Windows 10, 11 et la protection contre les virus et attaques informatiques

Microsoft a pris à bras le corps les aspects de sécurité informatique depuis Windows XP Service pack 2.
Windows 10 ne fait pas exception et Microsoft continue d’améliorer la sécurité au fil des mises à jour de Windows 10.

Les grands axes de Windows 10 contre les virus :

• améliorer Windows contre les vulnérabilités et attaques.
• améliorer Windows Defender dans la protection contre les logiciels malveillants. Ainsi offrir une meilleur protection contre les malwares.
• améliorer la sécurité du navigateur internet Microsoft Edge.

Voici un tour d’horizon des mécanismes de sécurité de Windows 10 qui visent à mieux protéger Windows contre les attaques informatiques et les virus.

Windows 10 et Windows 11 : un processus de sécurisation

Microsoft cherche donc à protéger les utilisateurs de Windows 10 et Windows 11 en minimisant les impacts des vulnérabilités et en rendant leurs exploitations plus difficiles.
Notez que ces protections sont ajoutées au fur et à mesures des versions de Windows 10, 11.
On voit donc bien que Windows 10, suit un processus général et en continue de Microsoft de sécurisation.

• La version 1709 apporte l’exploit protection et un anti-ransomware et Device Guard.
• Windows 10 1803 apporte la protection DMA.
• Avec 1903, Windows Defender Application Guard s’étend à Chrome et Firefox ainsi que Windows Sandbox
• Windows 11 nécessite TPM 2.0 et le Secure boot pour protéger l’appareil

Protection contre les vulnérabilités

Les premières améliorations de Windows 10 consistent par l’ajout de nouveaux mécanismes pour atténuer les vulnérabilités logicielles.
Pour rappel, les vulnérabilités servent de porte d’entrée aux piratages ou virus.
Par exemple, un malware peut s’installer par la simple visite d’un site internet (WebExploit).
Ou encore pire avec les vulnérabilités distances utilisées par les vers informatique.
La protection des vulnérabilités s’avère donc importante.
Courant 2010 et 2011, le WebExploitKit BlackHole puis par la suite Angler EK ont fait des ravages.
Les protections ajoutées aux navigateurs internet ont pu atténuer ce phénomène.
Mais depuis ces attaques Drive-By Download sont devenues de plus en plus marginales.
Ainsi au final cela a conduit à un retour des campagnes de mails malveillants.

D’où l’importance de maintenir Windows à jour ainsi que vos logiciels : Logiciels pour maintenir ses programmes à jour
Enfin pour plus de détails sur ces attaques, suivre cet article : Drive-By Download : infecter les ordinateurs par le WEB

Le but de ces protections est de proposer des mécanismes de mitigation contre ces exploitations.
Ces protections sont peu visibles pour l’utilisateur puisqu’il s’agit de fonctionnement interne à Windows.
Mais elles ont un impact réel sur la sécurité de l’OS.

Mitigation des vulnérabilités logicielles

Parmi les mécanismes de protection et de mitigation des vulnérabilités de Windows 10.
Il s’agit d’un des composants de Windows Defender Exploit Guard.

• User Mode Font Driver ( UMFD ) : Permet d’écrire des pilotes plus facilement (moins d’erreurs de codes etc). Depuis Windows 10 des mécanismes d’isolation pour UMFD ont été ajoutés. Ces derniers tournent dans un conteneur d’application (App container). UMFD est géré par le processus fontdrvhost.exe.
• Win32k Syscall Filtering : Réduit le nombre d’API accessibles par un processus afin de réduire la surface d’attaque.
• Less Privileged App Container (LPAC): Limite les accès à certains ressources par le containeur d’application à travers un mécanisme de SID.
• Structured Exception Handling Overwrite Protection (SEHOP) : Protège contre les exploits de type Structured Exception Handler (SEH)
• Address Space Layout Randomization (ASLR) : Charge les DLL de Windows au démarrage de ce dernie, dans des adresses aléatoires. Cela afin de protéger des malwares qui utilisent des adresses de mémoires pré-enregistrées.
• Heap protections : Protection contre les attaques de dépassements de tas. Utilise des adresses mémoires aléatoires pour rendre l’écrasement de mémoire plus difficiles par un attaquant. Ce mécanisme ajoute aussi des pages de protections qui devront être écrasées par l’attaquant, cela peut alors aboutir à un BSOD de corruption de mémoire.
• Kernel pool protections : Ajoute de mécanismes de protection de la mémoire utilisée par le noyau Windows.
• Control Flow Guard : Mécanisme de protection pour des applications prévues pour utiliser ce dernier (doivent être compilés avec le CFG), c’est notamment le cas de Microsoft Edge.
• Protected Processes : Protège de l’accès à des processus signés par des processus non signés. Ainsi des antivirus ou logiciels de protections peuvent utilisés cet espace de protection pour ne pas être altérés par des malwares.
• Universal Windows apps protections : mécanisme de vérifications des éditeurs du Windows Store pour s’assurer qu’ils sont crédibles.

Exploit Protection

Depuis Windows 10 1709, Windows 10 se dote donc d’une protection contre les exploits afin de s’en protéger.

Voici une capture d’écran de l’exploit Protection du centre de sécurité Windows Defender

Anti-Ransomware dans Windows 10 et Windows 11

La mise à jour Windows 10 Fall Creators Update propose aussi un anti-ransomware qui protège vos documents contre les ransomwares.
C’est un autre composant de Windows Defender Exploit Guard.

Elle vise à bloquer les modifications non autorisées de vos données.

Par défaut Windows 10 protège les dossiers utilisateurs.
Mais vous pouvez ajouter d’autres dossiers à protéger.

D’après Microsoft Windows 10 s’avère touché 3,5 fois moins par les ransomwares que Windows 10 par Windows 7.

Ci-dessous, la liste des protections offertes par Windows 10 contre les ransomwares.

Plus d’informations sur cette protection : 

Cloud Antivirus et Machine Learning dans Windows Defender

Windows Defender se voit aussi amélioré par rapport aux versions de Windows 7 et Windows 8.
Ainsi Microsoft apporte de nouvelles fonctions à Windows Defender tout en captant un maximum de virus afin de protéger les utilisateurs.
Petit à petit, Windows Defender n’a pas à rougir des autres antivirus.

Le nombre de malware grandit chaque mois, il faut donc être en mesure de capter un maximum afin d’ajuster les protections en conséquence.
Windows 10 introduit un Cloud Antivirus sur Windows Defender.
Cela déporte les définitions virales sur les serveurs pour alléger le client antivirus.
Le client Antivirus alimente ce cloud pour partager ces définitions à l’ensemble du parc Windows Defender.

L’alimentation se fait à travers du machine learning ou apprentissage automatique en français. Il s’agit donc une intelligence artificielle qui ajuste les détections pour alimenter la base de données Cloud.
Ce système Cloud inclut des détections heuristiques ainsi que des détections comportementales.

Le schéma ci-dessous donne un aperçu de la protection Windows Defender.

Ainsi cela permet de capter les malwares publiques comme l’explique cette description.

Les protections de Microsoft Edge

Microsoft Edge est le nouvel navigateur internet qui vise à repositionner Microsoft dans la guerre des navigateurs internet et par extension dans la guerre des moteurs de recherche.
Microsoft Edge devient donc un maillon important dans la protection de Windows 10.

Edge possède plusieurs fonctionnalités de sécurité comme le blocage des applications potentiellement indésirables, protection contre le typosquattage.
L’utilisateur peut aussi définir le niveau de sécurité.

SmartScreen

La technologie SmartScreen s’améliore aussi dans Windows 10.
Plus d’informations sur SmartScreen, lire notre dossier :

SmartScreen tente notamment de bloquer les arnaques de support de téléphonique.
C’est une menace grandissante depuis deux ans.

Windows Defender Device Guard

Device Guard est une fonctionnalité de protection de l’appareil à travers la virtualisation.
Il est conçu pour durcir un système informatique contre les logiciels malveillants. Son objectif est d’empêcher l’exécution de code malveillant en garantissant que seul un bon code connu peut s’exécuter.

On trouve aussi Credential Guard qui vise à isoler et à renforcer les secrets clés du système et de l’utilisateur contre les compromis.

L’article suivant détailles ces protections.

Windows Defender Application Guard

Cela permet de faire tourner Microsoft Edge dans un environnement isolé afin de protéger les données.
Les attaques ne peuvent accéder aux données grâce à un conteneur isolé.
De plus cela protège mieux des malwares.

Depuis la version 1903, cette protection s’étend à Chrome et Firefox.

Windows 10 2004 : Détection PUA, support Wi-Fi 6 and WPA3

A partir de Windows 10 2004, vous pouvez maintenant activer le blocage d’application potentiellement indésirable (PUP/PUA) depuis l’interface Windows Defender.
Avant cela, il fallait le faire en PowerShell.

Plus de détails dans cet article :

Cette version de Windows 10 apporte aussi le support Wi-Fi 6 et WPA3.
La nouvelle technologie Wi-Fi 6 offre une vitesse plus rapide et de meilleures performances lorsque plusieurs appareils sont connectés à la même connexion.
Le protocole de sécurité WPA3 a été conçu pour protéger contre les attaques par force brute en bloquant le processus d’authentification sans fil après plusieurs tentatives de connexion infructueuses sur l’appareil. Il comprend également de nouvelles capacités de chiffrement pour chiffrer les connexions entre chaque appareil et le routeur.

VBS dans Windows 11

WWindows 11 nécessite un processeur Intel 8e génération et AMD Zen 2 proposant la fonctionnalité matérielle Virtualization-Based Security (VBS).
La sécurité basée sur la virtualisation (VBS) utilise des fonctionnalités de virtualisation matérielle présentes sur les processeurs Intel et AMD pour créer un environnement sécurisé virtuel afin de stocker des fonctionnalités de sécurité de l’OS.
VBS utilise l’hyperviseur Windows pour créer ce mode sécurisé virtuel pour appliquer des restrictions qui protègent les ressources vitales du système d’exploitation, ou pour protéger les ressources de sécurité telles que les informations d’identification de l’utilisateur authentifié.