Sécurité : Microsoft étend l’usage de la micro-virtualisation dans Windows 10

Avec Windows 10, Microsoft s’est engagé sur la piste de la micro-virtualisation pour sécuriser le poste de travail. L’édition entreprise de ce système d’exploitation client est doté d’un dispositif original, visant à protéger les identifiants d’utilisateurs du domaine. Basé sur Virtual Secure Mode (VSM), ce mécanisme appelé Credential Guard « est un conteneur Hyper-V qui isole le processus lsass.exe du reste de l’environnement Windows 10, réduisant le risque de vol d’identifiants sur l’ordinateur en utilisant des outils tels que mimikatz », expliquait Johan Arwidmark, en juillet 2015. Pour fonctionner, VSM requiert Secure Boot et TPM, ainsi que les composants Hyper-V.

Cette approche de la sécurisation du poste de travail basée sur la micro-virtualisation s’est d’abord trouvée chez Bromium, fondé en 2012 par Simon Crosby, ancien directeur technique de XenServer – même si elle avait déjà fait l’objet d’importants travaux de recherche depuis plusieurs années.

La logique de Microsoft est toutefois différente de celle retenue par Bromium : elle consiste à isoler, dans une chambre forte, un processus de confiance donnant accès à des données sensibles. Bromium fait l’inverse : les micro-machines virtuelles, gérées par son hyperviseur allégé basé sur Xen, sont utilisées pour isoler des processus auxquels il est impossible de faire confiance, comme le navigateur Web, par exemple.

Mais à l’occasion de sa conférence Ignite, Microsoft a présenté Windows Defender Application Guard, un dispositif de protection pour Edge, le navigateur Web de Windows 10. Celui-ci étend le recours à la micro-virtualisation pour sécuriser le poste de travail, cette fois-ci en empruntant la même direction que celle retenue par Bromium. En fait, l’éditeur de Redmond poursuit une stratégie évoquée dès avril 2015 avec la présentation de conteneurs Hyper-V ciblant la sécurité des applications en proposant des capacités d’isolement avancées.

Dans un billet de blog, Simon Crosby rappelle que Microsoft et Bromium sont partenaires depuis 2015 pour étendre l’utilisation de la micro-virtualisation afin de sécuriser les postes de travail. Il souligne que sa solution couvre bien plus que l’édition entreprise de Windows 10 avec Edge et que les PC supportant UEFI Secure Boot.

En outre, Bromium assure l’isolation par micro-virtualisation de « toutes les applications initiées par l’utilisateur qui ont accès à des contenus » potentiellement dangereux, bien au-delà du navigateur Web – mais sans oublier Internet Explorer – : « ce qui est particulièrement utile lorsque les utilisateurs ont besoin d’applications patrimoniales non mises à jour ».

A cette complémentarité, Bromium ajoute une couche de reporting fournissant aux équipes de sécurité les traces de tentatives d’attaques sur le poste de travail. Celles-ci sont remontées, aux côtés d’indicateurs de compromission, aux systèmes de gestion des informations et des événements de sécurité. Mieux : ces détails sont partagés en pair-à-pair avec les autres terminaux protégés pour accélérer la réaction aux incidents. l