Windows 11 place la sécurité sur le devant de la scène. Le nouveau système d’exploitation de Microsoft, lancé en octobre 2021, se dote en effet d’une panoplie complète de fonctionnalités de sécurité. Mais Windows 11 est-il aussi sûr et sécurisé que Microsoft le prétend ? La réponse dans notre dossier.
Windows 11, le dernier système d’exploitation (OS) de Microsoft est disponible depuis 2021. Cette nouvelle version de Windows propose un ensemble de fonctionnalités de productivité et de sécurité qui seront utiles aux particuliers et aux professionnels. Ces fonctionnalités pourront aider à faire face aux nouveaux enjeux de la cybersécurité et du travail à distance.
Voici une revue des principales fonctionnalités de sécurité intégrées à Windows 11.
Windows 11 : les fonctionnalités de sécurité activées par défaut
Dans Windows 10, il fallait activer manuellement les fonctionnalités de sécurité telles que la sécurité basée sur la virtualisation ou la protection des données du noyau Windows. Microsoft a décidé que ce ne serait plus le cas dans Windows 11.
En effet, afin de privilégier la sécurité dans ses systèmes d’exploitation, Microsoft a décrété que les fonctionnalités de protection ne seront plus en options. Elles seront désormais activées par défaut dans Windows 11.
Par ailleurs, cette modification touchera plusieurs fonctionnalités. On pourra citer par exemple l’activation par défaut du démarrage Secure Boot, l’activation du sandbox ou de la technologie Kernel Data Protection. Cette dernière fonctionnalité est nécessaire pour protéger les données du noyau Windows contre les codes malveillants.
Le Trusted Platform Module 2.0
Le Trusted Platform Module (TPM) est un microcontrôleur sécurisé qui permet d’effectuer des opérations cryptographiques telles que la génération ou le stockage de clés cryptographiques. Cette puce sécurisée utilise un chiffrement/déchiffrement RSA 2048 bits totalement inviolable. Elle est donc particulièrement efficace pour protéger l’authentification sur différents appareils.
Dans Windows 11, la version 2.0 du TPM est à la base de plusieurs fonctionnalités de sécurité telles que le chiffrement de disque BitLocker ou la protection Windows Defender. Le service Windows Bonjour, qui ajoute des fonctionnalités réseau au système d’exploitation, repose également la technologie TPM 2.0.
Le processeur de sécurité Pluton
Parmi les nouveautés apportées par Windows 11, on retrouvera en 2022 l’arrivée de PC dotés de processeurs AMD avec une puce de sécurité Pluton. En effet, la puce sécurisée s’intègre directement dans le CPU et empêchera les malwares qui ciblent le canal de communication entre le CPU et le TPM.
Par ailleurs, l’intégration de Pluton à Windows 11 permettra à la puce de stocker les clés de chiffrements et les informations hautement sécurisées. Ces informations seront traitées de manière totalement isolée des autres composants et seront donc à l’abri des attaques physiques touchant l’ordinateur.
Selon Microsoft, Pluton utilise une clé SHACK (Secure Hardware Cryptography Key) qui garantit que « les clés ne sont jamais exposées en dehors du matériel protégé, même au micrologiciel Pluton lui-même ». Pluton ajoute donc une couche de sécurité supplémentaire qui bloquera l’installation de logiciels malveillants et renforcera la sécurité des TPM face aux attaques physiques.
Sécurité basée sur la virtualisation
La sécurité basée sur la virtualisation (VBS) se trouve au centre de la démarche de Microsoft pour la sécurité. Le VBS utilise la virtualisation matérielle pour ajouter une couche de sécurité additionnelle au système d’exploitation.
En effet, le VBS exécute le système d’exploitation au-dessus d’un hyperviseur et crée une machine virtuelle distincte du système d’exploitation principal. Cette machine virtuelle stockera alors les politiques sensibles et les informations d’identification dans des espaces sécurisés isolés. Cela empêchera les logiciels malveillants d’infecter les données même si ces derniers réussissent à corrompre le reste du système.
Par ailleurs, plusieurs fonctionnalités de sécurité reposent sur la VBS. Parmi ces fonctionnalités on retrouve le Kernel Data Protection ou le Credential Guard. Ce dernier est une fonctionnalité qui exécute le processus LSASS dans un conteneur virtuel afin d’éviter les attaques de type Pass-the-Hash.
Finalement, la VBS active également l’intégrité du code protégé par l’hyperviseur (HVCI) appelé aussi Memory Integrity. Cette fonctionnalité désactive tout code dynamique indésirable injecté dans le noyau de Windows.
Sécurité Zero-Trust
On ne saurait parler de sécurité en 2022 sans aborder la démarche de sécurité Zero-Trust. En effet, face à la généralisation du télétravail et en raison de la croissance des services cloud, le Zero-Trust redonne la main aux entreprises en matière de sécurité.
Le Zero-Trust est un modèle de sécurité qui se base sur l’identité des utilisateurs pour donner l’accès aux ressources de l’organisation. En effet, seuls les utilisateurs et les appareils authentifiés pourront accéder aux applications et aux données de l’entreprise. On peut donc établir une certaine similitude avec la carte de vaccination pour accéder à une salle de cinéma.
Selon Microsoft, Windows 11 est prêt pour la sécurité Zero-Trust. Le système d’exploitation est même capable de déterminer si les fonctionnalités de sécurité sont activées, affirme le géant de la technologie.
Par ailleurs, la prise en charge de l’attestation Azure (MAA) permet de confirmer à distance l’intégrité du matériel et des logiciels qui tentent d’accéder au cloud. Microsoft affirme alors que l’usage de MAA permettra aux entreprises « d’appliquer des politiques Zero-Trust lors de l’accès à des ressources sensibles dans le cloud ».
Des conteneurs particuliers pour les applications Office et Edge
La fonctionnalité Application Guard, déjà présente sur Windows 10, devient plus performante dans la version 11 de l’OS. Cet outil exécute désormais les applications Microsoft Office et le navigateur Edge dans un conteneur isolé et virtualisé. Ces applications sont en effet souvent la cible de cyberattaques et nécessitent d’être isolé du reste du système.
Les applications Office qui sont le plus souvent visées sont Word, Excel et PowerPoint. Quant à Edge, le navigateur de Windows, il est utilisé par défaut pour ouvrir les liens. Cette application s’expose donc à des attaques de type Zero-Day. Afin de ne pas compromettre l’appareil hôte, ces applications s’exécutent donc dans des conteneurs particuliers basés sur un hyperviseur.
La fonctionnalité Secure Boot
La fonctionnalité Secure Boot de Windows 11 permet de contrôler les premières étapes du démarrage de l’ordinateur. Ces contrôles s’effectuent avant le lancement de l’OS pour empêcher les applications malveillantes de corrompre le système.
Secure Boot s’appuie sur la spécification UEFI afin de vérifier les signatures numériques des logiciels utilisés lors du démarrage de l’ordinateur. La fonctionnalité permet donc une protection contre les bootkits et les rootkits qui affectent le système d’exploitation.
La fonctionnalité Hardware-enforced Stack Protection
Le Hardware-enforced Stack Protection (HSP) est une fonctionnalité développée par Microsoft pour renforcer la sécurité du système d’exploitation Windows 11. Déjà présente dans Windows 10, cette fonctionnalité crée une protection sur le code exécuté en mode noyau ainsi qu’en mode utilisateur.
La nouvelle fonctionnalité permet de protéger la pile mémoire grâce à des piles fantômes (ou cachées) et au matériel CPU. Le HSP permet donc aux applications de protéger leur code en utilisant le matériel du processeur.
Par ailleurs, le HSP effectue une copie de l’ordre d’exécution du code d’un programme (la pile fantôme) afin de la comparer à la pile d’appels. Une erreur est alors générée si ces deux piles ne sont pas identiques.
Le sandboxing
Face à la complexité des menaces actuelles, l’utilisation d’un antivirus n’est plus suffisante. Afin de pallier cette situation, le sandboxing fait aujourd’hui partie des composants essentiels de la cybersécurité d’une organisation.
En effet, Windows 11 autorise désormais ses utilisateurs de recourir au sandbox pour exécuter et configurer les applications potentiellement dangereuses. Ces tâches s’exécutent dans un environnement totalement isolé du reste du système hôte afin de protéger l’intégrité de celui-ci.
Le sandboxing permet donc de protéger le PC contre les logiciels malveillants. Cette protection empêchera donc ces logiciels d’accéder aux fichiers et aux applications. Ces environnements sécurisés permettent également d’analyser et de détecter les menaces, voire même d’établir des rapports. Finalement, une fois le bac à sable fermé, toutes les informations contenues dans le sandbox disparaissent de l’ordinateur.
L’authentification sans mot de passe
La fonctionnalité Hello de Windows 11 permet à ses utilisateurs de bénéficier d’un accès sans mot de passe sur leurs ordinateurs. Windows Hello s’active en effet par défaut sur Windows 11. Cette fonctionnalité s’appuie sur différents moyens d’authentification tels qu’un code PIN, une empreinte digitale ou une reconnaissance faciale.
L’authentification sans mot de passe offre alors de nombreux avantages pour les organisations. Elle permet en effet de réduire les coûts d’exploitation des équipes techniques. Celles-ci passeront alors moins de temps à réinitialiser les mots de passe des utilisateurs. Elle réduira également les attaques réalisées à travers un piratage de mot de passe. Ces types d’attaques constituent aujourd’hui près de 81 % de violations.
Un besoin matériel plus accru
La configuration matérielle requise pour exécuter Windows 11 est plus exigeante que dans les versions précédentes de l’OS. En effet, pour exécuter efficacement les fonctionnalités de sécurité de Windows 11, celui-ci doit satisfaire une certaine configuration minimale.
Microsoft exige donc qu’un PC qui fonctionne sous Windows 11 intègre un processeur Intel de huitième génération. Ces processeurs ont vu le jour depuis les 4 dernières années. Ils permettent alors d’activer toutes les fonctionnalités de sécurité par défaut de Windows. Mieux encore, ils sont capables d’optimiser les performances de l’ordinateur. De plus, ces puces bénéficient d’un cryptage TPM ainsi que des capacités Secure Boot.
- Partager l'article :