Désactiver l’alerte Windows lors des hyperliens Office vers des applications externes (Trusted Protocols, Registre)

Vous ouvrez des liens de confiance vers une application externe (ex. otzarbook:) depuis Word, Excel ou Outlook et Windows affiche « Les fichiers provenant d’Internet peuvent être dangereux » ? Voici la méthode la plus sûre pour supprimer l’alerte sans sacrifier la sécurité.

Problématique

À chaque clic sur un lien pointant vers une application externe via un protocole personnalisé (ex. OtzarBook:), Windows ou Microsoft Office interrompt l’utilisateur par un avertissement de sécurité. L’objectif est de supprimer l’alerte pour des liens réputés fiables tout en préservant les protections pour tout le reste.

Pourquoi cette alerte apparaît ?

Plusieurs couches de sécurité peuvent déclencher ce message :

• Vérification des liens dans Office : Office protège contre les ouvertures de destinations potentiellement dangereuses, notamment lorsqu’il s’agit de protocoles personnalisés.
• Windows Attachment Manager / Mark-of-the-Web (MOTW) : les fichiers ou documents marqués comme « provenant d’Internet » déclenchent des avertissements.
• SmartScreen / Antivirus / EDR : d’autres solutions de sécurité peuvent ajouter leur propre avertissement ou blocage.

La bonne approche consiste à n’autoriser que le protocole nécessaire (ex. otzarbook:) via la liste blanche d’Office nommée Trusted Protocols, au lieu d’assouplir l’ensemble du système.

Solutions proposées dans la session

Approche	Étapes principales	Portée	Avantages / Limites
1. Options Internet (Windows)	Win + R → inetcpl.cpl → Sécurité → Personnaliser le niveau → Lancer des applications et fichiers non sûrs → Activer (non sécurisé).	Système entier	Simple, mais réduit fortement la sécurité globale. À éviter en production.
2. Centre de gestion de la confidentialité (Office)	Office → Fichier ▸ Options ▸ Centre de gestion → Paramètres → Options de confidentialité → désactiver la vérification des documents provenant de sites Web suspects.	Suite Office seulement	Moins risqué que (1), mais l’avertissement persiste hors Office et certaines protections restent neutralisées.
3. Registre Windows a) Désactivation globale	HKCU\Software\Policies\Microsoft\Office\xx.0\Common\Security DWORD "DisableHyperlinkWarning" = 1	Office entier	Élimine l’alerte, mais de manière générale pour tous les liens. Sécurité amoindrie.
3. Registre Windows b) Ajout d’un protocole de confiance	HKCU\Software\Policies\Microsoft\Office\xx.0\Common\Security\Trusted Protocols\All Applications Créer une valeur chaîne nommée otzarbook: (ou autre protocole).	a) Office entier b) Lien/protocole ciblé uniquement	Méthode la plus fine : seul le protocole désigné est exempté de l’alerte ; la protection reste active ailleurs. C’est celle qui a résolu le cas discuté.

Version d’Office : remplacez xx.0 par 16.0 (Office 2016/2019/2021/365), 15.0 (2013), etc.

Recommandation : utiliser Trusted Protocols (méthode 3b)

Cette méthode autorise uniquement le protocole nécessaire (ex. otzarbook:) et laisse toutes les autres protections intactes.

Pré-requis

• Un compte disposant de droits d’écriture dans la ruche HKCU (utilisateur courant). Pour un déploiement poste par poste, on peut aussi utiliser HKLM.
• Déterminer la version d’Office (xx.0).
• Effectuer une sauvegarde du Registre ou créer un point de restauration système.
• Fermer Word/Excel/Outlook avant la modification, puis redémarrer les applications (un redémarrage Windows peut être nécessaire).

Cartographie des versions Office

Version	Nom commercial	Clé Registre
Office 365 / 2016 / 2019 / 2021	Canal Microsoft 365 & perpétuel récents	16.0
Office 2013	Perpétuel	15.0
Office 2010	Perpétuel	14.0
Office 2007	Perpétuel	12.0

Étapes (édition manuelle du Registre)

1. Ouvrir l’Éditeur du Registre : Win + R → regedit.exe.
2. Aller à :
   HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Common\Security
   (adapter 16.0 selon la version).
3. Créer, si nécessaire, la chaîne de sous-clés : Trusted Protocols\All Applications (clic droit → Nouveau → Clé).
4. Dans All Applications, créer une valeur chaîne (REG_SZ) nommée exactement :
   otzarbook: (notez le deux-points).
5. Ne renseignez pas de donnée pour cette valeur (laisser vide). La présence de la valeur suffit à autoriser le protocole.
6. Fermer Regedit et redémarrer Word/Excel/Outlook. Tester un lien otzarbook: : l’alerte ne doit plus s’afficher.

Variante par application Office (si vous ne souhaitez autoriser le protocole que depuis Word, ou seulement depuis Outlook) :

• Word : HKCU\Software\Policies\Microsoft\Office\16.0\Word\Security\Trusted Protocols\All Applications
• Excel : HKCU\Software\Policies\Microsoft\Office\16.0\Excel\Security\Trusted Protocols\All Applications
• Outlook : HKCU\Software\Policies\Microsoft\Office\16.0\Outlook\Security\Trusted Protocols\All Applications

Créez dans le bon emplacement une valeur chaîne otzarbook: (ou tout autre protocole ciblé).

Cas sans stratégie (poste non géré) : si la branche Policies n’existe pas ou n’est pas utilisée, créez la même structure sous :

• HKCU\Software\Microsoft\Office\16.0\Common\Security\Trusted Protocols\All Applications
• ou par application : HKCU\Software\Microsoft\Office\16.0\[Word|Excel|Outlook]\Security\Trusted Protocols\All Applications

Automatiser (poste local) avec PowerShell

# À exécuter dans une console PowerShell en tant qu'utilisateur
$ver = "16.0"              # Adapter si besoin (15.0 pour Office 2013, etc.)
$proto = "otzarbook:"      # Nom exact du protocole, avec le deux-points

# Chemin "Policies" (privilégié en environnement géré)

$base = "HKCU:\Software\Policies\Microsoft\Office$ver\Common\Security\Trusted Protocols\All Applications"
New-Item -Path $base -Force | Out-Null
New-ItemProperty -Path $base -Name $proto -PropertyType String -Value "" -Force | Out-Null

Write-Host "Protocole autorisé : $proto sous $base" 

Fichier .reg prêt à l’emploi

Créez un fichier Autoriser-OtzarBook.reg et importez-le (double-clic) :

Windows Registry Editor Version 5.00

; <-- Adapter la version si nécessaire (16.0 par défaut)
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Common\Security\Trusted Protocols\All Applications]
"otzarbook:"=""

; Variante hors Policies (poste non géré) :
[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Security\Trusted Protocols\All Applications]
"otzarbook:"="" 

Déploiement en entreprise (GPO)

1. Ouvrir Gestion de stratégie de groupe (GPMC).
2. Créer/éditer un GPO appliqué aux utilisateurs ciblés.
3. Utiliser au choix :
   • Préférences Registre (Configuration utilisateur → Préférences → Paramètres Windows → Registre) pour pousser la valeur chaîne otzarbook: aux chemins indiqués, avec « Créer » et « Mettre à jour ».
   • Ou les Modèles d’administration Office si disponibles dans votre référentiel pour gérer les protocoles approuvés.
4. Forcer l’actualisation : gpupdate /target:user /force.
5. Vérifier côté poste (voir section « Validation »).

Méthodes alternatives (et pourquoi les éviter)

Options Internet (Windows)

Dans Options Internet, activer « Lancer des applications et fichiers non sûrs » supprime bien des avertissements, mais cela affaiblit la sécurité de l’ensemble du poste. Cette option affecte tous les processus se fiant aux zones de sécurité Internet Explorer/Legacy, bien au-delà d’Office. À réserver à des environnements de test fermés.

Centre de gestion de la confidentialité (Office)

La désactivation de certaines vérifications (documents provenant de sites Web suspects, etc.) peut atténuer l’alerte dans Office, mais ne couvre pas les autres applications et incite à baisser le niveau de protection global. La granularité par Trusted Protocols reste supérieure.

Registre : désactivation globale

La valeur DisableHyperlinkWarning=1 désactive l’avertissement pour tous les liens dans Office. Bien que radicale, elle n’est pas recommandée en production car elle masque des avertissements utiles. Préférez la liste blanche ciblée par protocole.

Validation et tests

1. Créer un lien dans un document Word ou un message Outlook : otzarbook:catalogue/ID123.
2. Cliquer depuis Word/Excel/Outlook. Aucune alerte ne devrait apparaître pour ce protocole, l’application externe doit s’ouvrir.
3. Contrôle Registry : exécuter reg query pour vérifier la présence de la valeur :
   reg query "HKCU\Software\Policies\Microsoft\Office\16.0\Common\Security\Trusted Protocols\All Applications" /v otzarbook:
4. Si l’alerte persiste, consulter la section « Dépannage ».

Dépannage (checklist)

• Nom exact du protocole : la valeur chaîne doit inclure le deux-points (ex. otzarbook: et non otzarbook).
• Chemin correct et version Office : assurez-vous d’utiliser 16.0 (ou la version adaptée) et la bonne branche (Policies ou non).
• Application et protocole enregistrés dans Windows : la destination doit être un Custom URL Protocol valide (clé sous HKCR\otzarbook contenant la valeur "URL Protocol"). S’il n’existe pas, Windows ne saura pas quoi lancer.
• Autres garde-fous actifs : SmartScreen, antivirus, EDR ou contrôle d’ouverture de liens dans Outlook peuvent générer une alerte distincte. Ajoutez, si nécessaire, une exception similaire dans ces outils.
• Mark-of-the-Web (MOTW) : si le fichier Office est marqué comme téléchargé d’Internet (flux Zone.Identifier), certaines protections se déclenchent malgré Trusted Protocols. Débloquez le fichier (Propriétés → Débloquer) ou recopiez-le depuis un emplacement de confiance.
• Redémarrage : fermez et rouvrez les applications Office, voire redémarrez Windows.
• Conflit 32/64 bits : le chemin Registre HKCU reste identique quelle que soit l’édition d’Office. Sous HKLM, vérifiez l’emplacement si vous ciblez une installation 32 bits sur OS 64 bits.

Bonnes pratiques et sécurité

1. Privilégiez la méthode 3b (Trusted Protocols) pour un compromis optimal sécurité/confort.
2. Sauvegardez le Registre avant toute modification.
3. GPO en entreprise : déployez la clé à grande échelle et préparez la réversibilité (modèle ou script de suppression).
4. Journalisez : documentez le protocole autorisé, le périmètre, la date de mise en œuvre, et le ticket associé.
5. Least privilege : n’autorisez que les protocoles nécessaires (otzarbook:, ms-teams:, etc.).
6. Surveillance : vérifiez régulièrement que les protocoles autorisés sont toujours pertinents et révoquez ceux devenus obsolètes.

Exemples concrets

Autoriser deux protocoles (otzarbook, contosoapp)

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Common\Security\Trusted Protocols\All Applications]
"otzarbook:"=""
"contosoapp:"="" 

Autoriser uniquement depuis Word

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Word\Security\Trusted Protocols\All Applications]
"otzarbook:"="" 

Script PowerShell (création idempotente + vérification)

$ver = "16.0"
$protoList = @("otzarbook:", "contosoapp:")

$targets = @(
"HKCU:\Software\Policies\Microsoft\Office$ver\Common\Security\Trusted Protocols\All Applications"
)

foreach ($t in $targets) {
New-Item -Path $t -Force | Out-Null
foreach ($p in $protoList) {
New-ItemProperty -Path $t -Name $p -PropertyType String -Value "" -Force | Out-Null
}
Write-Host "OK : $t"
}

# Vérification simple

foreach ($p in $protoList) {
reg query "HKCU\Software\Policies\Microsoft\Office$ver\Common\Security\Trusted Protocols\All Applications" /v $p
} 

FAQ

Q : Cela diminue-t-il la sécurité ?
R : Non, si vous n’ajoutez que des protocoles nécessaires et fiables. Les autres liens restent protégés. Évitez les désactivations globales.

Q : Puis-je écrire sous HKLM pour tous les utilisateurs ?
R : Oui, mais privilégiez HKCU pour cibler précisément les profils. En déploiement GPO, vous pouvez combiner HKCU (par utilisateur) et HKLM (par machine) selon vos besoins.

Q : Comment revenir en arrière ?
R : Supprimez la valeur chaîne du protocole autorisé dans Trusted Protocols (ou déployez un .reg de nettoyage), puis redémarrez les apps Office.

Q : Et si le lien est dans un document téléchargé ?
R : Le MOTW peut déclencher d’autres garde-fous. Débloquez le fichier (Propriétés → Débloquer) ou placez-le sur un partage/chemin de confiance.

Résumé opérationnel

• Objectif : supprimer l’alerte pour des liens fiables vers une application externe.
• Méthode recommandée : ajouter le protocole à la liste blanche Office : ...Common\Security\Trusted Protocols\All Applications → valeur chaîne otzarbook:.
• Bonnes pratiques : sauvegarde, GPO, validation, journalisation, réversibilité.
• Dépannage : vérifier le nom exact du protocole, la version d’Office, le MOTW, et les autres couches de sécurité.

Recommandations pratiques (rappel)

1. Privilégier la méthode 3 b) – ajout du protocole à Trusted Protocols – pour conserver un niveau de sécurité élevé tout en supprimant le message gênant.
2. Toujours exporter/sauvegarder le registre ou créer un point de restauration avant modification.
3. Fermer puis rouvrir toutes les applications Office (voire redémarrer Windows) pour que les changements prennent effet.
4. En environnement d’entreprise, déployer les clés via une GPO afin d’assurer la cohérence et la réversibilité.
5. Vérifier que SmartScreen, l’antivirus ou une solution EDR n’affichent pas d’alertes similaires ; si besoin, y ajouter la même exception.

Conclusion

Pour éliminer l’alerte « Les fichiers provenant d’Internet peuvent être dangereux » sans compromettre la sécurité, ajoutez le protocole concerné (otzarbook: ou équivalent) dans Trusted Protocols du Registre Office. Cette configuration ciblée, éprouvée en pratique, est l’option la plus équilibrée entre confort d’utilisation et protection. Elle ne désactive ni SmartScreen, ni l’antivirus, ni les autres garde-fous : elle autorise simplement ce qui est explicite et voulu.