Microsoft renforce la sécurité de Windows en isolant son antivirus dans un bac-à-sable

Un petit pas pour Microsoft, mais un pas de géant pour l’industrie de la sécurité informatique. C’est un peu l’impression que donne la décision, tout juste dévoilée par l’éditeur, de permettre l’exécution de Windows Defender dans une sandbox.

Comme l’explique Mady Marinescu, de l’équipe d’ingénierie de l’antivirus de Microsoft, dans un billet de blog, il s’agit d’une première répondant à un objectif clair : renforcer la sécurité du système d’exploitation en cas de compromission de son système de défense. Car « exécuter Windows Defender Antivirus dans un bac-à-sable assure que dans le cas peu probable d’une compromission, les actions malicieuses sont limitées à l’environnement isolé, protégeant le reste du système ».

De fait, comme tout antivirus, Defender « s’exécute avec des privilèges élevés » afin de pouvoir « inspecter tout le système à la recherche de contenus et d’artefacts malicieux », « ce qui en fait une cible de choix », souligne Mady Marinescu.

D’ailleurs, malgré les efforts de l’éditeur, Defender a déjà été affecté par des vulnérabilités, notamment une critique, fin 2017, qui a poussé Microsoft à publier dans l’urgence un correctif. Cela était déjà arrivé quelques mois plus tôt.

Ce n’est d'ailleurs pas un cas isolé : des vulnérabilités critiques ont pu être découvertes par le passé dans les produits de protection des hôtes de l’infrastructure, serveurs ou postes de travail, de Symantec et de Trend Micro. En mai 2017, AV-Test assurait d’ailleurs que nombre de suites de protection n’avait pas encore recours à certaines technologies susceptibles d’améliorer leur propre sécurité.

A ce stade, Microsoft appelle les chercheurs à mettre à l’épreuve Defender dans son mode d’exécution en bac-à-sable, qu’il s’agisse de robustesse, d’efficacité ou encore de performances et de consommation de ressources, autant de domaines critiques auxquels l’éditeur indique toutefois avoir déjà accordé beaucoup d’attention.