Passer au contenu

Windows Defender, premier antivirus à s’exécuter dans un bac à sable

Pour éviter que son antivirus ne devienne un vecteur de piratage, Microsoft a placé les fonctions d’analyse les plus risquées dans un environnement d’exécution confiné. Une innovation majeure pour ce type de produit.

Ceux qui pensent encore que l’antivirus de Windows est à la traîne par rapport aux autres vont devoir changer d’avis, et rapidement. Depuis l’arrivée de Windows 10, les développeurs de Microsoft ont fourni un travail exemplaire pour enrichir leur solution de sécurité et la mettre au même niveau que les autres solutions du secteur.

La firme de Redmond vient maintenant de franchir un nouveau cap en présentant une fonctionnalité qu’elle est la première à avoir développée : l’exécution du moteur antivirus dans un bac à sable. Une innovation qui a d’emblée suscité l’admiration chez les experts en sécurité, notamment Tavis Ormandy, un gourou de Google Project Zero qui avait déjà détecté par le passé des failles importantes dans Windows Defender.

Un bac à sable est un dispositif de sécurité qui confine un processus dans un environnement d’exécution donné et qui limite au minimum les échanges avec le reste du système. Ainsi, si le processus en question est infecté par un logiciel malveillant, celui-ci ne pourra pas se propager à tout l’ordinateur. Appliquer ce principe à l’antivirus est particulièrement intéressant car ce type de logiciel dispose, pour pouvoir effectuer son travail de détection, des privilèges d’accès les plus élevés. Un pirate qui arrive à exploiter une faille dans Windows Defender aura donc d’emblée un accès total au système. C’est le jackpot.

Mais comment restreindre un logiciel qui, pour fonctionner, a besoin de pouvoir accéder à tout ? La solution trouvée par Microsoft est de séparer son moteur de détection en deux processus. Le premier dispose toujours des privilèges d’accès élevés lui permettant de fouiner dans tous les recoins de l’ordinateur. Mais il ne fera aucune analyse à haut risque comme ouvrir des archives ou inspecter un binaire. Ces choses-là seront désormais prises en charge par le second processus qui recevra les données de son collègue. « Avec ce nouveau développement, Windows Defender Antivirus devient la première solution antivirus complète à disposer de cette capacité », se félicitent les ingénieurs de Windows Defender, dans une note de blog.

Une fonction bêta que l’on peut activer à la main

La principale difficulté dans cette architecture est de préserver un bon niveau de performance. Par nature, les antivirus consomment déjà beaucoup de mémoire et de CPU. La séparation en deux processus complexifie nécessairement les échanges et dégrade la vitesse d’exécution. « Windows Defender Antivirus s’efforce d’éviter les entrées-sorties inutiles, et cela de manière coordonnée. Par exemple, il est primordial de minimiser la quantité de données lues pour chaque fichier inspecté afin de maintenir de bonnes performances, en particulier sur du matériel ancien », précisent les ingénieurs.

Pour l’instant, le bac à sable de Windows Defender ne tourne que dans la version Insider de Windows 10. Toutefois, son code est déjà intégré dans la version finale de Windows 10 depuis la version 1703. Il est possible de l’activer à la main. Pour cela, il faut ouvrir le menu Démarrer, faire une recherche sur « cmd.exe », faire un clic droit sur « Invite de commandes », sélectionner « Exécuter en tant qu’administrateur » et taper puis valider la ligne suivante : setx /M MP_FORCE_USE_SANDBOX 1. Il faut ensuite redémarrer l’ordinateur. Evidemment, cette activation est à vos propres risques et périls. Le bac à sable reste pour l’instant une fonction bêta qui peut, le cas échéant, faire planter votre machine.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN