Microsoft veut faire évoluer le modèle de sécurité de Windows. Après les services cloud et les outils de productivité, le système d’exploitation amorce à son tour une transition vers un fonctionnement sécurisé par défaut.
Microsoft prépare un changement important dans la manière dont Windows 11 gère les applications. Deux nouveautés vont être introduites dans les prochaines versions du système : un mode de sécurité renforcé activé par défaut, et un nouveau système de gestion des permissions. Ensemble, ils visent à mieux encadrer les accès aux ressources sensibles, bloquer les installations silencieuses, et rendre les actions des applications plus visibles et compréhensibles. Une évolution importante pour un système qui s’est longtemps appuyé sur une logique de compatibilité étendue et de confiance implicite.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Des autorisations explicite, un modèle d’exécution plus encadré
Les changements annoncés s’articulent donc autour de deux piliers. Le premier, baptisé User Transparency and Consent, prévoit l’affichage systématique de fenêtres de permission explicite lorsque des applications, y compris des agents IA, tentent d’accéder à des fonctions sensibles du système, comme les fichiers, la caméra, le microphone ou certains périphériques, ou d’installer un logiciel non sollicité. Un peu à la manière de ce que l’on observe déjà sur smartphone, finalement, avec la possibilité de revenir sur son choix à tout moment dans les paramètres.
Le second volet, le Windows Baseline Security Mode, vise à activer par défaut des garde-fous d’intégrité à l’exécution. En pratique, seuls les logiciels, services et pilotes correctement signés pourront être lancés sans intervention. Cette mesure s’appuie sur des dispositifs déjà présents dans Windows (Smart App Control, protection des administrateurs, signature des pilotes), mais elle en généralise l’usage et le renforce, notamment en interdisant l’exécution silencieuse de composants non vérifiés.
Redmond a toutefois précisé que les utilisateurs avancés et les administrateurs pourraient toujours accorder des dérogations à des logiciels spécifiques, l’objectif n’étant pas de restreindre la liberté d’installation, mais de sécuriser par défaut les configurations standards, tout en conservant un niveau de compatibilité acceptable pour les environnements professionnels.
Vers un modèle sécurisé par défaut
Historiquement, Windows a toujours privilégié l’ouverture, la rétrocompatibilité et la confiance accordée par défaut aux applications. Ce modèle a permis à l’écosystème de prospérer, en laissant cohabiter des millions de logiciels, des outils métiers les plus établis aux applications développées en interne, mais cette souplesse pose aujourd’hui de vrais problèmes. Certains logiciels en profitent pour modifier des réglages, installer des composants en arrière-plan ou accéder à des fonctions sensibles sans que cela soit explicitement indiqué.
Pour répondre à ces dérives, Microsoft a lancé fin 2023 la Secure Future Initiative, un programme de renforcement général de la sécurité à l’échelle de ses produits. Plusieurs mesures ont été mises en œuvre depuis, comme la désactivation des contrôles ActiveX dans Office et Microsoft 365, le blocage des protocoles d’authentification obsolètes sur SharePoint et OneDrive, ou encore la sécurisation renforcée des connexions Entra ID.
Après les services cloud et les outils de productivité, c’était donc logiquement au tour de Windows lui-même d’évoluer, pour passer d’un modèle tolérant par défaut à un système sécurisé par défaut.
Source : Microsoft
