Isolation d'applications : Microsoft pousse un peu plus loin la carte de la micro-virtualisation
L’éditeur va prochainement permettre d’exécuter les applications susceptibles de conduire à une compromission de la machine sous Windows 10 dans une machine virtuelle temporaire, jetable.
Microsoft continue d’étendre son recours à la micro-virtualisation. L’éditeur vient ainsi d’annoncer Windows Sandbox, une fonctionnalité de Windows 10 Pro et Entreprise à venir prochainement. Celle-ci s’appuie sur Hyper-V pour isoler les applications susceptibles de servir de porte d’entrée à des contenus malicieux, à l’instar du navigateur Web. L’idée est simple, sur le papier du moins, et dans ses grandes lignes : il s’agit d’exécuter l’application considérée dans une machine virtuelle, dont l’image est générée à la volée, à partir de l’installation de Windows 10 présente sur la machine. L’hyperviseur du système d’exploitation se charge d’assurer l’isolation des deux environnements. Pour limiter les délais de lancement, les capacités de clonage et de prise d’instantanés (snapshot) d’Hyper-V sont mises à contribution pour gérer l’image de base de la micro-machine virtuelle. Cette dernière profite au passage des capacités de virtualisation graphique et connaît l’état de la batterie de l’hôte pour éviter de la solliciter sans discernement.
Dans la pratique, Windows Sandbox va initialement être proposé aux membres de son programme Insider, à partir de la prochaine build 18305. Les capacités de virtualisation devront être activées dans le BIOS de la machine. Pour les machines virtuelles, il faudra activer le support de la virtualisation imbriquée.
En fait, Windows Sandbox renvoie à InPrivate Desktop, annoncé l’été dernier. Surtout, ce n’est qu’une extension du recours croissant de l’éditeur à la micro-virtualisation pour sécuriser son système d’exploitation client. Début novembre, Microsoft a ainsi annoncé que Windows Defender pourrait prochainement être exécuté lui-même dans un bac-à-sable. Et cela afin de l’isoler de processus malicieux susceptibles de chercher à l’attendre. En septembre 2016, c’est le processus lsass.exe qui profitait de ce même type d’isolation. Il s’agissait de la fonction Credential Guard, basée sur le Virtual Secure Mode présenté un peu plus d’un an avant.
L’approche renvoie directement à celle qui a guidé Simon Crosby, ancien CTO de XenServer, dans la création de Bromium en 2012. Interrogé à l’époque par la rédaction, il décrivait une démarche consistant à isoler chaque processus applicatif dans une machine virtuelle, de manière transparente pour l’utilisateur : « on fait cela avec un hyperviseur léger. Un simple fichier MSI qui installe des ‘outils magiques’ qui retirent aux tâches toute capacité de sortir de la micro-machine virtuelle dont elles sont captives ».
En juillet 2015, Simon Crosby appréhendait les efforts de Microsoft comme une validation, estimant que la micro-virtualisation s’affirmait là comme « un moyen puissant » d’améliorer la sécurité et l’efficacité des systèmes de protection : « elle est validée comme base de construction pour les systèmes », jugeait-il alors. Un an plus tard, il regardait Credential Guard comme complémentaire de ce que pouvait offrir Bromium – qui a le mérite de couvrir bien plus que le seul Windows 10.
Mais la jeune entreprise ne s’est pas reposée sur ses lauriers et s’est adaptée à une pression concurrentielle manifestement croissante de la part de Microsoft, en étendant son marché et son offre, jusqu’à annoncer tout récemment Protected App, une solution visant à protéger les applications sensibles sur les systèmes non maîtrisés.