Windows 11 et 10 : évolutions des protections de sécurité intégrées contre les virus et malwares

Depuis Windows 8, Microsoft a profondément repensé l’architecture de sécurité de son système d’exploitation. Avec Windows 10 puis Windows 11, l’éditeur a progressivement intégré des technologies de protection avancées pour mieux défendre les utilisateurs contre les virus, ransomwares, chevaux de Troie, attaques réseau ou exploitations système.

Contrairement aux idées reçues, la sécurité sous Windows ne repose plus uniquement sur l’antivirus. Microsoft a mis en place une stratégie multicouche, mêlant protections logicielles, sécurité matérielle (TPM, Secure Boot), surveillance comportementale (SmartScreen, protection basée sur la réputation), et isolation des composants critiques (VBS, Credential Guard, Core Isolation).

Dans cet article, nous passons en revue toutes les fonctionnalités de sécurité intégrées dans Windows 10 et 11, de Smart App Control à ELAM, en expliquant leur rôle, leur évolution, et comment elles contribuent à renforcer la résistance du système face aux menaces modernes, sans nécessiter d’antivirus tiers.

Windows 10 et Windows 11 : un processus de sécurisation important et en continu

Microsoft adopte une stratégie de sécurisation progressive pour Windows 10 et Windows 11, avec pour objectif de réduire la surface d’attaque, de limiter l’exploitation des vulnérabilités et de renforcer les défenses par défaut. Plutôt que d’intégrer toutes les protections d’un seul coup, l’éditeur fait évoluer le système au fil des mises à jour majeures, en intégrant régulièrement de nouvelles fonctionnalités de sécurité, tant matérielles que logicielles.

Ce processus est clairement visible dans le cycle de développement de Windows 10, et se poursuit avec Windows 11, qui repose sur une architecture de sécurité modernisée, plus proche des standards professionnels. Chaque version apporte ainsi des couches de protection supplémentaires, qu’il s’agisse de SmartScreen, de la protection basée sur la réputation, du démarrage sécurisé (Secure Boot), de VBS, de Smart App Control ou de Credential Guard.

En somme, Windows n’est pas figé : sa sécurité évolue en permanence, à travers un processus continu et réfléchi de durcissement, piloté par les nouvelles menaces détectées et les retours du terrain.

Ci-dessous les étapes significatives de cette évolution à travers les versions de Windows :

Protection contre les vulnérabilités logicielles

Les premières améliorations de Windows 10 consistent par l’ajout de nouveaux mécanismes pour atténuer les vulnérabilités logicielles.
Pour rappel, les vulnérabilités servent de porte d’entrée aux piratages ou virus.
Par exemple, un malware peut s’installer par la simple visite d’un site internet (WebExploit).
Ou encore pire avec les vulnérabilités distances utilisées par les vers informatiques.
La protection des vulnérabilités s’avère donc importante.
Courant 2010 et 2011, le WebExploitKit BlackHole puis par la suite Angler EK ont fait des ravages.
Les protections ajoutées aux navigateurs internet ont pu atténuer ce phénomène.
Mais, depuis, ces attaques Drive-By Download sont devenues de plus en plus marginales.
Ainsi, au final, cela a conduit à un retour des campagnes de mails malveillants.

D’où l’importance de maintenir Windows à jour ainsi que vos logiciels : Logiciels pour maintenir ses programmes à jour
Enfin pour plus de détails sur ces attaques, suivre cet article : Drive-By Download : infecter les ordinateurs par le WEB

Le but de ces protections est de proposer des mécanismes de mitigation contre ces exploitations.
Ces protections sont peu visibles pour l’utilisateur puisqu’il s’agit de fonctionnement interne à Windows.
Mais, elles ont un impact réel sur la sécurité de l’OS.

Mitigation des vulnérabilités logicielles

Parmi les mécanismes de protection et de mitigation des vulnérabilités de Windows.
Il s’agit d’un des composants de Windows Defender Exploit Guard.

• User Mode Font Driver ( UMFD ) : Permet d’écrire des pilotes plus facilement (moins d’erreurs de codes, etc). Depuis Windows 10 des mécanismes d’isolation pour UMFD ont été ajoutés. Ces derniers tournent dans un conteneur d’application (App container). UMFD est géré par le processus fontdrvhost.exe.
• Win32k Syscall Filtering : Réduit le nombre d’API accessibles par un processus afin de réduire la surface d’attaque.
• Less Privileged App Container (LPAC): Limite les accès à certaines ressources par le containeur d’application à travers un mécanisme de SID.
• Structured Exception Handling Overwrite Protection (SEHOP) : Protège contre les exploits de type Structured Exception Handler (SEH)
• Address Space Layout Randomization (ASLR) : Charge les DLL de Windows au démarrage de ce dernier, dans des adresses aléatoires. Cela afin de protéger des malwares qui utilisent des adresses de mémoires pré-enregistrées.
• Heap protections : Protection contre les attaques de dépassements de tas. Utilise des adresses mémoires aléatoires pour rendre l’écrasement de mémoire plus difficiles par un attaquant. Ce mécanisme ajoute aussi des pages de protections qui devront être écrasées par l’attaquant, cela peut alors aboutir à un BSOD de corruption de mémoire.
• Kernel pool protections : Ajoute de mécanismes de protection de la mémoire utilisée par le noyau Windows.
• Control Flow Guard : Mécanisme de protection pour des applications prévues pour utiliser ce dernier (doivent être compilés avec le CFG), c’est notamment le cas de Microsoft Edge.
• Protected Processes : Protège de l’accès à des processus signés par des processus non signés. Ainsi des antivirus ou logiciels de protections peuvent utiliser cet espace de protection pour ne pas être altérés par des malwares.
• Universal Windows apps protections : mécanisme de vérifications des éditeurs du Windows Store pour s’assurer qu’ils sont crédibles.

Exploit Protection (depuis Windows 10 1709)

Depuis Windows 10 1709, Windows se dote donc d’une protection contre les exploits afin de s’en protéger.

Voici une capture d’écran de l’exploit Protection du centre de sécurité Windows Defender

Anti-Ransomware (Dispositif d’accès contrôlé aux dossiers) dans Windows 11/10 (Windows 10 1709)

Depuis Windows 10 version 1709 (Fall Creators Update), Microsoft intègre une fonctionnalité anti-ransomware dans Microsoft Defender Antivirus, destinée à protéger les utilisateurs contre les attaques qui visent à chiffrer les fichiers et demander une rançon.

Cette protection repose principalement sur la fonctionnalité appelée « Accès contrôlé aux dossiers » (Controlled Folder Access). Lorsqu’elle est activée, seul un ensemble restreint d’applications approuvées peut modifier le contenu de dossiers sensibles (comme Documents, Images, Bureau…). Si un programme inconnu ou suspect tente d’y accéder, l’action est bloquée, et l’utilisateur est averti.

L’anti-ransomware peut être configuré depuis :

Sécurité Windows > Protection contre les virus et menaces > Gérer les paramètres de protection contre les ransomwares

Elle vise à bloquer les modifications non autorisées de vos données.

Il est également possible d’ajouter ses propres dossiers à protéger, ou d’autoriser manuellement une application bloquée.

Cette fonction s’appuie sur :

• et l’intégration avec le cloud Microsoft pour repérer rapidement les comportements suspects associés à des ransomwares connus ou émergents.
• l’analyse comportementale de Microsoft Defender,

Disponible dans Windows 10 (1709 et +) et Windows 11, cette protection est désactivée par défaut, mais fortement recommandée, surtout pour les utilisateurs ayant des fichiers sensibles non sauvegardés ailleurs.

Les améliorations constantes de Windows Defender Antivirus

Windows Defender se voit aussi amélioré par rapport aux versions de Windows 7 et Windows 8.
Ainsi, Microsoft apporte de nouvelles fonctions à Windows Defender tout en captant un maximum de virus afin de protéger les utilisateurs.
Progressivement, Windows Defender n’a pas à rougir des antivirus proposés sur le marché.

Voici un historique non exhaustif des nouvelles fonctionnalités que Windows Defender a pu recevoir aux fils des versions.
Notez que toutes les améliorations ne sont pas présentes.
Par exemple, dans Windows 10 21H1, Windows Defender a reçu une amélioration de la détection des scripts obfusqués (ex. : PowerShell malveillant, JS) via le moteur de protection en temps réel.

• Windows 10 version 1703 (Creators Update – avril 2017) :
  • Lancement de l’interface Sécurité Windows (Windows Security) remplaçant le panneau « Windows Defender ».
  • Blocage des applications potentiellement indésirables (PUA/PUP) en option via PowerShell ou stratégie de groupe.
  • Ajout de Microsoft Defender Antivirus dans Windows Defender ATP (version entreprise).
• Windows 10 version 1709 (Fall Creators Update – octobre 2017)
  • Ajout de la protection anti-ransomware avec l’option Accès contrôlé aux dossiers (Controlled Folder Access).
  • Possibilité d’ajouter des dossiers protégés et de contrôler quelles applications peuvent y accéder.
• Windows 10 version 1803 (avril 2018)
  • Intégration plus poussée avec la protection cloud : meilleures performances via Microsoft Intelligent Security Graph.
  • Amélioration de la détection comportementale grâce à l’IA Microsoft (premières versions de blocage dynamique en temps réel).
  • Ajout du paramètre “Remédiation automatique” : suppression silencieuse d’un malware sans intervention.
• Windows 10 version 1903 (mai 2019)
  • Ajout de la Protection fondée sur la réputation dans l’interface graphique.
  • Possibilité de bloquer l’exécution de fichiers non reconnus (analyse SmartScreen + réputation cloud).
  • Renforcement du blocage des PUP activable via l’interface.
• Windows 10 version 2004 (mai 2020)
  • Introduction de la Protection contre les falsifications (Tamper Protection) activée par défaut.
  • Cette fonctionnalité empêche les modifications non autorisées des paramètres de Defender (via registre, script, ou logiciel tiers), même avec des droits administrateur.
• Windows 11 version 22H2 (septembre 2022)
  • Intégration renforcée avec Smart App Control (pour les installations propres).
  • Amélioration de la détection des attaques fileless et blocage dynamique des applications inconnues via le cloud.
  • Simplification de la gestion des exclusions antivirus (interface revue).
• Windows 11 version 23H2 (septembre 2023)
  • Ajout de la protection contre l’usurpation d’identité (Identity Theft Monitoring) pour les comptes Microsoft 365.
  • Amélioration de la défense contre les chevaux de Troie à accès distant (RATs) grâce à une IA renforcée et la réputation comportementale.

Cloud Antivirus et Machine Learning dans Windows Defender

Le nombre de malwares grandit chaque mois, il faut donc être en mesure de capter un maximum pour ajuster les protections en conséquence.
Windows 10 introduit un Cloud Antivirus sur Windows Defender.
Cela déporte les définitions virales sur les serveurs pour alléger le client antivirus.
Le client Antivirus alimente ce cloud pour partager ces définitions à l’ensemble du parc Windows Defender.

L’alimentation se fait à travers du machine learning ou apprentissage automatique en français. Il s’agit donc une intelligence artificielle qui ajuste les détections pour alimenter la base de données Cloud.
Ce système Cloud inclut des détections heuristiques ainsi que des détections comportementales.

Le schéma ci-dessous donne un aperçu de la protection Windows Defender.

Ainsi, cela permet de capter les malwares publics comme l’explique cette description.

SmartScreen

SmartScreen est une technologie de protection WEB qui vise à protéger les utilisateurs des sites malveillants, phishing, arnaques ou non sécurisé.
Elle est intégrée directement à Microsoft Edge et en partie à Windows lorsque vous exécutez un fichier.

SmartScreen tente notamment de bloquer les arnaques de support de téléphonique.
C’est une menace grandissante depuis deux ans.

Elle peut bloquer un fichier exécutable lorsque ce dernier n’est pas considéré comme étant suffisamment sûr.

Windows Defender Application Guard : renforcer la sécurité via le contrôle d’exécution (Windows 10 1507)

Windows Defender Device Guard est une fonctionnalité de sécurité avancée introduite avec Windows 10 Enterprise et Education, à partir de la version 1507 (build initiale de juillet 2015). Elle vise à empêcher l’exécution de logiciels non autorisés sur un système, en s’appuyant sur des règles de sécurité définies par l’administrateur (via des politiques d’intégrité de code).

Device Guard repose sur deux technologies principales :

• Code Integrity (CI) : empêche l’exécution de fichiers binaires qui ne sont pas approuvés (non signés ou non validés par une stratégie de confiance),
• Virtualization-Based Security (VBS) : isole les fonctions critiques dans un environnement protégé en mémoire, à l’abri des processus compromis.

Grâce à cette approche, Device Guard permet de verrouiller une machine de manière à ce qu’elle n’exécute que des applications explicitement autorisées (liste blanche logicielle). Cela en fait une solution idéale pour les environnements professionnels, sensibles ou critiques.

À noter que depuis Windows 10 version 1803, Device Guard a été progressivement intégré et renommé dans un cadre plus large appelé Windows Defender Application Control (WDAC). Le terme « Device Guard » est désormais moins utilisé, bien que le principe reste identique.

• Windows Defender Device Guard et Protection DMA de Windows 10
• Windows Defender Application Guard pour Edge, Firefox et Chrome

La protection fondée sur la réputation dans Windows (Windows 10 1903)

La protection fondée sur la réputation est une fonctionnalité de sécurité intégrée à Microsoft Defender SmartScreen, qui a été introduite à partir de Windows 10. Elle est toujours présente et activement utilisée dans Windows 11.

Son objectif est de bloquer l’exécution de fichiers inconnus ou peu utilisés, qui n’ont pas encore été largement téléchargés ou analysés par la communauté. Lorsque vous tentez d’ouvrir un fichier exécutable téléchargé sur Internet, Windows vérifie sa réputation auprès des serveurs Microsoft. Si le fichier est jugé suspect (exécutable rare, non signé numériquement, ou récemment apparu), une alerte s’affiche pour avertir l’utilisateur.

Ce système s’appuie sur une analyse cloud et des statistiques d’usage anonymes, issues des utilisateurs Windows dans le monde. Il permet ainsi de repérer rapidement des malwares émergents, même s’ils ne sont pas encore détectés par les bases de signatures classiques.

Blocage d’application potentiellement indésirable (PUA) (Windows 10 2004)

À partir de Windows 10 2004, vous pouvez maintenant activer le blocage d’application potentiellement indésirable (PUP/PUA) depuis l’interface Windows Defender.
Avant cela, il fallait le faire en PowerShell.

Plus de détails dans cet article :

Le contrôle intelligent des applications (Smart AppControl) de Windows 11 22H2

Smart App Control est une fonctionnalité de sécurité introduite avec Windows 11 22H2, pensée pour bloquer automatiquement l’exécution d’applications jugées non fiables, avant même qu’elles ne puissent nuire au système.

Son principe repose sur une logique de “zero trust” : toute application inconnue ou non signée numériquement est considérée comme suspecte par défaut. En d’autres termes : « guilty until proven innocent » (coupable jusqu’à preuve du contraire). Contrairement à SmartScreen qui affiche une alerte, mais laisse l’utilisateur décider, Smart App Control bloque purement et simplement l’exécution du fichier si celui-ci ne correspond pas aux critères de confiance définis par Microsoft.

Smart App Control utilise :

• une analyse de réputation dans le cloud, pour savoir si un exécutable est connu et sûr,
• la signature numérique des fichiers (éditeurs certifiés),
• une IA (intelligence artificielle) de Microsoft pour juger du comportement attendu d’un binaire.

Le blocage s’applique aux :

• exécutables inconnus téléchargés depuis le web,
• fichiers de scripts (PowerShell, .bat, .vbs),
• fichiers non signés ou modifiés.

VBS dans Windows 11 et architecture de sécurité matérielle moderne

Windows 11 nécessite un processeur Intel 8e génération et AMD Zen 2 proposant la fonctionnalité matérielle Virtualization-Based Security (VBS).
La sécurité basée sur la virtualisation (VBS) utilise des fonctionnalités de virtualisation matérielle présentes sur les processeurs Intel et AMD pour créer un environnement sécurisé virtuel afin de stocker des fonctionnalités de sécurité de l’OS.
VBS utilise l’hyperviseur Windows pour créer ce mode sécurisé virtuel pour appliquer des restrictions qui protègent les ressources vitales du système d’exploitation, ou pour protéger les ressources de sécurité telles que les informations d’identification de l’utilisateur authentifié.

Ainsi, Windows 11 repose sur une architecture de sécurité matérielle moderne, baptisée hardware-rooted security, qui s’appuie sur plusieurs composants indispensables pour activer les protections avancées du système. Ces exigences ne sont pas là par hasard : elles permettent à Windows d’isoler, de surveiller et de protéger ses composants critiques dès le démarrage, avant même que le système d’exploitation ne soit complètement chargé.

Parmi ces briques essentielles, on retrouve :

• TPM 2.0 (Trusted Platform Module) : utilisé pour le chiffrement, la gestion des clés de sécurité, la protection des identifiants (comme avec Windows Hello), et l’intégrité du démarrage (avec Measured Boot).
• Secure Boot : empêche le chargement de bootloaders ou de pilotes non signés ou compromis au démarrage, bloquant ainsi certains rootkits avant même l’initialisation du système.
• VBS (Virtualization-Based Security) : crée un environnement sécurisé isolé en mémoire (via Hyper-V), dans lequel sont exécutées certaines fonctions critiques, comme Credential Guard ou le contrôle d’intégrité du noyau.
• HVCI (Hypervisor-Enforced Code Integrity) : une extension de VBS qui empêche l’exécution de pilotes ou de code noyau non approuvés, en renforçant la politique d’intégrité du système.

Credential Guard de Windows 11 : protéger les identifiants système avec l’isolation mémoire

Windows Defender Credential Guard est une fonctionnalité de sécurité introduite avec Windows 10 Enterprise et présente dans Windows 11 Pro, Enterprise et Education. Elle repose sur VBS (Virtualization-Based Security) pour isoler les informations d’identification sensibles du reste du système d’exploitation.

Plus concrètement, Credential Guard stocke les hashs de mots de passe, les tickets Kerberos, et autres secrets d’authentification dans un environnement protégé, séparé du reste du système par une machine virtuelle légère (via Hyper-V). Cela empêche les malwares, même s’ils s’exécutent avec des privilèges élevés, d’accéder à ces informations critiques.

Cette protection est particulièrement efficace contre les attaques de type Pass-the-Hash, Pass-the-Ticket, ou les tentatives d’extraction des identifiants via lsass.exe, très utilisées dans les phases post-exploitation (ex : mouvements latéraux dans un réseau d’entreprise).

Sécurisation du démarrage de Windows : Secure Boot et ELAM

Depuis Windows 8, Microsoft a considérablement renforcé la sécurité du démarrage du système pour prévenir les attaques profondes comme les rootkits ou les malwares capables de s’exécuter avant l’antivirus ou même le noyau. Cette protection repose sur plusieurs couches, combinant matériel et logiciel.

Le premier pilier de cette stratégie est le Secure Boot, une technologie intégrée à l’UEFI (le successeur du BIOS). Lorsque Secure Boot est activé, le firmware vérifie la signature numérique de chaque composant chargé au démarrage : bootloader, noyau, pilotes… Si un élément n’est pas signé ou a été altéré, le système bloque l’exécution. Cela permet de verrouiller la chaîne de confiance dès l’allumage du PC et de neutraliser les attaques en amont du système, comme les bootkits.

En complément, Microsoft a introduit à partir de Windows 8 le composant ELAM (Early Launch Anti-Malware). ELAM permet de charger un pilote antivirus minimal dès les premières étapes du démarrage, avant même les pilotes classiques. Ce mini-driver peut ainsi évaluer et bloquer les pilotes suspects qui tenteraient de s’injecter tôt dans le processus d’amorçage. Il s’agit d’un véritable filtre initial, qui donne à l’antivirus un rôle actif dès les toutes premières phases du boot.

Dans les versions suivantes de Windows 10 et 11, ces mécanismes ont été étendus avec :

• Measured Boot, qui journalise chaque composant chargé pendant le démarrage dans le TPM, pour qu’un serveur de gestion puisse vérifier l’intégrité du système,
• VBS (Virtualization-Based Security) et HVCI, qui viennent renforcer l’intégrité du noyau et des pilotes après le démarrage.

Grâce à cette chaîne de sécurité progressive (Secure Boot → ELAM → VBS/HVCI), Microsoft a mis en place une architecture de confiance dès la mise sous tension, qui permet de contrer les attaques sophistiquées visant le démarrage, et de garantir que Windows démarre dans un état connu, vérifié et sain.

PatchGuard (Kernel Patch Protection) : un rempart invisible contre les malwares

PatchGuard est une technologie de sécurité intégrée aux versions 64 bits de Windows depuis Windows XP x64. Son rôle est de protéger le noyau du système contre toute modification non autorisée par des logiciels tiers, y compris les antivirus, les outils d’optimisation ou les rootkits.

Le noyau est la partie la plus sensible de Windows : s’il est altéré, un malware peut se dissimuler, intercepter des appels système ou contourner les protections classiques. PatchGuard agit comme un surveillant permanent en vérifiant régulièrement que certaines structures critiques du noyau n’ont pas été modifiées. Si une altération est détectée, Windows provoque volontairement un crash système (BSOD) pour bloquer l’exécution d’un système compromis.
Cela rend plus difficile la vie aux rootkits et autres malwares qui s’appuient sur la manipulation du noyau pour se dissimuler ou intercepter des fonctions système.

Cette fonctionnalité de sécurité a reçu de nombreux renforcements dans Windows Vista, Windows 7 et 8, mais aussi dans Windows 10 et Windows 11.
Microsoft renforce PatchGuard dans Windows 10 avec la surveillance dynamique de nouvelles structures en mémoire et des vérifications périodiques plus fréquentes.
De plus, une intégration plus étroite de PatchGuard avec les fonctionnalités UEFI et Secure Boot, rendant les contournements plus difficiles.
Dans Windows 11, il devient un pilier du modèle « Secured-core PC », combiné à la virtualisation obligatoire (VBS – Virtualization-Based Security) et à Hypervisor-protected Code Integrity (HVCI). Les tentatives de modification du noyau sont encore plus facilement détectées et bloquées.

En 2024, dans le contexte du Windows Resiliency Initiative, Microsoft annonce que les antivirus et les systèmes anti-triche n’auront plus aucun droit d’accès au noyau, et devront s’exécuter exclusivement en mode utilisateur. Cela va dans le sens de PatchGuard, qui est ainsi renforcé par la politique produit elle-même, et non plus seulement par la technique.