Espace client
Vous voulez accéder aux fichiers de votre VPS Windows depuis votre PC comme s'il s'agissait d'un disque externe - déposer une sauvegarde, lire des logs, partager des fichiers entre collègues. La solution standard sous Windows s'appelle SMB (Server Message Block). Mais entre un VPS exposé sur Internet et votre PC à la maison, brancher SMB tel quel est une catastrophe de sécurité.
Ce guide explique comment partager un dossier depuis un VPS Windows et le monter sur Windows, macOS et Linux - avec 4 méthodes classées par sécurité : SMB via VPN (recommandé), SMB via tunnel SSH, SFTP, WebDAV. Vous repartez avec une configuration fonctionnelle, sécurisée, et adaptée à votre OS client.
Pourquoi partager un dossier depuis un VPS Windows
Quelques cas d'usage courants :
- Stocker / récupérer des sauvegardes sur le VPS comme s'il s'agissait d'un NAS distant.
- Accéder aux logs d'une application hébergée sans avoir à ouvrir une session RDP.
- Partager des fichiers entre collègues via un VPS commun.
- Centraliser des médias (photos, vidéos, documents) accessibles depuis plusieurs postes.
- Lecteur réseau pour applications métier qui pointent vers
\\serveur\dossier.
L'avantage d'un VPS sur un NAS dédié : accessible depuis n'importe où (pas seulement le réseau local), pour quelques euros par mois, et capable d'héberger d'autres services en parallèle.
⚠️ Le piège SMB sur Internet - à lire avant tout
SMB n'a jamais été conçu pour Internet. Le protocole et son port 445/TCP sont la cible n°1 des attaques massives - depuis 2017, c'est le vecteur principal des ransomwares (WannaCry, NotPetya, et leurs héritiers actuels).
Si vous ouvrez le port 445 de votre VPS directement sur Internet :
- Des milliers de scans par jour testeront des mots de passe Windows et des CVE SMB connues (EternalBlue et variantes).
- Une seule faille non patchée peut donner un accès admin complet.
- Les ransomwares actuels chiffrent tous les fichiers exposés en quelques minutes.
Règle absolue : ne jamais exposer le port 445 directement sur Internet. Toujours encapsuler SMB dans un VPN, un tunnel SSH, ou utiliser une alternative chiffrée (SFTP, WebDAV/HTTPS).
Les méthodes ci-dessous sont toutes conformes à cette règle.
Tableau décisionnel - Quelle méthode choisir
| Méthode | Sécurité | Performance | Complexité setup | Compatible | Recommandation |
|---|---|---|---|---|---|
| A. SMB + VPN WireGuard | ★★★★★ | ★★★★★ | Moyenne (30 min) | Win/Mac/Linux | ⭐ Référence |
| B. SMB + tunnel SSH | ★★★★★ | ★★★ | Élevée | Win/Mac/Linux | Si déjà SSH |
| C. SFTP | ★★★★★ | ★★★★ | Faible (10 min) | Win/Mac/Linux | ⭐ Le plus rapide |
| D. WebDAV HTTPS | ★★★★ | ★★★ | Moyenne | Win/Mac/Linux | Intégration HTTP |
| SMB direct port 445 | ☠️ | ★★★★★ | Faible | Win/Mac/Linux | Ne JAMAIS faire |
Choix rapide :
- Vous voulez un lecteur réseau intégré comme un NAS local → Méthode A (SMB + VPN)
- Vous voulez juste transférer des fichiers ponctuellement → Méthode C (SFTP)
- Vous avez déjà un accès SSH au VPS → Méthode B (tunnel SSH)
- Vous voulez un accès web depuis n'importe quel navigateur → Méthode D (WebDAV)
Méthode A - SMB via VPN WireGuard (référence)
Principe : installer WireGuard sur le VPS, le PC se connecte au VPN, le VPS devient accessible via une IP privée (ex. 10.0.0.1). On accède ensuite au partage SMB comme sur un LAN - mais invisible depuis Internet.
A.1 - Installer WireGuard sur le VPS
Téléchargez WireGuard depuis wireguard.com/install et installez-le sur le VPS.
Génération des clés serveur :
cd "C:\Program Files\WireGuard"
.\wg.exe genkey | Out-File -Encoding ascii server_private.key
Get-Content server_private.key | .\wg.exe pubkey | Out-File -Encoding ascii server_public.key
Créez C:\Program Files\WireGuard\Data\Configurations\wg0.conf :
[Interface]
PrivateKey = <contenu de server_private.key>
ListenPort = 51820
Address = 10.0.0.1/24
[Peer]
PublicKey = <clé publique du PC client>
AllowedIPs = 10.0.0.2/32
Démarrez le tunnel via le client WireGuard graphique.
A.2 - Ouvrir le port WireGuard dans le firewall
New-NetFirewallRule -DisplayName "WireGuard UDP 51820" `
-Direction Inbound -Protocol UDP -LocalPort 51820 -Action Allow
A.3 - Restreindre SMB au seul réseau VPN
Bloquez le port 445 sur toutes les interfaces sauf le VPN :
# Désactiver SMB sur les interfaces Internet
Set-NetFirewallProfile -Profile Public,Private -Enabled True
# Autoriser SMB uniquement depuis le sous-réseau VPN
New-NetFirewallRule -DisplayName "SMB via VPN only" `
-Direction Inbound -Protocol TCP -LocalPort 445 `
-RemoteAddress 10.0.0.0/24 -Action Allow
# Bloquer SMB depuis toute autre source
New-NetFirewallRule -DisplayName "Block SMB from Internet" `
-Direction Inbound -Protocol TCP -LocalPort 445 `
-RemoteAddress Any -Action Block -Priority 1
A.4 - Installer WireGuard sur le PC client
Téléchargez le client WireGuard pour Windows/macOS/Linux. Créez un tunnel :
[Interface]
PrivateKey = <clé privée du client>
Address = 10.0.0.2/24
[Peer]
PublicKey = <clé publique du serveur>
Endpoint = <ip-publique-vps>:51820
AllowedIPs = 10.0.0.0/24 # ne route QUE le VPN, pas tout votre trafic
PersistentKeepalive = 25
Activez le tunnel. Vérifiez :
ping 10.0.0.1
A.5 - Accéder au partage
Ouvrez l'Explorateur Windows → tapez dans la barre d'adresse :
\\10.0.0.1\Partage
Vous voyez le contenu du dossier partagé. Saisissez vos identifiants Windows du VPS.
Avantage majeur : le port 445 du VPS reste fermé sur Internet - invisible aux scans, immunisé contre les ransomwares SMB.
Méthode B - SMB via tunnel SSH
Si vous avez déjà OpenSSH installé sur le VPS (depuis Windows Server 2019, installable en feature optionnelle), vous pouvez tunneler SMB sur SSH sans VPN.
B.1 - Installer OpenSSH Server (si pas déjà fait)
Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0
Start-Service sshd
Set-Service -Name sshd -StartupType Automatic
New-NetFirewallRule -Name sshd -DisplayName "OpenSSH Server" `
-Enabled True -Direction Inbound -Protocol TCP -Action Allow -LocalPort 22
B.2 - Établir le tunnel depuis le PC client
Sur votre PC (Windows 10/11, macOS, Linux) :
ssh -L 4450:127.0.0.1:445 admin@<ip-vps>
Cette commande redirige le port local 4450 vers le port 445 du VPS via SSH chiffré.
B.3 - Monter le partage en local
Sur Windows :
net use Z: \\127.0.0.1\Partage\port=4450
⚠️ Limitation Windows : le client SMB Windows n'accepte pas facilement un port non standard avec
net use. Solution : utiliser des loopback addresses ou un outil comme Tableau Network Drive (commercial). Plus simple : utilisez la méthode A (VPN).
B.4 - Sur Linux/macOS
sudo mount -t cifs //127.0.0.1/Partage /mnt/vps -o port=4450,username=admin
Cette méthode est élégante mais plus complexe sur Windows. Pour un usage régulier, préférez la méthode A.
Méthode C - SFTP (le plus simple sécurisé)
SFTP est le protocole de transfert de fichiers natif d'OpenSSH. Aucune installation lourde, chiffrement complet, fonctionne avec n'importe quel client (WinSCP, FileZilla, Cyberduck, Finder, Files Nautilus).
C.1 - Activer OpenSSH avec SFTP sur le VPS
Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0
Start-Service sshd
Set-Service -Name sshd -StartupType Automatic
New-NetFirewallRule -Name sshd -DisplayName "OpenSSH Server" `
-Enabled True -Direction Inbound -Protocol TCP -Action Allow -LocalPort 22
SFTP est activé par défaut une fois OpenSSH installé. Aucune configuration supplémentaire.
C.2 - Restreindre l'accès SSH par IP (recommandé)
Set-NetFirewallRule -DisplayName "OpenSSH Server" -RemoteAddress "<vos-ip-autorisees>"
Ou changez le port SSH par défaut pour réduire le bruit des scans.
C.3 - Côté client : configurer un client SFTP
- Windows : installez WinSCP (
winscp.net) - gratuit, interface drag-and-drop. - macOS : Finder →
Cmd+K→sftp://<ip-vps>- intègre le VPS comme un volume monté. - Linux : Files / Nautilus → Autres emplacements → Se connecter à un serveur →
sftp://<ip-vps>. - Tout OS : FileZilla (
filezilla-project.org) - gratuit, multi-plateforme.
C.4 - Mapper SFTP comme lecteur réseau Windows
Pour avoir SFTP comme un disque Z: dans l'Explorateur Windows :
- Installez SFTP Net Drive (gratuit) ou
rclone mount(open source). - Configurez la connexion vers
sftp://<ip-vps>. - Choisissez la lettre de lecteur (
Z:).
Le dossier du VPS apparaît comme un disque local, accessible depuis toutes vos applications.
Avantages SFTP
- ✓ Chiffrement de bout en bout (SSH).
- ✓ Authentification par clé SSH (impossible à brute-forcer).
- ✓ Multi-plateforme natif.
- ✓ Aucun port SMB exposé.
- ✓ Mêmes ports que SSH = un seul port à ouvrir.
Méthode D - WebDAV via HTTPS
WebDAV étend HTTP pour permettre la lecture/écriture de fichiers. Avantage : utilise le port 443 HTTPS, donc passe partout (entreprises, hôtels, hotspots qui bloquent SSH/VPN).
D.1 - Installer le rôle WebDAV sur IIS
Install-WindowsFeature -Name Web-Server, Web-WebDAV-Publishing, Web-Basic-Auth `
-IncludeManagementTools
D.2 - Configurer le site IIS
Via IIS Manager :
- Sélectionnez le site → Authentification → activez Basic Authentication.
- Allez dans WebDAV Authoring Rules → activez WebDAV.
- Ajoutez une règle : utilisateurs autorisés, permissions Read/Write.
D.3 - Forcer HTTPS
Installez un certificat (Let's Encrypt via win-acme par exemple) et configurez le site sur le port 443 uniquement.
D.4 - Côté client
- Windows : Explorateur → clic droit Ce PC → Connecter un lecteur réseau →
https://votre-domaine.com. - macOS : Finder →
Cmd+K→https://votre-domaine.com. - Linux : paquet
davfs2, puismount -t davfs https://votre-domaine.com /mnt/dav.
Limites WebDAV
- Performances inférieures à SMB/SFTP.
- Locking moins fiable (ne pas l'utiliser pour bases de données ou fichiers concurrents).
- Configuration IIS plus longue.
Côté VPS - Créer le partage SMB en détail
Quelle que soit la méthode A ou B choisie, vous devez créer un partage SMB sur le VPS. Voici les deux façons : GUI et PowerShell.
Méthode GUI (graphique)
- Créer le dossier à partager dans l'Explorateur :
C:\Partage. - Clic droit sur le dossier → Propriétés → onglet Partage → Partage avancé.
- Cocher Partager ce dossier.
- Cliquer sur Autorisations → ajouter votre utilisateur Windows → cocher Lecture/Écriture (Modifier + Contrôle total selon besoin).
- Cliquer sur Mise en cache → décocher la mise en cache hors connexion si vous voulez une réactivité temps réel.
Méthode PowerShell (rapide)
# Créer le dossier
New-Item -Path "C:\Partage" -ItemType Directory -Force
# Créer le partage SMB
New-SmbShare -Name "Partage" `
-Path "C:\Partage" `
-FullAccess "DOMAINE\VotreCompte" `
-Description "Partage utilisateur OuiHeberg"
# Vérifier
Get-SmbShare -Name "Partage" | Format-List
Variantes utiles
# Partage caché (le nom n'apparaît pas dans le voisinage réseau)
New-SmbShare -Name "Partage$" -Path "C:\Partage" -FullAccess "VotreCompte"
# Partage en lecture seule
New-SmbShare -Name "PartageRO" -Path "C:\Partage" -ReadAccess "Tout le monde"
# Activer le chiffrement SMB sur le partage (Windows Server 2019+)
Set-SmbShare -Name "Partage" -EncryptData $true -Force
Activer le chiffrement SMB global (recommandé)
Set-SmbServerConfiguration -EncryptData $true -Force
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force
Set-SmbServerConfiguration -EnableSMB2Protocol $true -Force
- SMB1 désactivé = protection contre EternalBlue.
- EncryptData = même via VPN, le contenu reste chiffré bout-en-bout.
Côté client - Monter le partage
Sur Windows 10 / 11
Méthode 1 - Explorateur :
- Ouvrir l'Explorateur de fichiers.
- Clic droit sur Ce PC → Connecter un lecteur réseau.
- Lettre de lecteur :
Z:. - Dossier :
\\10.0.0.1\Partage(IP du VPS via VPN). - Cocher Se reconnecter à l'ouverture de session et Se connecter à l'aide d'autres informations d'identification.
- Saisir le compte Windows du VPS.
Méthode 2 - PowerShell :
# Mappage temporaire
New-PSDrive -Name "Z" -PSProvider FileSystem -Root "\\10.0.0.1\Partage" -Credential (Get-Credential)
# Mappage persistant après redémarrage
New-PSDrive -Name "Z" -PSProvider FileSystem -Root "\\10.0.0.1\Partage" `
-Credential (Get-Credential) -Persist
Méthode 3 - net use :
net use Z: \\10.0.0.1\Partage /user:VotreCompte VotreMotDePasse /persistent:yes
Sur macOS
- Finder → Aller → Se connecter au serveur (ou
Cmd + K). - Saisir :
smb://10.0.0.1/Partage. - Cliquer Se connecter, saisir les identifiants.
- Le partage apparaît dans la sidebar du Finder.
Pour montage automatique au démarrage :
- Réglages Système → Utilisateurs et groupes → onglet Ouverture de session.
- Ajouter le volume monté.
Sur Linux (Ubuntu / Debian)
Installer cifs-utils :
sudo apt update
sudo apt install cifs-utils
Créer le point de montage :
sudo mkdir /mnt/vps-partage
Monter manuellement :
sudo mount -t cifs //10.0.0.1/Partage /mnt/vps-partage \
-o username=VotreCompte,password=VotreMotDePasse,uid=$(id -u),gid=$(id -g)
Pour un montage automatique au boot, créer un fichier d'identifiants :
sudo bash -c 'cat > /root/.smbcredentials << EOF
username=VotreCompte
password=VotreMotDePasse
EOF'
sudo chmod 600 /root/.smbcredentials
Puis ajouter à /etc/fstab :
//10.0.0.1/Partage /mnt/vps-partage cifs credentials=/root/.smbcredentials,uid=1000,gid=1000,iocharset=utf8,_netdev 0 0
Tester sans rebooter : sudo mount -a.
Permissions NTFS + permissions de partage : la règle qui prête à confusion
Deux couches de permissions s'appliquent à un partage SMB :
- Permissions de partage (SMB Share) - s'appliquent uniquement aux accès réseau.
- Permissions NTFS - s'appliquent toujours (local + réseau).
Règle de calcul : la permission effective est la plus restrictive des deux.
| Permissions de partage | Permissions NTFS | Résultat effectif |
|---|---|---|
| Lecture | Lecture/Écriture | Lecture |
| Lecture/Écriture | Lecture | Lecture |
| Contrôle total | Modification | Modification |
| Contrôle total | Contrôle total | Contrôle total |
Bonne pratique recommandée :
- Permissions de partage : Contrôle total pour Utilisateurs authentifiés.
- Permissions NTFS : granulaires (par compte ou par groupe), c'est là que vous gérez vraiment la sécurité.
# Permissions NTFS via PowerShell
$acl = Get-Acl "C:\Partage"
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule(
"VotreCompte", "Modify", "ContainerInherit,ObjectInherit", "None", "Allow"
)
$acl.SetAccessRule($rule)
Set-Acl "C:\Partage" $acl
Dépannage
« Accès refusé » malgré les bonnes permissions
Cause : conflit entre permissions de partage et NTFS, ou cache d'identifiants Windows.
Solution :
net use * /delete /y # purger tous les mappings en cache
cmdkey /list # voir les identifiants stockés
cmdkey /delete:<nom> # supprimer un identifiant obsolète
« Le chemin réseau n'a pas été trouvé »
Cause : pas de connectivité au VPS, ou nom non résolu.
Solution : pingez l'IP du VPS via VPN. Si le ping fonctionne mais pas SMB, vérifiez :
- Port 445 ouvert dans le firewall du VPS pour la plage VPN.
- Service LanmanServer démarré :
Get-Service LanmanServer.
Lenteur extrême en lecture/écriture
Causes possibles :
- MTU mismatch sur le VPN - ajoutez
MTU = 1280dans la config WireGuard. - Antivirus sur le client qui scanne tout le trafic SMB.
- SMB1 activé (toujours à désactiver) :
Set-SmbServerConfiguration -EnableSMB1Protocol $false. - Encryption activée sans accélération matérielle sur un vieux VPS : utiliser le tunnel VPN qui chiffre déjà, et désactiver
EncryptData.
Le partage disparaît après redémarrage du VPS
Get-SmbShare -Name "Partage"
# Si non présent, le partage n'a pas été créé en mode persistant
Re-créer avec New-SmbShare (les partages créés par PowerShell sont persistants par défaut, sauf si vous avez utilisé un script qui les recrée à chaque boot - vérifiez le Task Scheduler).
Erreur « STATUS_USER_SESSION_DELETED » (0xC0000203)
Cause : la session SMB a été perdue (déconnexion VPN, timeout réseau).
Solution :
# Côté client, augmenter le timeout SMB
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" `
-Name "SessTimeout" -Value 600
« L'utilisateur est verrouillé »
Cause : politique de verrouillage déclenchée par trop de tentatives échouées (voir notre guide brute-force RDP).
Solution : déverrouiller via net user VotreCompte /active:yes ou attendre la fin du verrouillage (30 min par défaut).
FAQ - Partager et monter un dossier VPS Windows
Puis-je partager un dossier de mon VPS Windows directement sur Internet ? Techniquement oui, mais c'est extrêmement dangereux. Le port SMB 445 est la principale cible des ransomwares depuis 2017 (WannaCry, NotPetya). Ne le faites jamais : encapsulez toujours SMB dans un VPN (méthode A) ou utilisez SFTP (méthode C).
Quelle est la commande pour créer un partage SMB en PowerShell ? New-SmbShare -Name "Partage" -Path "C:\Partage" -FullAccess "VotreCompte". Le partage est immédiatement disponible et persistant entre redémarrages.
Comment monter un dossier VPS sur Mac ? Dans le Finder, faites Cmd + K puis tapez smb://<ip-vps>/Partage (via VPN) ou sftp://<ip-vps> pour SFTP. Saisissez vos identifiants. Le dossier apparaît dans la sidebar comme un volume monté.
SMB ou SFTP : lequel choisir pour un VPS ? SFTP si vous voulez juste transférer ou consulter des fichiers ponctuellement - plus simple, plus sécurisé par défaut. SMB via VPN si vous voulez un lecteur réseau permanent monté comme un disque local pour des applications qui pointent vers un chemin UNC.
Pourquoi mon VPS est-il lent en SMB via VPN ? Les causes principales : (1) MTU mal configurée sur le VPN - fixez MTU = 1280 dans WireGuard ; (2) chiffrement SMB cumulé au chiffrement VPN - désactivez EncryptData du partage si le VPN chiffre déjà ; (3) antivirus client qui scanne tout le trafic. Sur une bonne connexion, vous devriez obtenir 80 à 100 Mbits/s en SMB via WireGuard.
Faut-il désactiver SMB1 sur un VPS ? Oui, absolument. SMB1 est exploité par EternalBlue (la faille à l'origine de WannaCry). Commande : Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force. Aucun client moderne n'a besoin de SMB1.
Mon partage Windows est-il accessible depuis Linux ? Oui, via cifs-utils (paquet cifs-utils sur Debian/Ubuntu, samba-client sur Fedora). Commande : sudo mount -t cifs //ip/partage /mnt/point -o username=X,password=Y. Pour un montage automatique au boot, configurez /etc/fstab avec l'option _netdev.
Quelle est la différence entre permissions NTFS et permissions de partage ? Permissions de partage = accès via le réseau uniquement. Permissions NTFS = accès en toutes circonstances (local + réseau). La permission effective est la plus restrictive des deux. Bonne pratique : mettre permissions de partage en « Contrôle total » et gérer la sécurité réelle via les permissions NTFS.
Peut-on utiliser WebDAV au lieu de SMB ? Oui, et c'est utile si vous êtes sur un réseau qui bloque les ports SSH/VPN (hôtels, entreprises). WebDAV passe par HTTPS (port 443) donc passe partout. En revanche, performances inférieures à SMB/SFTP et locking moins fiable - à éviter pour des bases de données ou fichiers concurrents.
Comment partager un dossier VPS à plusieurs utilisateurs en lecture seule ? New-SmbShare -Name "PartageRO" -Path "C:\Partage" -ReadAccess "Utilisateurs". Puis configurez les permissions NTFS du dossier pour limiter qui voit quoi à l'intérieur. C'est la couche NTFS qui fait la sécurité fine, pas le partage SMB.
Conclusion
Partager un dossier depuis un VPS Windows vers un PC se résume à choisir entre SMB encapsulé (via VPN ou SSH) pour un lecteur réseau permanent, ou SFTP pour des transferts ponctuels chiffrés. La règle absolue à respecter : ne jamais exposer le port 445 directement sur Internet - c'est la principale cause de ransomware sur les VPS Windows depuis 2017.
Avec une configuration WireGuard + SMB chiffré, vous obtenez un NAS distant accessible depuis Windows, macOS et Linux, avec des performances natives (80-100 Mbits/s typiques) et une sécurité équivalente à un partage LAN.
Vous cherchez un VPS Windows adapté pour héberger un partage de fichiers distant ? Les VPS Windows OuiHeberg incluent SSD NVMe pour des performances optimales en SMB, accès RDP immédiat, et VPN WireGuard préinstallable en option, support 7j/7 basé en France.