Microsoft a toujours fourni des logiciels anti-malware dans ses systèmes d’exploitation. Windows Defender est resté la référence en matière de protection des systèmes des utilisateurs pendant des années. Il offre une protection de base mais a évolué au fil des années pour intégrer un ensemble de fonctionnalités comparables à celles proposées par les produits tiers. Mais en 2004, Windows Defender est-il suffisant ? Peut-il encore offrir aujourd’hui un niveau de défense suffisant contre des cybermenaces de plus en plus sophistiquées ?
Disons tout de suite que Windows Defender ne s’appelle plus ainsi depuis quelques temps même si les utilisateurs continuent d’utiliser ce nom. En fait, dans Windows 10 et Windows 11 , en écrivant Defender dans le champ de recherche, seules les entrées Pare-feu Windows Defender avec sécurité avancée et Pare-feu Windows Defender apparaissent : dans les deux cas, vous accédez aux paramètres du pare-feu Windows , avec une interface similaire à celle de l’ancien panneau de configuration. Toutes les options de sécurité sont rassemblées dans la fenêtre Sécurité Windows .
Microsoft Defender est la solution anti-malware intégrée au package Microsoft 365 (et présente individuellement sur le Microsoft Store) qui ne peut être utilisée qu’avec les comptes Microsoft et qui permet, via un panel centralisé, de protéger d’autres appareils (PC Windows, Apple et appareils Android). Comme nous l’avons vu dans l’article dans lequel nous expliquions que Defender n’est pas payant , les fonctionnalités de Windows Defender sont en fait divisées en plusieurs sections de la fenêtre Sécurité de Windows : essentiellement Protection contre les virus et menaces et Contrôle des applications et navigateurs .
Est-il judicieux de continuer à utiliser Windows Defender en 2024
Dans l’ensemble, Windows Defender ou Windows Virus and Threat Protection combinés au contrôle des applications et du navigateur continuent d’offrir un bon niveau global de protection. Certainement dans le cas des cybermenaces qui sont apparues sur la scène mondiale au moins au cours du mois dernier.
Là où Windows Defender « bégaie » un peu, c’est dans la reconnaissance et la neutralisation des menaces les plus récentes apparues récemment sur la scène. Nous faisons référence avant tout aux attaques zero-day , c’est-à-dire aux tentatives d’exploiter, via du code ou des fichiers malveillants, des vulnérabilités souvent encore inconnues des développeurs.
L’antimalware préinstallé et activé par défaut sur les systèmes Windows intègre également un module anti-exploit : en cliquant sur Contrôle des applications et du navigateur , puis sur Paramètres de protection contre les exploits , vous pouvez vérifier les différentes techniques utilisées par Defender. Les exploits , en fait, sont des codes qui exploitent une vulnérabilité d’un logiciel ou d’un système pour effectuer des opérations non autorisées.
Types de vulnérabilités exploitées par les codes d’exploitation
Les vulnérabilités qui pourraient être exploitées, par exemple, pour exécuter du code arbitraire ou élever les privilèges des utilisateurs, sont les suivantes :
- Buffer Overflow : Lorsqu’un programme écrit plus de données que la mémoire allouée ne peut en contenir.
- Attaque par injection : comme l’injection SQL , où un attaquant injecte des commandes malveillantes dans une entrée de programme.
- Condition de concurrence : situations dans lesquelles le comportement d’un système dépend de l’ordre d’exécution d’événements simultanés.
Celles-ci deviennent encore plus dangereuses lorsqu’elles concernent des vulnérabilités zero-day, pour lesquelles il n’existe aucun correctif correctif.
Protections contre les exploits de Windows Defender
Les protections contre les exploits Defender sont des mécanismes de sécurité conçus pour protéger le système d’exploitation et les applications contre les cyberattaques telles que celles brièvement décrites dans le paragraphe précédent :
Control Flow Guard ( CFG ) est une technologie qui protège les programmes contre l’exécution de code non autorisé en surveillant les sauts de contrôle dans le flux d’exécution d’une application. La prévention de l’exécution des données ( DEP ) empêche l’exécution de code dans les zones de mémoire réservées aux données, telles que la pile ou le tas ; La randomisation de la disposition de l’espace d’adresse ( ASLR ) est une technique qui randomise les adresses mémoire des applications et des bibliothèques système au démarrage. L’objectif est de rendre difficile pour un attaquant de prédire où se trouvent les données critiques en mémoire, compliquant ainsi l’exécution d’exploits ciblés.
Encore une fois, la protection contre l’écrasement du gestionnaire d’exceptions structurées ( SEHOP ) vérifie l’intégrité de la chaîne de gestion des exceptions. Si un attaquant tente d’écraser un pointeur de gestion d’exception, le système d’exploitation détecte l’anomalie et génère une erreur, empêchant l’exécution de code malveillant.
Heap Integrity Validation surveille la mémoire du tas pour détecter et empêcher les modifications non autorisées, telles que les écrasements de tampon. Si une tentative de corruption est détectée, l’application est bloquée, empêchant l’exécution de code malveillant.
Il faut dire que les cybercriminels ont développé des techniques plus sophistiquées pour échapper aux protections . Par exemple, ils peuvent combiner différentes vulnérabilités et techniques, comme l’injection de code ou le recours à des attaques en chaîne , pour contourner les défenses traditionnelles.
Le problème des attaques zero-day
Étant donné que Windows Defender offre un excellent niveau de protection même contre des menaces datant de seulement 4 semaines, le problème des attaques zero-day demeure . Dans ces cas, les logiciels anti-malware qui offrent un niveau de défense plus élevé sont ceux qui peuvent compter sur un module anti-exploit intégré robuste et une intelligence collective dans le cloud . En d’autres termes, si un ou plusieurs clients détectaient un code potentiellement suspect, les informations pourraient être communiquées via le cloud à l’ensemble du public d’utilisateurs, offrant ainsi une protection en temps réel.
Mettre régulièrement à jour les programmes qui échangent des données sur le réseau
Cependant, pour réduire les risques à presque zéro, il est essentiel de mettre à jour le logiciel utilisé sur la machine avec une attention particulière au navigateur Web. Dans de nombreux cas, il s’agit en fait de la première porte d’accès. De même, vous devez appliquer des correctifs à votre client de messagerie (s’il est installé localement) et à tous les programmes de messagerie instantanée.
Un attaquant qui parvient à exploiter une ou plusieurs vulnérabilités du logiciel mentionné peut exécuter du code à distance ou obtenir des privilèges plus élevés pour ensuite effectuer des opérations dangereuses (par exemple des mouvements latéraux dans un réseau local à la recherche d’autres systèmes à attaquer ou à voler). données confidentielles).
De plus, il est essentiel de maintenir à jour les principales suites bureautiques que vous utilisez (par exemple Microsoft Office ) pour éviter que la tentative d’ouverture d’un document ou la simple visualisation d’un aperçu n’entraîne le chargement de code malveillant.
Enfin, dans le cas de Windows, il est toujours nécessaire de vérifier les correctifs publiés par Microsoft chaque deuxième mardi du mois ( Patch Tuesday ) et d’évaluer leur importance et leur impact sur vos systèmes. Il ne faut pas retarder trop longtemps leur application car elles peuvent être combinées en attaques en chaîne.
Windows Defender a aussi ses cartes (cachées) : ASR
Sous une interface utilisateur d’une simplicité désarmante, Windows Defender cache une fonctionnalité de sécurité appelée ASR , Attack Surface Reduction .
Il s’agit d’un outil qui réduit la liberté d’action des applications chargées sur le système, évitant ainsi l’autorisation de toutes les opérations qui peuvent être exploitées pour lancer une cyberattaque. Avec un programme gratuit appelé DefenderUI, il est possible d’exposer toutes les fonctionnalités de Windows Defender utiles pour réduire la surface d’attaque.
Très souvent, une attaque commence en utilisant l’une des tactiques courantes répertoriées dans l’image. En choisissant le profil recommandé lors du lancement de DefenderUI, vous configurez Windows Defender de telle manière qu’il soit plutôt sévère et intervienne activement chaque fois qu’un comportement inhabituel ou opaque de la part d’une application apparaît .
La fonctionnalité secrète (ASR) qui réduit la surface d’attaque avec Windows Defender peut être activée soit avec un programme tiers tel que DefenderUI mais également à l’aide d’une simple commande PowerShell .
Exclusions de Windows Defender
L’un des aspects les plus critiques de Windows Defender est que parfois le logiciel, rencontrant des archives volumineuses ou des fichiers ISO, ralentit les performances du système en analysant chaque élément présent. La situation devient intenable lorsque Defender doit gérer des archives contenant plusieurs petits fichiers sur des systèmes dotés de configurations matérielles modestes.
Dans ces cas, l’utilisation du processeur de Defender peut être réduite avec une simple intervention qui peut être effectuée depuis la fenêtre PowerShell en quelques secondes.
Vous pouvez également télécharger l’utilitaire gratuit DefenderUI qui vous permet d’ optimiser les logiciels anti-programme malveillant Windows 10 et Windows 11 à l’aide d’une interface graphique simple. Après avoir choisi le profil recommandé , que nous vous recommandons d’utiliser, vous pouvez cliquer sur Avancé en haut, puis définir une utilisation moyenne du processeur pendant l’analyse à moins de 50 %.
En tapant Sécurité Windows dans la zone de recherche, en choisissant Protection contre les virus et menaces , Gestionnaire de paramètres (sous Paramètres de protection contre les virus et menaces ) puis Ajouter ou supprimer des exclusions , vous pouvez éventuellement spécifier les fichiers, types de fichiers, dossiers et processus que Defender doit toujours ignorer.
De notre côté, nous précisons généralement le dossier du client de messagerie parmi les exclusions (surtout s’il est tiers, donc différent d’Outlook). Cela permet d’éviter qu’une archive entière d’e-mails soit mise en quarantaine ou supprimée suite à la détection d’un malware lié à une pièce jointe. D’un autre côté, toutes les pièces jointes transitent par le %temp%dossier du système d’exploitation ou sont enregistrées quelque part avant d’être ouvertes.
Ouvrez les pièces jointes et les fichiers inconnus en toute sécurité
Étant donné que VirusTotal est votre ami, il n’est pas certain que la plateforme soit capable de détecter le contenu malveillant caché dans n’importe quel type de fichier. Il arrive en effet souvent que suite à l’exploitation d’une dangereuse vulnérabilité zero-day ou à l’utilisation d’un code très bien pensé, les laboratoires des principaux éditeurs de solutions anti-malware et antivirus ne soient toujours pas conscients de la menace.
Une bonne façon de procéder est d’utiliser Windows Sandbox pour ouvrir des fichiers en toute sécurité : la fonctionnalité, qui peut être activée en cochant la case Windows Sandbox dans la fenêtre qui apparaît en appuyant Windows+R puis en tapant optionalfeatures, permet de gérer n’importe quel fichier dans un environnement isolé du système sous-jacent. Cela vous aidera à éviter les infections par des logiciels malveillants ou d’autres conséquences, telles que le vol de données personnelles et d’informations confidentielles.
Une solution un peu plus « exotique » mais non moins efficace consiste à utiliser le programme appelé DangerZone . Basé sur Docker , DangerZone convertit n’importe quel fichier (quel que soit son type) au format PDF en supprimant tout code supplémentaire pouvant être présent. De cette façon, l’utilisateur peut ouvrir le fichier PDF sans prendre aucun risque.
