Microsoft a révélé en mai une nouvelle fonctionnalité de sécurité pour Windows 11, qui permettrait aux applications Windows de s’exécuter dans des environnements de bac à sable isolés pour une sécurité accrue. Aujourd’hui, nous en savons un peu plus sur le fonctionnement de cette fonctionnalité.
Microsoft a lancé la preview public de « Win32 app isolation », qui vise à fournir une couche de protection contre les vulnérabilités de type « zero-day » et d’autres caractéristiques de sécurité potentielles.
Microsoft explique dans un article de blog que « Win32 app isolation atteint son objectif de limiter l’impact (dans le cas où les applications sont compromises) en exécutant les applications avec de faibles privilèges, ce qui nécessite une attaque en plusieurs étapes pour s’affranchir du conteneur. Les attaquants doivent cibler une capacité ou une vulnérabilité spécifique, au lieu d’avoir un accès large, et puisque l’attaque doit être dirigée vers une vulnérabilité spécifique, des correctifs d’atténuation peuvent être rapidement appliqués, ce qui réduit la durée de vie de l’attaque ».
L’isolation des applications ressemble beaucoup aux applications Snap ou Flatpak sur Linux et, dans une certaine mesure, à la structure des permissions par défaut sur macOS. Les applications peuvent bénéficier de certaines permissions lors de leur installation et en demander d’autres si nécessaire. L’accès à l’appareil photo, au microphone, à l’emplacement, aux images, aux fichiers et aux dossiers est bloqué sans l’autorisation de l’utilisateur. Les applications isolées ont également un accès limité au registre Windows.
Les applications peuvent demander l’autorisation d’accéder à des fichiers et dossiers spécifiques, et si l’utilisateur accorde l’accès, les fichiers sont fournis par un système de fichiers en bac à sable appelé Windows Brokering File System (BFS).
Pas disponible pour tous
Tout cela semble très intéressant, car de nombreuses applications n’ont pas besoin d’un accès complet à votre PC, et le fait de les empêcher d’obtenir des autorisations inutiles améliorerait à la fois la protection de la vie privée et la sécurité. Toutefois, Microsoft a précisé que cette fonction ne sera pas automatiquement activée pour tous les logiciels. Il s’agit d’une mesure facultative qui nécessite une modification de la part du développeur de l’application — contrairement aux applications sur macOS, qui imposent un modèle de permissions pour l’accès aux fichiers et d’autres fonctions pour tous les logiciels.
Microsoft a mis au point de meilleurs indicateurs pour les applications utilisant des données sensibles, comme les icônes d’état de l’appareil photo et du VPN sur Windows 11, mais il aurait été agréable de voir l’isolation des applications activée de manière générale. Cela n’est peut-être pas possible avec la structure actuelle de Windows, en particulier lorsque le maintien de la compatibilité avec des logiciels vieux de plusieurs dizaines d’années est une exigence pour les entreprises.