Beaucoup de VM, très sécurisé : La sécurité basée sur la virtualisation (VBS) est une fonctionnalité de sécurité controversée activée par défaut lors de l’installation de Windows 11. En transformant le système d’exploitation en une machine virtuelle exécutée sur l’hyperviseur Hyper-V, la protection et l’intégrité des données sont considérablement améliorées, bien que les performances soient affectées négativement.
Il est généralement conseillé aux joueurs et aux utilisateurs traditionnels de désactiver la virtualisation basée sur VBS et Hyper-V pour obtenir une amélioration notable des performances dans les jeux et les logiciels classiques. Cependant, Microsoft est catégorique sur le fait que VBS peut grandement améliorer la sécurité dans Windows 10/11. La société introduit désormais une autre fonctionnalité basée sur VBS appelée enclaves VBS, qui peut fournir une toute nouvelle façon de créer des applications lorsque la protection des données est la priorité absolue.
Une enclave VBS est un « environnement d’exécution sécurisé (TEE) basé sur un logiciel au sein d’une application hôte », explique Microsoft. Grâce à Hyper-V, VBS peut créer un environnement avec un niveau de privilège plus élevé que le système d’exploitation exécuté dans une machine virtuelle au-dessus de l’hyperviseur. Les enclaves VBS permettent aux développeurs de protéger des parties spécifiques de leurs applications à l’aide de fichiers DLL (Dynamic Link Library) qui peuvent être chargés par n’importe quel programme Windows standard.
L’environnement virtuel isolé et privilégié créé par VBS via l’hyperviseur Hyper-V est connu sous le nom de Virtual Trust Level 1 (VTL1), que Microsoft décrit comme la « racine de confiance du système d’exploitation ». L’environnement Windows traditionnel fonctionne à un niveau de privilège inférieur (VTL0), tandis que VTL1 est divisé en mode utilisateur isolé et Core sécurisé.
Une installation Windows virtualisée héberge la plupart de ses fonctions de sécurité dans VTL1, et les enclaves VBS peuvent également être utilisées pour isoler des parties d’une application dans VTL1. Aucun élément exécuté dans VTL0 ne devrait pouvoir accéder à l’enclave sécurisée de VTL1, ce qui permet aux développeurs de protéger les « secrets » tels que les mots de passe, de sceller les données et d’effectuer des opérations de décryptage dans un environnement isolé et sans pirates informatiques, du moins en théorie.
La création et l’utilisation de logiciels conçus pour utiliser des enclaves VBS reposent sur des exigences spécifiques en matière d’appareils, notamment une installation Windows virtualisée avec la fonctionnalité VBS/HVCI activée. Windows 11 ou Windows Server 2019 est également requis. Les développeurs doivent utiliser Visual Studio 2022 version 17.9 ou ultérieure pour coder leur projet, et ils devront signer leur code VBS avec un « certificat d’enclave » fourni par Microsoft.
Bien qu’elles offrent une sécurité considérablement améliorée, les enclaves VBS sont conçues pour avoir un accès limité aux API Windows. Microsoft a choisi de fournir une gamme limitée de fonctionnalités pour exposer une surface d’attaque plus petite aux cybercriminels, ce qui devrait, à son tour, faciliter le maintien de l’intégrité de VTL1. Les codeurs ne doivent pas faire confiance à l’hôte lors de la conception de leurs enclaves VBS, car un fichier DLL peut potentiellement être chargé par n’importe quel programme et pas seulement par « l’application hôte prévue ».
Détente, découvrez l’évolution du nombre de smartphones vendus par marque au fil du temps dans la vidéo ci-dessous :
