Microsoft prépare une modification en profondeur de l'architecture de Windows pour en améliorer la stabilité. En déplaçant les logiciels de sécurité hors du noyau système, la firme de Redmond espère éviter qu'une simple mise à jour défectueuse ne paralyse à nouveau des millions d'ordinateurs.
- Microsoft revoit l'architecture de Windows pour améliorer la stabilité en déplaçant les logiciels de sécurité hors du noyau.
- Cette initiative fait suite à une panne mondiale causée par une mise à jour défectueuse de l'antivirus CrowdStrike.
- Une nouvelle plateforme de sécurité est en développement, avec la collaboration de partenaires comme Bitdefender et Trend Micro.
Le souvenir de la panne mondiale provoquée par une mise à jour de l'antivirus CrowdStrike, qui a mis hors service 8,5 millions de PC Windows, est encore vif. Cet incident a mis en lumière la vulnérabilité d'un système où les logiciels de sécurité opèrent au plus profond de l'OS, au niveau du kernel (le noyau). Pour parer à cette éventualité, Microsoft a lancé une initiative majeure visant à revoir les autorisations accordées à ces applications critiques.
Une réponse directe à la panne de CrowdStrike
Depuis des années, les solutions antivirus et les outils de endpoint detection and response (EDR) s'intègrent directement au noyau de Windows. Cet accès de bas niveau leur confère une grande efficacité pour surveiller et bloquer les menaces, car le noyau est le cœur du système d'exploitation, avec un accès illimité à la mémoire et au matériel.
Cependant, ce privilège comporte un risque majeur : une seule erreur de code dans un pilote s'exécutant à ce niveau peut entraîner une instabilité complète du système. Le résultat est souvent un plantage critique, matérialisé par le tristement célèbre Blue Screen of Death (BSOD), ou « écran bleu de la mort ».
L'incident de CrowdStrike a été l'illustration parfaite de ce danger, paralysant des entreprises et des services publics dans le monde entier. En réaction, Microsoft a décidé de repenser fondamentalement cette architecture pour isoler davantage ces applications tierces et ainsi protéger l'intégrité de son système d'exploitation.
Vers un écosystème de sécurité plus stable
La solution de Microsoft consiste à sortir les logiciels de sécurité du noyau pour les faire fonctionner en user mode (mode utilisateur), à l'instar de la majorité des applications classiques. Pour ce faire, l'entreprise développe une nouvelle plateforme de sécurité pour les points de terminaison (Windows endpoint security platform). Une version préliminaire privée est actuellement mise à la disposition des éditeurs de sécurité partenaires pour qu'ils puissent commencer à adapter leurs solutions.
Plutôt que d'imposer ses propres règles, Microsoft a opté pour une approche collaborative, une démarche notable entre des acteurs qui sont aussi concurrents. Des entreprises comme CrowdStrike, Bitdefender, ESET ou encore Trend Micro participent activement à la conception de ce nouveau cadre. « Nous ne sommes pas là pour leur dire comment l'API doit fonctionner, nous sommes là pour écouter et garantir la sécurité et la fiabilité », a expliqué David Weston, vice-président de la sécurité de l'entreprise et de l'OS chez Microsoft.
Ce changement d'architecture promet de renforcer la résilience globale de Windows. Il est d'ailleurs accompagné d'autres fonctionnalités issues de la « Windows Resiliency Initiative », comme le Quick Machine Recovery (QMR). Testée depuis avril par les membres du programme Insider, cette fonction permettra de démarrer un PC dans l'environnement de récupération Windows (Windows RE) en cas de problème de démarrage, et sera activée par défaut pour les particuliers sur Windows 11 24H2. À plus long terme, cette nouvelle politique pourrait s'étendre au-delà des seuls antivirus. David Weston a laissé entendre que les logiciels anti-triche (anti-cheat) utilisés dans les jeux vidéo, qui fonctionnent également souvent au niveau du noyau, pourraient être les prochains concernés.
Source : Ars Technica
28 juin 2025 à 15h04
