Les PC domestiques peuvent être confrontés à des menaces très différentes de celles des machines professionnelles. C’est pourquoi Microsoft et ses partenaires fabricants ont développé le Secured-Core PC pour les entreprises. Toutefois, certaines de leurs fonctions de sécurité sont incluses dans toutes les versions de Windows 11. Voyons comment un PC Secured-Core se compare à votre ordinateur portable à la maison.
Sommaire
Les bases de la sécurité
La sécurité sur Windows 11 commence par les éléments de base pour rester en sécurité, que Microsoft appelle les lignes de base de sécurité. Ces lignes de base peuvent varier en fonction des types d’appareils et des menaces spécifiques à un secteur d’activité, comme la sécurité du Web ou la protection des données confidentielles.
Le terme « lignes de base de sécurité » concerne spécifiquement les machines Windows Pro, mais il existe néanmoins des éléments de base que la plupart des PC modernes, y compris les appareils Windows 11 Home, utilisent pour rester en sécurité. Un exemple est le module de plateforme de confiance version 2.0 (TPM 2.0), que Microsoft a commencé à exiger pour les machines Windows 11. Le TPM est une fonction de sécurité matérielle qui stocke les clés de chiffrement de manière sécurisée pour authentifier le matériel et les logiciels, activer le chiffrement BitLocker s’il est disponible, ainsi que protéger l’identité biométrique et d’autres données.
La fonctionnalité de base suivante est Secure Boot, qui permet uniquement l’exécution de systèmes d’exploitation signés (connus). Cela permet d’éviter les rootkits et autres logiciels malveillants qui pourraient infecter le système. Windows Hello, avec l’authentification biométrique de l’identité, est également considéré comme un élément de base essentiel.
Enfin, il y a le cryptage de disque BitLocker, qui protège vos données lorsqu’elles ne sont pas utilisées. BitLocker n’est pas disponible pour les PC domestiques Windows 11, mais certains prennent en charge une version allégée appelée Windows Device Encryption.
COMMENT UTILISER LES OPTIONS DE DÉMARRAGE AVANCÉES POUR RÉPARER UN PC WINDOWS 11
Que sont donc les PC Secured-Core ?
Microsoft et ses partenaires destinent les PC Secured-Core aux personnes qui ont besoin d’un niveau de sécurité plus élevé en raison de leur secteur ou de leur profession. Les gouvernements peuvent vouloir un PC Secured-Core pour traiter des informations hautement privilégiées, par exemple, tout comme les banques, les entreprises dont la propriété intellectuelle est très recherchée ou les ingénieurs travaillant sur des infrastructures critiques.
Ces personnes peuvent être confrontées à des menaces avancées, notamment des attaques ciblées et physiques contre leurs machines afin de dérober des données importantes ou des données d’authentification. Secured-Core se concentre sur un large éventail d’attaques potentielles contre les microprogrammes, qui (lorsqu’elles sont réussies) peuvent rester sur une machine même après l’effacement du système d’exploitation ou le remplacement de composants.
Quels sont donc les niveaux de sécurité supplémentaires dont vous bénéficiez avec Secured Core ? La protection de l’accès à la mémoire en est un exemple. Elle protège contre les attaques par accès direct à la mémoire (DMA) lorsqu’un dispositif malveillant se connecte à un PC via Thunderbolt, PCIe ou une autre interface à haut débit pour accéder directement à la mémoire.
À partir de là, il peut exécuter des logiciels malveillants, essayer d’obtenir des clés de chiffrement ou prendre le contrôle du système. Microsoft a montré un exemple de la façon dont cela pouvait être fait et comment la protection de l’accès à la mémoire atténue ces attaques lors du Microsoft Ignite en 2020. Pour qu’une attaque DMA fonctionne, l’attaquant doit généralement commencer par un accès physique à un appareil vulnérable. De toute évidence, la plupart d’entre nous n’ont pas à craindre qu’un espion d’entreprise se glisse dans notre chambre d’hôtel pour pirater notre ordinateur portable. Les entreprises et les gouvernements, en revanche, doivent s’en préoccuper.
Une autre caractéristique des PC Secured Core est la sécurité basée sur la virtualisation (VBS), et l’intégrité du code de l’hyperviseur, dont le principal attrait est l’intégrité de la mémoire, une fonction de sécurité optionnelle dans Windows 11 Home. Sur les PC Secured-Core, cette fonction est activée par défaut, et les PC et ordinateurs portables pré-construits plus récents équipés de Windows 11 Home peuvent également l’activer. Cependant, les systèmes plus anciens qui ont été mis à niveau vers Windows 11 ne le sont généralement pas.
Pour empêcher toute compromission malveillante de votre système, l’Intégrité de la mémoire exécute les processus clés dans un environnement virtuel afin de les isoler du système et de réduire les risques d’attaque malveillante. Pour ce faire, cependant, il utilise les capacités de virtualisation du PC.
Cela signifie que vous pouvez rencontrer des problèmes si vous exécutez des machines virtuelles via des programmes tels que VirtualBox, ou si vous essayez d’overclocker votre système avec quelque chose comme Ryzen Master. Le plus souvent, Memory Integrity n’est pas compatible avec ces programmes. Si vous rencontrez des problèmes, vous devrez soit démarrer en mode sans échec pour désactiver l’intégrité de la mémoire, ou même courir pour ouvrir la sécurité de Windows et désactiver la fonction avant que l’écran bleu de la mort n’éclabousse votre écran.
L’intégrité de la mémoire ne fonctionnera pas non plus si vous avez du matériel ancien avec des pilotes obsolètes. La bonne nouvelle est que si vous avez un problème de pilote, Windows vous en avertira et ne vous permettra pas d’activer l’intégrité de la mémoire tant que le problème ne sera pas résolu.
Si, après toutes ces mises en garde, vous souhaitez essayer d’activer l’intégrité de la mémoire sur votre PC domestique Windows 11 mis à niveau, ouvrez l’application Sécurité Windows en cliquant sur Démarrer > Toutes les applications > Sécurité Windows.
« Sécurité Windows » dans une liste d’applications dans Windows 11
Sur la barre de gauche, sélectionnez Sécurité des périphériques, puis sur la page qui apparaît sous Isolation du noyau, sélectionnez le lien « Détails de l’isolation du noyau ».
L’application Sécurité Windows montrant l’option de menu Sécurité des périphériques et l’option Core Isolation.
Enfin, sous Intégrité de la mémoire, faites glisser le curseur de Off à On.
Windows 11 vous demandera alors de redémarrer votre machine. Après cela, que le destin soit avec vous.
Deux autres fonctionnalités majeures de Secured Core sont System Guard et Dynamic Root of Trust Measurement (DRTM). Ces deux fonctions fonctionnent ensemble pour garantir que le système reste sécurisé pendant le démarrage et le fonctionnement.
System Guard se concentre sur la protection de l’intégrité du système informatique pendant le démarrage et s’assure ensuite que le système est dans un bon état grâce à des méthodes de vérification locales et à distance. Cela inclut la possibilité pour le service informatique d’analyser à distance les résultats du processus de démarrage d’un système en utilisant les données stockées et protégées sur le périphérique par le TPM 2.0.
DRTM est une partie de System Guard. Il permet au système de démarrer dans un état non fiable (du point de vue de Windows) pour éviter d’avoir à vérifier et à mettre sur une liste blanche toutes les variantes possibles du BIOS d’une carte mère. Puis, peu de temps après le démarrage, DRTM s’assure que toutes les unités centrales du système empruntent un chemin connu et fiable pour faire fonctionner le système.
Pour en savoir plus sur les détails techniques de System Guard et DRTM, consultez la documentation en ligne de Microsoft.
Descendre jusqu’au métal nu
Fondamentalement, un PC à cœur sécurisé permet de lutter contre les menaces avancées qui tentent d’introduire en douce des logiciels malveillants avant le chargement du système d’exploitation. Il s’agit d’une caractéristique essentielle pour les PC qui contiennent des données critiques liées, par exemple, à la sécurité énergétique ou à une propriété intellectuelle extrêmement précieuse.
Certaines de ces fonctions, ou des fonctions similaires, sont disponibles pour les PC domestiques Windows, et si vous achetez un nouveau PC, beaucoup d’entre elles seront activées par défaut. Si vous avez construit votre système ou effectué une mise à niveau depuis Windows 10, elles ne seront souvent pas activées, mais vous pouvez les activer. Secure Boot est une évidence, mais l’intégrité de la mémoire doit être traitée avec prudence, en particulier sur les anciennes machines.
Vous pouvez consulter une liste des PC Secured-Core disponibles sur le site de Microsoft.