Documentation
Accéder à son PC à distance : le bureau Windows, où que vous soyez
Retrouver son poste de travail depuis la maison, dépanner le PC d’un parent, piloter une station de montage puissante depuis un portable léger : accéder à son PC à distance est un besoin quotidien — et la pire façon d’y répondre est d’ouvrir le port RDP sur Internet. VIGIL-MESH fait entrer le PC dans un réseau privé chiffré de bout en bout, où il reste invisible du reste du monde : vous ouvrez alors son bureau avec le client Bureau à distance de Windows en visant simplement son nom, ou directement dans un onglet de navigateur, sans rien installer sur le poste d’où vous intervenez. Zéro port entrant, zéro configuration de box.
Trois situations où l'on veut son PC à distance
Le besoin est toujours le même — voir l’écran d’une machine Windows et agir dessus comme si l’on y était — mais il se présente sous des visages très différents. Trois scénarios reviennent sans cesse :
Le poste du bureau, depuis la maison (et inversement)
Vos logiciels métier, vos licences, vos fichiers vivent sur le poste du bureau. Plutôt que de tout dupliquer, vous ouvrez son bureau depuis chez vous et travaillez dessus, dans son environnement exact. Le soir, le mouvement inverse : récupérer un document resté sur le PC de la maison depuis le bureau. Une fois les deux machines membres du même réseau, l’accès marche dans les deux sens.
Le PC d'un parent, pour l'assistance
« Ça ne marche plus » au téléphone se règle mal ; devant l’écran, en quelques minutes. Enrôlez une fois le PC du parent dans votre réseau privé : vous pourrez ensuite ouvrir son bureau quand il vous appelle, sans redonner d’instructions techniques à distance, et sans que sa machine soit joignable par qui que ce soit d’autre que vous.
La station puissante, depuis un portable léger
La station de montage vidéo, de CAO ou de calcul reste au bureau, avec sa carte graphique et ses disques rapides. Vous vous déplacez avec un portable léger et ouvrez son bureau à distance : l’application tourne sur la machine puissante, seul l’affichage voyage. Le portable n’a besoin ni de la puissance, ni des licences, ni des données.
Windows embarque déjà l’outil pour cela : le Bureau à distance (RDP), intégré au système, avec un rendu fidèle et réactif du poste. Tout le problème est ailleurs : comment joindre ce PC depuis l’extérieur sans le rendre joignable par tout Internet ?
Pourquoi il ne faut jamais exposer le port 3389
Petit rappel utile : une machine est comme un immeuble, son adresse IP est l’adresse de l’immeuble, et ses ports sont des portes numérotées derrière lesquelles des services écoutent. Le Bureau à distance de Windows écoute derrière la porte 3389. La méthode « historique » pour y accéder de l’extérieur consiste à créer une redirection de port sur la box : ce qui arrive sur le port 3389 de votre adresse publique est envoyé au PC. Cela revient à percer cette porte directement sur la rue.
Or Internet est une rue extrêmement fréquentée. Des robots la parcourent en permanence et frappent méthodiquement à toutes les portes de toutes les adresses. Un port RDP ouvert sur Internet est une cible d’attaque classique et massivement documentée : il est repéré par les balayages automatiques, puis soumis à des essais de mots de passe en continu et visé dès qu’une faille du service est publiée. La plupart des intrusions ne sont pas des attaques ciblées — ce sont des portes laissées sur la rue.
- La redirection de port expose — le service devient joignable par vous, mais aussi par n’importe qui. Sa sécurité repose alors entièrement sur un mot de passe et sur l’absence de faille du logiciel qui écoute.
- Elle est souvent impossible — sur une connexion 4G/5G ou sur de nombreux accès en CGNAT, le NAT appartient à l’opérateur : il n’y a tout simplement aucun port à ouvrir.
- Elle est fragile — adresse publique qui change, box remplacée, règle à refaire : l’accès casse précisément le jour où l’on en a besoin, loin de la machine.
Deux chemins vers le même bureau
Avec VIGIL-MESH, le PC rejoint un réseau privé où seules vos machines existent. Chaque membre n’établit que des connexions sortantes — un seul flux en 443 UDP, comme un navigateur web —, reçoit une adresse stable et un nom lisible (MagicDNS), et n’est joignable que par les membres que vos règles autorisent. À partir de là, deux chemins mènent au bureau du PC, selon l’appareil d’où vous partez.
| Client Bureau à distance (natif) | Bureau dans le navigateur | |
|---|---|---|
| À installer côté client | Le client VIGIL-MESH + le client RDP de votre système | Rien : un navigateur suffit |
| Comment on joint le PC | Par son nom MagicDNS, comme s'il était sur le réseau local | Depuis la console, onglet Administration du réseau |
| Idéal pour | Vos appareils habituels, enrôlés dans le réseau | Un poste de passage, un appareil non enrôlé |
| Disponibilité | Disponible avec tout client RDP standard | Terminal SSH disponible ; bureau RDP en construction sur le même socle |
Les deux chemins partagent le même fondement : le port 3389 du PC n’est jamais exposé à Internet. Il n’est joignable que par son adresse du réseau privé, sous le contrôle des politiques d’accès.
Chemin 1 : le client Bureau à distance, à travers le mesh
Le premier chemin est le plus naturel si vous utilisez déjà le Bureau à distance sur votre réseau local : rien ne change, sinon la portée. Le PC cible et votre appareil (portable, autre poste, téléphone Android) sont membres du même réseau VIGIL-MESH. Dans le client Bureau à distance, vous saisissez le nom du PC — « pc-bureau », par exemple — au lieu d’une adresse IP : MagicDNS le résout localement en son adresse stable sur le mesh, et la session RDP s’établit à travers le tunnel chiffré.
- Le même client que d’habitude — la Connexion Bureau à distance de Windows, ou toute application RDP standard capable de viser un nom d’hôte, y compris depuis Android une fois le téléphone enrôlé.
- Un nom qui ne casse jamais — l’adresse du PC sur le mesh est stable (espace 100.64.0.0/10) et son nom la suit : vos raccourcis et fichiers .rdp restent valides où que vous soyez, sur la fibre de la maison comme en partage de connexion.
- Rien à reconfigurer en déplacement — le chemin réseau change (Wi-Fi, 4G, hôtel), la session, elle, vise toujours le même nom.
Performance : pourquoi le chemin direct compte
Un bureau à distance transporte l’écran entier — un flux d’images continu, bien plus exigeant que le texte d’un terminal. La qualité perçue dépend donc directement du chemin que prennent les paquets. C’est ici que l’architecture de VIGIL-MESH pèse : la connexion s’établit immédiatement via un relais, puis migre sans coupure vers le chemin direct de pair à pair dès que la traversée NAT l’a trouvé. En direct, vos paquets vont d’une machine à l’autre sans détour par un serveur : la latence et le débit sont ceux de vos accès Internet des deux côtés, pas ceux d’un intermédiaire.
Soyons honnêtes sur la limite : le chemin direct n’est pas garanti. Quand les deux extrémités sont derrière un NAT symétrique — deux connexions 4G en CGNAT, par exemple —, le trafic reste relayé en permanence par la vigie : la session fonctionne, simplement par un chemin plus long. La vigie est structurellement aveugle (elle ne détient pas les clés), et vous pouvez héberger la vôtre pour que même le chemin relayé passe par une machine à vous.
Verrouiller l'accès : seul votre compte atteint le port RDP
Faire disparaître le PC d’Internet est la première moitié du travail. La seconde est de décider qui, à l’intérieur du réseau privé, a le droit de frapper à sa porte 3389. C’est le rôle des politiques d’accès (ACL), en refus par défaut : ce qui n’est pas explicitement autorisé est interdit. Une seule règle suffit — votre identité, vers ce PC, sur le port du Bureau à distance — et tout le reste du réseau est aveugle à ce service.
- Des règles par identité — les ACL parlent de comptes, de machines et de groupes, pas d’adresses : la politique survit aux changements d’appareils.
- Chiffrement dans le chiffrement — la session RDP voyage dans une connexion QUIC/TLS 1.3 de bout en bout, avec échange de clés hybride post-quantique X25519 + ML-KEM. Relais compris, personne au milieu ne détient les clés.
- Révocation immédiate — un portable perdu ou volé se révoque depuis la console : il sort de la carte du réseau et ses sessions tombent aussitôt.
- Les protections de Windows restent en place — gardez le mot de passe du compte solide et l’authentification au niveau du réseau (NLA) activée, comme Windows la propose par défaut. Le réseau privé s’ajoute à ces défenses, il ne les remplace pas.
Mettre en place l'accès, pas à pas
- 1Créez votre espace de travailCréez un compte et un espace de travail dans la console VIGIL-MESH. C’est gratuit pour un usage personnel.
- 2Installez le client sur les machines concernéesLe PC cible d’abord, puis les appareils depuis lesquels vous voulez y accéder : portable, autre poste, téléphone Android. Le poste de passage qui n’utilisera que le navigateur n’a rien à installer.
- 3Enrôlez chaque machineDans la console, page Réseaux → Machines → « Ajouter une machine » : l’assistant remet une clé d’enrôlement à usage unique à passer au client.
- 4Vérifiez la connectivitéChaque machine reçoit son adresse stable et son nom MagicDNS. Un ping vers le nom du PC confirme que le chemin est en place.
- 5Activez le Bureau à distance sur le PCCôté Windows (édition Pro ou Enterprise) : Paramètres → Système → Bureau à distance, puis activez l’interrupteur. Le compte utilisé doit avoir un mot de passe. Aucune option « accès depuis Internet » à configurer : le réseau privé s’en charge sans exposition.
- 6Connectez-vous par le nom du PCOuvrez la Connexion Bureau à distance sur votre appareil et saisissez le nom MagicDNS du PC — comme s’il était dans la pièce d’à côté. Ajustez ensuite les ACL pour que seul votre compte atteigne son port RDP.