sortie est indiqué.

    -i <inputfile_or_folder>

    Il s’agit du fichier ou du dossier qui contient les fichiers verrouillés car le mot de passe est inconnu. Si vous indiquez un dossier, l’outil DocRecrypt Office ignorera tous les fichiers qui ne sont pas au format XML Open Office.

    -o <outputfile_or_folder>

    (Facultatif) Il s’agit du nom du nouveau fichier ou dossier de fichiers de sortie qui sera créé à partir des fichiers d’entrée. Une fois encore, tous les fichiers qui ne sont pas au format XML Open Office sont ignorés.

    -q

    (Facultatif) Indique que vous voulez exécuter l’outil DocRecrypt Office en mode silencieux, généralement dans un script. Le mode silencieux n’affiche pas d’interface utilisateur et échoue si un certificat exige que l’administrateur informatique entre un code confidentiel. Si votre certificat requiert un code confidentiel, n’utilisez pas le mode silencieux.

    Par exemple :

    Pour supprimer le mot de passe d’un fichier, utilisez le code suivant :

    DocRecrypt -i lockedfile

    Pour supprimer le mot de passe et attribuer 12345 comme nouveau mot de passe, utilisez le code suivant :

    DocRecrypt -p 12345 -i lockedfile

    Pour supprimer le mot de passe, créez un fichier et attribuez-lui le mot de passe 12345. Utilisez le code suivant :

    DocRecrypt -p 12345 -i lockedfile -o newfile

Une fois les fichiers protégés par mot de passe à l’aide d’Office 2013, les mots de passe ne seront pas supprimés.

Fichiers Office 2010 et 2007

Une fois que les ordinateurs clients de votre organisation ont été configurés en utilisant l’outil DocRecrypt Office (soit individuellement, soit par stratégie de groupe), les fichiers Word 2013, Excel 2013 ou PowerPoint 2013 (.docx, .xlsx et .pptx) ultérieurs et les fichiers Office Word 2007, Word 2010, Office Excel 2007, Excel 2010, Office PowerPoint 2007 ou PowerPoint 2010 existants protégés par mot de passe que les utilisateurs modifient dans Office 2013 peuvent être déverrouillés ou le mot de passe peut être réinitialisé avec l’outil DocRecrypt. Une fois qu’une clé secrète est ajoutée à un fichier protégé par mot de passe, celui-ci peut être déverrouillé ou réinitialisé même s’il a été modifié dans Office 2007 ou Office 2010.

Voir aussi

Feuille de route pour l’identité, l’authentification et l’autorisation Office 2013

Outil DocRecrypt sur le Centre de téléchargement Microsoft