Windows n’a pas le même modèle de sécurité restreint que les iPhone ou les appareils Android, permettant à la plupart des logiciels d’accéder à tous les fichiers, de modifier les paramètres du système ou d’utiliser le matériel connecté. Cette situation pourrait enfin changer.
Microsoft vient d’annoncer de nombreuses fonctionnalités et modifications à venir dans Windows 11, notamment une IA Windows Copilot construite sur la même technologie que Bing Chat et ChatGPT. L’entreprise a également dévoilé une nouvelle fonctionnalité de sécurité qui isolera les applications Windows dans un environnement sandbox, les empêchant ainsi d’accéder aux données et aux paramètres qui ne sont pas nécessaires.
Microsoft a déclaré dans un article de blog : « Demain, en preview public, nous lançons la possibilité d’isoler les applications Win32 à la fois pour les consommateurs et les entreprises. Les développeurs peuvent considérablement réduire le risque de failles de sécurité en utilisant les nouvelles technologies d’isolation. L’exécution d’applications Win32 dans un environnement isolé permet d’empêcher les applications d’avoir un accès inattendu/non autorisé à des sous-systèmes Windows internes critiques, minimisant ainsi les dommages en cas de compromission d’une application ».
L’exécution d’applications dans un environnement de type « bac à sable » où chaque permission doit être accordée est désormais courante dans les applications Web, les applications iPhone et Android, et macOS (dans une certaine mesure). La solution initiale de Microsoft à ce problème a été la Universal Windows Platform, ou UWP, un nouveau format d’application conçu pour Windows 8 et Windows Phone (plus tard Windows Mobile) avec des autorisations plus robustes. Ce fut un réel désastre pour de nombreuses raisons, et Microsoft a par la suite fusionné les fonctionnalités et les API UWP dans les API Windows traditionnelles (Win32) avec son Project Reunion. Cependant, les logiciels Windows peuvent toujours fonctionner sans restriction sur les PC, contrairement aux applications UWP d’origine.
Nous ne savons pas encore si la fonction de bac à sable sera contrôlée par l’utilisateur ou s’il s’agira d’une fonction opt-in pour les applications. Par exemple, la possibilité d’exécuter n’importe quelle application dans un bac à sable serait formidable — je pense à quelques applications sur mon PC qui ne devraient pas avoir besoin d’accéder à l’ensemble de mon système de fichiers.
Une réelle avancée
Même si la fonction de bac à sable est limitée aux logiciels conçus pour elle, elle pourrait constituer une amélioration indispensable pour Windows. Les navigateurs Web pourraient l’utiliser pour renforcer le sandboxing, afin de se prémunir contre les futures vulnérabilités de type « zero-day ». Certains jeux sur PC utilisent un système anti-triche qui fonctionne au niveau du noyau de Windows, ce qui représente un risque important pour la sécurité, et la fonction intégrée de Windows pourrait peut-être constituer une alternative viable.
Nous devrons attendre pour savoir comment fonctionne le sandboxing, mais toute évolution est bonne à prendre.