Microsoft a révélé une nouvelle fonctionnalité de sécurité en mai pour Windows 11, qui permettrait aux applications Windows de s’exécuter dans des environnements sandbox isolés pour une sécurité renforcée. Maintenant, nous en savons un peu plus sur la façon dont cela fonctionnera.
Microsoft a lancé l’aperçu public de « l’isolation des applications Win32 », qui vise à fournir une couche de protection contre les vulnérabilités du jour zéro et d’autres fonctionnalités de sécurité potentielles. Microsoft a expliqué dans un article de blog : « L’isolation des applications Win32 atteint son objectif de limiter l’impact (dans le cas où les applications sont compromises) en exécutant des applications avec peu de privilèges, ce qui nécessite une attaque en plusieurs étapes pour sortir du conteneur. Les attaquants doivent cibler une capacité ou une vulnérabilité spécifique, plutôt qu’avoir un large accès et puisque l’attaque doit être dirigée contre une vulnérabilité spécifique, des correctifs d’atténuation peuvent être appliqués rapidement, réduisant ainsi la durée de vie de l’attaque.
L’isolation des applications ressemble beaucoup aux applications Snap ou Flatpak sur Linux de bureau et, dans une certaine mesure, à la structure des autorisations par défaut sur macOS. Les applications peuvent démarrer avec certaines autorisations lorsqu’elles sont installées, et elles peuvent en demander davantage si nécessaire. L’accès à la caméra, au microphone, à l’emplacement, aux images, aux fichiers et aux dossiers est bloqué sans l’autorisation de l’utilisateur. Les applications isolées ont également un accès limité au registre Windows. Les applications peuvent demander l’autorisation d’accéder à des fichiers et dossiers spécifiques, et si l’utilisateur accorde l’accès, les fichiers sont fournis via un système de fichiers en bac à sable appelé Windows Brokering File System (BFS).
Tout cela semble bien, car de nombreuses applications n’ont pas besoin d’un accès complet à votre PC, et les bloquer des autorisations inutiles améliorerait à la fois la confidentialité et la sécurité. Cependant, Microsoft a précisé que cela ne sera pas automatiquement activé pour tous les logiciels. Il s’agit d’une mesure opt-in qui nécessite certaines modifications de la part du développeur de l’application, contrairement aux applications sur macOS, qui imposent un modèle d’autorisations pour l’accès aux fichiers et à d’autres fonctions pour tous les logiciels.
Microsoft a construit de meilleurs indicateurs pour les applications utilisant des données sensibles, comme les icônes d’état de la caméra et du VPN sur Windows 11, mais il aurait été agréable de voir l’isolation des applications activée à tous les niveaux. Cela pourrait tout simplement ne pas être possible avec la structure actuelle de Windows, en particulier lorsque le maintien de la compatibilité avec des logiciels vieux de plusieurs décennies est une exigence pour les entreprises clientes.
Source : Blog Windows