Un OS sécurisé et stable dans un monde connecté
Dans un ordinateur moderne et polyvalent, le système d’exploitation doit offrir une base fonctionnelle stable, ouverte et sécurisée. Pour répondre à ces exigences, Microsoft a étendu les prérequis de la configuration de base à des fonctions assurant la sécurité et la stabilité du système.
Annoncé pour la fin de cette année, Windows 11 est l’ultime itération d’une longue lignée du système d’exploitation le plus utilisé dans le monde. D’après les chiffres publiés par Statista, en juin 2021, Windows dominait le marché des systèmes d’exploitation avec une part de marché d’un peu moins de 73 %, loin devant son second Apple MacOS. Windows est également dominant sur le marché des serveurs avec une part de marché de 72 % en 2019 toujours selon Statista. C’est dire l’importance pour les entreprises de toute évolution de cet OS.
La sortie de Windows 11 intervient dans une période compliquée durant laquelle la transformation numérique s’est accélérée et les usages ont évolué avec le télétravail et la mobilité. Le cloud fournit l’accès à un ensemble d’outils standardisés, notamment des serveurs de stockage, des applications et des services numériques. À ce titre, le cloud est devenu une extension naturelle du SI de l’entreprise. Alors qu’auparavant les systèmes d’exploitation dialoguaient avec les serveurs dans un modèle client-serveur, à présent cette architecture représente une seule aire technologique du point de vue de la sécurité, soit le périmètre à défendre.
Un périmètre sécuritaire qui s’étend…
Windows 11 devra donc s’insérer dans un écosystème technologique qui devient de plus en plus complexe, avec des usages qui évoluent constamment et des préoccupations sécuritaires de plus en plus prégnantes. Entre l’avènement de l’Internet puis du cloud, de la virtualisation et des services en ligne, des nouveaux modes de travail hybrides et collaboratifs ainsi que la recrudescence des attaques cyber, cette évolution de Windows 10 doit se conformer à de nouvelles exigences fonctionnelles et sécuritaires pour l’adapter aux usages changeants.
Les services informatiques scrutent avec attention toutes ces évolutions pour mesurer l’impact de la migration sur leur SI. Avec l’avènement du télétravail et le recours aux ordinateurs et périphériques des utilisateurs, le périmètre sécuritaire à défendre a dû être étendu pour intégrer les plateformes et les périphériques les plus exotiques. Ceci dans le meilleur des cas, car beaucoup de configurations utilisées lors du premier confinement étaient obsolètes. Des configurations sur lesquelles le service informatique n’avait pas la main.
… et des mécanismes sécuritaires qui s’empilent
C’est la raison pour laquelle Microsoft a fixé un certain nombre de prérequis matériels pour Windows 11. Windows 11 comporte ainsi plusieurs couches sécuritaires allant de la procédure d’amorçage aux applications en passant par les pilotes. Cela a toujours été le cas pour les versions précédentes, mais cette fois-ci l’éditeur de Windows a orienté les travaux de ses développeurs pour répondre aux préoccupations sécuritaires et de compatibilité/fiabilité. Les exigences du nouvel OS sont ainsi étendues à des fonctions spécifiques.
Par exemple la sécurité est désormais renforcée par des prérequis matériels multiples. Dorénavant, pour faire tourner l’OS en toute sécurité, il faudra du matériel capable d’activer des protections telles que l’authentification biométrique, le chiffrement des périphériques, la sécurité basée sur la virtualisation (VBS), l’intégrité du code protégée par l’hyperviseur (HVCI) et le démarrage sécurisé. Microsoft affirme que la combinaison de ces contre-mesures réduit de 60 % les nuisances des logiciels malveillants sur les appareils testés.
Dans le schéma sécuritaire tel qu’implémenté dans Windows 11, les dispositifs compatibles VBS et HVCI servent à se protéger des attaques avancées. Par exemple, les attaques par escalade de privilèges visent souvent les informations sensibles stockées en mémoire. Ces types d’attaques peuvent transformer une compromission mineure en mode utilisateur en une compromission dévastatrice.
Une puce TPM 2.0 est indispensable
La configuration minimale pour faire tourner Windows 11 et ses applications représente une base en deçà de laquelle Microsoft ne garantit pas un fonctionnement optimal. La configuration typique Windows 11 doit ainsi comprendre l’un des processeurs officiellement approuvés et inscrits dans les trois listes de compatibilité. Celles-ci correspondent aux trois marques de CPU : Intel, AMD et Qualcomm.
Pour répondre aux exigences de sécurité, tous les processeurs pris en charge par Windows 11 doivent avoir TPM 2.0 intégrée et supporter Secure Boot.
Pour le reste, la mémoire vive doit être d’au moins 4 Go, le stockage de 64 Go au minimum, ainsi qu’un processeur graphique compatible avec DirectX 12 et Windows Display Driver Model 2.0 ou ultérieur. En règle générale, si vous achetez un ordinateur neuf d’ici la sortie du nouvel OS, il sera probablement compatible avec Windows 11. Pour répondre aux exigences de sécurité, tous les processeurs pris en charge par Windows 11 doivent avoir TPM 2.0 (Trusted Platform Module 2.0) intégrée et supporter Secure Boot. Secure Boot est une fonction de sécurité intégrée à l’UEFI. Il fournit un environnement sécurisé pour démarrer Windows et empêcher les logiciels malveillants de détourner le système pendant le processus de démarrage. TPM est une norme ISO du Trusted Computing Group adoptée par l’ensemble de l’industrie.
Pour lutter contre les attaques les plus sophistiquées, Microsoft a développé une sécurité basée sur la virtualisation (VBS) et l’intégrité du code protégée par l’hyperviseur (HVCI, également appelée intégrité de la mémoire). VBS et HVCI créent et isolent une portion de mémoire du système d’exploitation en utilisant les capacités de virtualisation matérielle. Cette capacité de sécurité peut stopper la plupart des attaques par escalade de privilèges. Les sous-systèmes de sécurité s’exécutant dans l’environnement isolé fourni par l’hyperviseur, ils peuvent aider à appliquer les protections HVCI, notamment en empêchant les pages de mémoire du noyau d’être à la fois accessibles en écriture et exécutables.
Faciliter l’intervention des services informatiques
Lors du premier confinement, les services informatiques ont été un rouage essentiel pour assurer la continuité de l’activité. Ils ont toutefois été confrontés à des demandes d’assistance qui ont explosé du fait de problèmes de configuration applicatifs et matériels. Pour réduire ce genre de problèmes de compatibilité, Microsoft a fixé une base matérielle destinée à assurer la compatibilité avec les périphériques et les applications. Sachant que Windows 11 devra faire tourner des applications Android, certes dans un environnement virtualisé, la compatibilité revêt une importance capitale.
Afin de minimiser les incompatibilités matérielles, les ordinateurs Windows 11 doivent proposer la base matérielle définie par Microsoft. Un choix dans la liste des processeurs compatibles permet de s’assurer qu’ils sont compatibles avec le nouveau modèle de pilotes Windows. Supporté par les partenaires OEM et les fabricants de puces, le nouveau modèle de pilotes Windows assure un taux de compatibilité de 99,8 %, affirme Microsoft.
En proposant une nouvelle version remaniée avec plus de mécanismes de sécurité et de fiabilisation, Microsoft s’efforce de donner les plus de garanties sécuritaires et de stabilité possibles dans un environnement technologique qui devrait se métamorphoser dans les prochaines années. Sous l’effet de l’évolution des technologies d’interfaçage humain/machine, la virtualisation, les commandes vocales et gestuelles ainsi que l’intégration de fonctions cognitives devraient radicalement modifier le mode de fonctionnement et d’interaction avec son ordinateur. Windows 11 est-il le dernier représentant d’une lignée d’OS dont le fonctionnement est basé sur le clavier et la souris ?