Protection contre les programmes malveillants

  • Article

Dans les discussions autour de Windows 8, la sécurité et la fiabilité de l'environnement Windows sont au cœur des préoccupations. Depuis toujours, nous proposons des solutions conçues pour prendre en compte ces préoccupations et à ce titre, nous collaborons avec de nombreux partenaires du secteur informatique. La fiabilité et la sécurité de Windows 8 ont été renforcées par rapport aux versions précédentes, mais nous voulons aussi vous laisser la liberté de choisir et d'administrer les outils vous permettant de protéger et de gérer votre PC. Avec Windows 8, nous élargissons les protections mises en œuvre par Defender, afin de couvrir un éventail plus large de menaces potentielles. Jason Garms, directeur des programmes au sein de notre équipe chargée de la fiabilité et de la sécurité, a rédigé ce billet, qui porte sur le travail réalisé par plusieurs de nos équipes. --Steven

Je suis ravi de vous faire part d'un certain nombre d'avancées mises en œuvre dans Windows 8 pour mieux vous protéger contre les programmes malveillants, dont la variété et la quantité ne cessent d'évoluer. Dans ce billet, je vais évoquer les améliorations apportées aux fonctionnalités de prévention, qui contribuent à vous protéger contre les codes malveillants exploitant une faille de sécurité, les améliorations apportées à Windows Defender, qui assurent une protection en temps réel contre tous les types de programmes malveillants, ainsi que l'utilisation de la réputation des URL et des applications, qui renforce votre protection contre les attaques par ingénierie sociale.

État des lieux

Les attaques criminelles continuent à évoluer et les programmes malveillants sont devenus une arme générique visant tous les internautes, qu'ils utilisent des ordinateurs classiques ou des appareils mobiles (tablettes, téléphones, etc.). Les programmes malveillants ciblent désormais tous les systèmes d'exploitation et tous les navigateurs, et ces dernières années, les attaques criminelles visant les applications ont beaucoup augmenté.

Les criminels exploitent également des techniques d'ingénierie sociale pour vous amener à effectuer des actions susceptibles de mettre à mal votre protection. Parmi ces techniques, l'une des plus courantes exploite des campagnes de publicité en ligne, afin de vous attirer sur un site installant des programmes malveillants sur votre ordinateur.

Toute une économie s'est développée autour de la mise au point de code malveillant très performant, capable d'exploiter les failles de sécurité. Désormais, les criminels peuvent acheter ce code malveillant pour distribuer à leur tour des programmes malveillants. Puisqu'ils gagnent de l'argent grâce à ces programmes, ils font en sorte de pérenniser leur activité : ils produisent de plus en plus de programmes malveillants, ils les mettent à jour plus souvent (plusieurs fois par jour) et ils augmentent leur taille et leur complexité. Certains programmes malveillants sont aussi complexes que des applications commerciales.

Un système sécurisé, de par sa conception même

Pour que Windows profite des meilleures pratiques existantes en matière de conception, de développement et de test des outils de sécurité, nous utilisons le processus Security Development Lifecycle (SDL). En voici les grands principes :

  • Modélisation des menaces et examen des architectures de sécurité. Pendant la phase de conception, nous étudions la manière dont les criminels cherchent à attaquer les fonctionnalités du système à travers différents scénarios, et nous intégrons cette analyse à notre architecture.
  • Écriture de code sécurisé. La formation et les outils de gestion de la qualité du code contribuent à éradiquer les problèmes de codage courants du code source de Windows.
  • Tests de pénétration. Les ingénieurs spécialisés en sécurité adoptent le point de vue des assaillants pour analyser un ensemble complet de fonctionnalités sous forme de scénario.
  • Analyses de la sécurité du code. Les ingénieurs spécialisés en sécurité réalisent des analyses supplémentaires de la sécurité du code pour les composants les plus sensibles.
  • Outils de sécurité. Les outils font l'objet de mises à jour très régulières et exploitent les dernières avancées en matière de détection et d'exploitation des logiciels, afin de fournir une solution évolutive permettant d'améliorer le code existant.

Des failles de sécurité plus difficiles à exploiter dans Windows 8

Avec Windows XP SP2, nous avons commencé à mettre en place des mesures de prévention, qui rendent plus difficile l'exploitation des failles de sécurité. Par la suite, chaque version de Windows a élargi et amélioré ces mesures de prévention : une seule mesure peut repousser de nombreuses attaques par code malveillant exploitant des failles de sécurité. Windows 8 intègre des améliorations en matière de prévention, qui réduisent encore plus les risques liés aux attaques courantes. Voici quelques-unes de ces améliorations :

  • Address Space Layout Randomization (ASLR). La technologie ASLR introduite dans Windows Vista modifie de façon aléatoire l'emplacement en mémoire de la plupart du code et des données, de sorte que le code malveillant ne puisse pas connaître à l'avance l'adresse du code et des données sur tous les PC. Dans Windows 8, nous avons étendu la protection ASLR à d'autres parties de Windows et introduit différentes améliorations. L'une d'entre elles accroît « l'aléatoirité » des adresses, ce qui permet de repousser de nombreuses techniques d'attaque connues visant à contourner la protection ASLR.
  • Noyau Windows. Dans Windows 8, de nombreuses mesures de prévention qui auparavant s'appliquaient uniquement aux applications en mode utilisateur s'appliquent désormais au noyau Windows. Elles renforcent la protection contre certains types courants de menaces. Par exemple, nous empêchons désormais les processus exécutés en mode utilisateur d'allouer les premiers 64 Ko de la mémoire de traitement, empêchant ainsi l'exploitation d'une classe complète de failles de sécurité liées au déréférencement de NULL en mode noyau. Nous avons également ajouté des contrôles d'intégrité au dispositif d'allocation de la mémoire de réserve du noyau, afin de prévenir les attaques visant à endommager la mémoire de réserve du noyau.
  • Tas binaire de Windows. Une certaine quantité de mémoire est allouée de façon dynamique aux applications à partir du tas binaire du mode utilisateur de Windows. Le tas binaire de Windows 8 a été revu en profondeur, ce qui renforce significativement la protection, car de nouveaux contrôles d'intégrité sont mis en œuvre pour assurer la protection contre de nombreuses techniques exploitant les failles de sécurité. Par ailleurs, le tas binaire de Windows modifie désormais de façon aléatoire l'ordre des allocations, de sorte que le code malveillant exploitant des failles de sécurité ne puisse pas prévoir la position des objets. Le principe est le même qu'avec la fameuse technologie ASLR. Nous avons également ajouté des pages de garde à certains types d'allocations de tas binaire, pour mieux faire face aux techniques d'exploitation de failles de sécurité s'appuyant sur les dépassements de tas binaire.
  • Internet Explorer. Au cours de ces deux dernières années, près de 75 % des vulnérabilités signalées dans Internet Explorer étaient des vulnérabilités de type « use-after-free ». Pour Windows 8, nous avons mis en place différents dispositifs de protection supplémentaires dans Internet Explorer afin d'empêcher l'assaillant de créer une table de fonction virtuelle non valide, ce qui rend les attaques plus difficiles. Internet Explorer profitera également des améliorations apportées à la technologie ASLR et introduites dans Windows 8.

Des PC plus difficiles à infecter

Tous les appareils connectés à Internet doivent désormais disposer d'une protection efficace contre les programmes malveillants. La quasi-totalité des PC Windows sont vendus avec une solution anti-programmes malveillants traditionnelle, mais il s'agit le plus souvent d'une version d'évaluation ou d'une version temporaire.

Peu après la commercialisation de Windows 7 en octobre 2009, nous avons constaté, grâce à nos données télémétriques, que tous les PC exploitant Windows 7 disposaient d'une solution anti-programmes malveillants à jour. Cependant, cette proportion a diminué mois après mois, à mesure qu'expiraient les abonnements offerts dans les versions d'évaluation de ces solutions. Un an après, au moins 24 % des PC sous Windows 7 ne disposaient d'aucune protection à jour contre les programmes malveillants. Nos données montrent que les PC qui ne sont plus protégés tendent à rester sans protection pendant de longues périodes. En outre, lorsqu'une solution anti-programmes malveillants n'a pas été mise à jour depuis une semaine, sa capacité à lutter contre les nouveaux programmes malveillants est considérablement réduite.

De notre point de vue, tous les utilisateurs de Windows 8 doivent se protéger en utilisant une solution anti-programmes malveillants traditionnelle, offrant un niveau de protection optimal et reconnu. Il existe de nombreuses solutions anti-programmes malveillants de qualité sur le marché. Nous sommes convaincus qu'elles seront mises à jour pour protéger les PC utilisant Windows 8 et que la plupart des fabricants de PC continueront à pré-installer ces solutions sur leurs ordinateurs.

Windows Defender

Si vous n'avez pas installé une autre solution, Windows 8 peut assurer la protection de votre ordinateur grâce à une version encore plus performante de Windows Defender.

Protection renforcée contre tous les types de programmes malveillants. Les améliorations apportées à Windows Defender contribuent à vous protéger contre tous les types de programmes malveillants (virus, vers, bots, rootkits, etc.) en exploitant l'ensemble des signatures du Centre de protection Microsoft contre les programmes malveillants. Ces signatures sont obtenues régulièrement via Windows Update, en même temps que la dernière version du moteur anti-programmes malveillants de Microsoft. Cet ensemble étendu de signatures constitue une amélioration significative par rapport aux versions précédentes, qui incluaient uniquement les signatures des logiciels espions, des logiciels de publicité et des logiciels potentiellement indésirables.

Par ailleurs, Windows Defender assure désormais la détection en temps réel des menaces issues de programmes malveillants, ainsi que la protection contre ces menaces, par le biais d'un filtre de système de fichiers. Il s'intègre au dispositif de démarrage sécurisé de Windows, autre nouveauté de Windows 8 en matière de protection.

Lorsque vous utilisez un PC prenant en charge le démarrage sécurisé UEFI (défini dans la spécification UEFI 2.3.1), le démarrage sécurisé de Windows assure la sécurité de tous les microprogrammes et de toutes leurs mises à jour, et garantit que le chemin de démarrage de Windows n'a pas été falsifié, jusqu'au chargement du pilote de la solution anti-programmes malveillants. Pour ce faire, seul le code correctement signé et validé est chargé dans le chemin de démarrage. Ainsi, le code malveillant ne peut pas être chargé lors du démarrage ou de la reprise du système, et vous êtes mieux protégé contre les virus de secteur de démarrage et les virus du chargeur de démarrage, mais aussi contre les bootkits et rootkits qui essaient de se charger sous forme de pilotes.

Pour mieux protéger les utilisateurs de Windows, nos partenaires éditeurs de solutions anti-programmes malveillants peuvent utiliser les mêmes interfaces de démarrage sécurisé que celles utilisées par Windows Defender, ainsi que les API utilisées par Windows Defender.

  • Expérience utilisateur améliorée. Windows Defender a été conçu pour être le moins intrusif possible dans le cadre d'une utilisation quotidienne. Les notifications apparaissent uniquement lorsque vous devez intervenir ou lorsque vous devez prendre connaissance d'informations extrêmement importantes. Pour limiter les interruptions, Windows Defender utilisera également le nouveau planificateur de maintenance de Windows 8.
  • Performances améliorées. Les technologies traditionnelles utilisées par les solutions anti-programmes malveillants ralentissent bien souvent les performances du système. Dans certains scénarios courants (copie de fichiers, démarrage, etc.), il n'est pas rare de constater un doublement de la durée de l'opération lorsqu'une telle solution est installée. Comme vous l'avez peut-être lu dans ce billet publié la semaine dernière, de nombreuses équipes d'ingénieurs travaillent à l'amélioration des performances du système. À ce titre, Windows Defender améliore significativement les performances dans la plupart des principaux scénarios, par rapport aux solutions anti-programmes malveillants courantes utilisées sous Windows 7, tout en assurant une protection renforcée. Par exemple, lorsque toutes les fonctions de protection de Windows Defender sont activées, le temps de démarrage n'est allongé que de 4 %. Le temps processeur lors du démarrage est réduit de 75 %, les transferts d'entrée-sortie sur les disques sont réduits d'environ 50 Mo et la plage de travail maximale d'environ 100 Mo.

Ces améliorations contribuent à améliorer l'efficacité énergétique du système. Par conséquent, Windows Defender consomme moins d'électricité et optimise l'autonomie de votre batterie.

Nous allons continuer à travailler avec les éditeurs de solutions anti-programmes malveillants tout au long du développement de Windows 8, pour que vous puissiez profiter au mieux de votre PC Windows, quelle que soit la solution que vous choisirez d'installer. Nous fournissons différentes ressources à ces éditeurs (détails techniques sur l'architecture des améliorations de performance apportées à Windows Defender, par exemple), pour qu'ils puissent apporter les mêmes améliorations à leurs produits.

Microsoft SmartScreen pour Internet Explorer, mais aussi pour Windows

Les solutions anti-programmes malveillants traditionnelles jouent un rôle essentiel dans la protection préventive et réactive face aux attaques. Cependant, les technologies basées sur la réputation peuvent elles aussi s'avérer très efficaces dans la protection contre les attaques par ingénierie sociale, avant la publication des signatures anti-programmes malveillants traditionnelles, en particulier lorsque les programmes malveillants tentent de se faire passer pour des logiciels légitimes.

Windows 8 contribue à vous protéger en exploitant des technologies basées sur la réputation, aussi bien lors du lancement d'applications que lors de la navigation avec Internet Explorer.

Depuis sa publication, le filtre SmartScreen a utilisé la réputation des URL pour mieux protéger les utilisateurs d'Internet Explorer contre plus de 1,5 milliard de tentatives d'attaques opérées par des programmes malveillants et plus de 150 millions de tentatives d'attaque par hameçonnage. La nouvelle fonctionnalité de réputation des applications, ajoutée au filtre SmartScreen d'Internet Explorer 9, offre une couche de protection supplémentaire, pour vous permettre de prendre les bonnes décisions lorsque les dispositifs de réputation des URL et les solutions anti-programmes malveillants traditionnelles ne permettent pas de détecter l'attaque. Les données télémétriques montrent que 95 % des utilisateurs d'Internet Explorer 9 choisissent de supprimer ou de ne pas exécuter les programmes malveillants lorsqu'un avertissement SmartScreen concernant la réputation d'une application s'affiche.

Nous savons bien qu'Internet Explorer n'est pas le seul moyen de télécharger des applications sur Internet. Aussi, Windows utilise désormais la technologie SmartScreen pour vérifier la réputation de l'application lorsque vous lancez pour la première fois une application issue d'Internet.

Dans Windows 7, lorsque vous lancez ces applications téléchargées, la notification suivante s'affiche :

Avertissement de sécurité dans Windows 7, affichant le message suivant : « L’éditeur n’a pas pu être vérifié. Voulez-vous vraiment exécuter ce logiciel ? Exécuter/Annuler. Ce fichier ne comporte pas de signature numérique valide authentifiant son éditeur. », etc.

Dans Windows 8, le filtre SmartScreen vous avertit uniquement lorsque vous exécutez une application pour laquelle aucune réputation n'a été établie pour le moment et qui présente donc un risque plus important :

Avertissement de sécurité dans Windows 8 Developer Preview, qui affiche un message similaire au message suivant : « Windows a protégé votre PC. Windows SmartScreen a empêché le démarrage d'un programme non reconnu. En exécutant ce programme, vous faites courir un risque à votre ordinateur. » La boîte de dialogue contient aussi deux boutons : Exécuter quand même et Ne pas exécuter.

Lorsque vous exécutez des applications dont la réputation a été établie, le fonctionnement est très simple : il vous suffit de cliquer dessus et de l'exécuter. Le message qui s'affiche dans Windows 7 dans une telle situation ne s'affiche plus.

SmartScreen utilise un marqueur placé sur les fichiers lors du téléchargement afin de déclencher un contrôle de réputation. Les principaux navigateurs Web ainsi que de nombreux clients de messagerie et services de messagerie instantanée ajoutent déjà ce marqueur, appelé MOTW (Mark of the Web) aux fichiers téléchargés.

En moyenne, les utilisateurs verront le message SmartScreen moins de deux fois par an. Lorsque le message s'affichera, il signalera un risque plus élevé. Les données télémétriques montrent que 92 % des applications téléchargées via Internet Explorer 9 ont déjà une réputation bien établie et ne génèrent pas d'avertissement. Les mêmes données montrent que lorsqu'un avertissement lié à la réputation d'une application est affiché, le risque d'être victime d'une infection en exécutant cette application est de 25 à 70 %. Le filtre SmartScreen met à votre disposition des contrôles d'administration pour empêcher les non-techniciens ou les enfants d'ignorer ces avertissements.

Cette approche a abouti à des résultats très satisfaisants dans Internet Explorer et nous sommes ravis de l'élargir à d'autres aspects de Windows.

Voici une vidéo montrant Windows Defender et les fonctionnalités SmartScreen de réputation des URL et des applications en action :

Votre navigateur ne prend pas en charge les vidéos HTML5.

Téléchargez cette vidéo pour la regarder sur votre lecteur habituel :
MP4 haute qualité | MP4 faible qualité

Dans Windows 8, nous avons considérablement élargi notre approche vis-à-vis de l'amélioration du niveau de protection contre les programmes malveillants : désormais, nous utilisons les processus SDL pour sécuriser le système dès sa conception, nous mettons en place des mesures de prévention et nous les mettons régulièrement à jour pour mieux vous protéger contre le code malveillant exploitant des failles de sécurité, nous avons apporté diverses améliorations à Windows Defender pour assurer une protection en temps réel contre tous types de programmes malveillants et nous exploitons la réputation des URL et des applications pour renforcer votre protection contre les attaques par ingénierie sociale.

Merci !

--Jason Garms