0024-MAG24 Dec - Flipbook - Page 52
FOCUS
Virtualisation
ENCLAVE VBS,
DERNIER REMPART
DE LA SÉCURITÉ WINDOWS
Récemment, Microsoft a annoncé des efforts pour améliorer la sécurité de son assistant
d’intelligence artificielle Recall. De nombreux détails n’ont pas été une surprise
car ils s’appuient sur des outils et des services existants, mais la fonctionnalité
la plus importante d’enclaves de sécurité basée sur la virtualisation (VBS) est inédite
et cela vaut la peine de s’y intéresser.
Simon Bisson, IDG NS (adapté par Dominique Filippone)
BS Enclaves constitue l’un des
derniers efforts déployés par
Microsoft pour utiliser la virtualisation afin de sécuriser Windows en
isolant les fonctions critiques dans
des machines virtuelles chiffrées
à l’aide de son hyperviseur de bas
niveau Krypton. Ce dernier est un
élément important du Windows moderne, car il permet aux
machines virtuelles et au système d’exploitation hôte de partager un planificateur, ce qui isole du reste du système d’exploitation des fonctions telles que la connexion à Windows.
Elles peuvent ainsi continuer à s’exécuter comme des
fonctions Windows tout en protégeant les mots de passe
et les informations biométriques. Elles restent isolées, et
les logiciels malveillants qui s’exécutent dans l’instance
Windows hôte ne peuvent pas y accéder. Krypton est à
la base d’une grande partie de la sécurité matérielle de
Windows 11. Il travaille avec les modules de plateforme de
confiance (TPM) du PC pour gérer les clés de chiffrement,
les signatures numériques et les hachages de vérification.
Il s’agit d’un moyen de réduire considérablement le risque
de fuite d’informations sensibles de votre PC, ainsi que le
risque que des logiciels malveillants remplacent ce qui
serait normalement des fonctions Windows de confiance.
V
La sécurité basée sur la virtualisation (VBS) est dans
le collimateur de Microsoft depuis longtemps, avec un
52 / décembre 2024 / janvier / février 2025
héritage qui remonte à Windows Server 2016 et à l’introduction des conteneurs Secure Windows. Bien que
la prise en charge par Windows de Docker et d’autres
outils d’isolation des applications basées sur des conteneurs ait permis une certaine forme d’isolation des processus, elle n’était pas parfaite. Les conteneurs Secure
Windows ont mélangé à la fois les conteneurs et l’outil
de sécurité d’Hyper-V pour ajouter plus d’isolation en
hébergeant des conteneurs sécurisés dans une machine
En planifiant et en isolant la partie sensible
d’une charge de travail, il est possible de la confiner
dans une enclave VBS.
