Les virus sont devenus plus sophistiqués, tout comme les fonctionnalités de sécurité conçues pour les combattre. La protection de pile renforcée par le matériel en mode noyau est une autre défense avancée de ce type présente dans Windows 11.

Le nom est peut-être long, mais il décrit avec précision la fonction du dispositif de sécurité en termes techniques. Mais qu’est-ce que cela signifie en anglais simple ? Est-ce même nécessaire ? Découvrons-le.

Un cours accéléré sur le débordement de tampon de pile

Avant de comprendre ce que fait la protection de pile renforcée par le matériel, vous devez comprendre ce que sont les attaques par débordement de tampon de pile, car c’est contre cela qu’elle tente de se prémunir. Et avant que tu puisses comprendre quevous devez avoir une idée de ce que signifie la pile.

En termes les plus simples, la pile fait référence aux adresses mémoire utilisées par un programme actif. Chaque processus ou application en cours d’exécution se voit attribuer une pile, y compris les processus système. Les données sont écrites et lues à partir de cette pile, en maintenant une séparation des autres processus utilisant la mémoire.

Mais parfois, les choses tournent mal et un programme déborde sur sa pile délimitée. C’est ce qu’on appelle une erreur Stack Overflow et peut conduire à toutes sortes de comportements étranges lorsque le processus tente de lire des données qui ne lui sont pas destinées.

Que sont les attaques par débordement de tampon de pile ?

Jusqu’à présent, nous avons discuté du débordement de pile dans le contexte d’une erreur involontaire. Mais ce phénomène peut aussi être délibérément exploité pour contrôler des programmes et des processus en leur fournissant des intrants inattendus.

De telles attaques de mémoire – également connues sous le nom d’attaques de programmation orientée retour ou ROP – sont plutôt difficiles à détecter pour le programme car la mémoire même à partir de laquelle il lit ses instructions est compromise. Surtout si le programme en question est un processus central du système qui ne peut s’appuyer sur aucun autre programme de bas niveau pour se vérifier.

Cela fait des attaques par débordement de tampon de pile une catégorie de cybermenaces très dangereuse. L’un étant mis à profit par une vague de nouveaux virus.

La solution : protection de la pile renforcée par le matériel en mode noyau

Nous avons expliqué comment l’absence d’une base de référence de bas niveau permettant aux processus système de se comparer les rend aussi vulnérables aux attaques par débordement de tampon de pile qu’une application normale. Mais et si nous pouvions établir une référence dans le matériel sous-jacent lui-même ?

C’est exactement ce que fait la protection de pile renforcée par le matériel en mode noyau. Grâce à la virtualisation, le processeur est isolé des applications et des processus en cours d’exécution sur votre ordinateur, le protégeant ainsi de toute altération due à la manipulation de la mémoire.

En effet, les adresses de pile sont également conservées dans une pile Shadow parallèle qui n’est pas exposée au reste du PC. Chaque fois qu’un processus en mode noyau (essentiellement des fonctions système de bas niveau) lit des informations, l’adresse est également confirmée avec la copie stockée dans la pile fantôme. Le processus est terminé en cas de divergence.

Quelles sont les exigences pour exécuter la protection de pile renforcée par le matériel sur votre PC ?

En tant que fonctionnalité de bas niveau avec des dépendances matérielles spécifiques, cette protection améliorée de la pile nécessite des exigences matérielles élevées. Seuls les processeurs prenant en charge les dernières fonctionnalités de virtualisation du processeur peuvent implémenter cette mesure de sécurité.

Pour Intel, cela signifie la technologie CET (Control-Flow Enforcement Technology), tandis qu’AMD l’appelle simplement AMD shadow stacks. Même lorsque votre processeur prend en charge cette fonctionnalité, la virtualisation du processeur et l’intégrité de la mémoire doivent être activées pour qu’elle prenne effet.

Gardez toutefois à l’esprit que les fonctionnalités de sécurité liées à la virtualisation peuvent également avoir un impact mineur sur les performances de l’ordinateur. C’est principalement la raison pour laquelle ces fonctionnalités ne sont généralement pas activées par défaut.

Que faire si la protection de la pile renforcée par le matériel en mode noyau est désactivée ?

Il existe de nombreuses raisons pour lesquelles la protection matérielle de la pile en mode noyau peut être désactivée sur votre PC. Votre processeur peut ne pas prendre en charge cette fonctionnalité ou nécessiter simplement une activation manuelle.

Mais avant de chercher l’option et d’essayer de l’activer, prenez un moment pour déterminer si vous en avez vraiment besoin. Parce que pour la plupart des utilisateurs, l’isolation principale et les fonctionnalités de sécurité associées peuvent s’avérer inutiles.

Les virus et logiciels malveillants normaux sont traités efficacement par Microsoft Windows Defender. À moins que votre système n’héberge des données sensibles susceptibles d’être spécifiquement ciblées par des pirates informatiques dédiés, vous n’avez pas vraiment besoin d’une protection de pile sur votre PC.

Mais si vous souhaitez activer la fonctionnalité, voici comment procéder :

  1. Tout d’abord, vous devez ouvrir la fenêtre Sécurité des appareils. Vous pouvez le faire en accédant à Paramètres > Confidentialité & sécurité > Sécurité Windows puis en cliquant sur le Sécurité des appareils option, ou recherchez-le simplement dans le menu Démarrer.
  1. La sécurité de l’appareil répertorie toutes les fonctionnalités de sécurité liées au matériel sur votre appareil, telles que l’isolation du noyau, le module de plateforme sécurisée (TPM) et le démarrage sécurisé. La fonctionnalité de protection de la pile renforcée par le matériel est un sous-ensemble de l’isolation du cœur. Pour le visualiser, cliquez sur le Détails de l’isolation principale option.
  1. Désormais, ce que vous voyez sur cette fenêtre diffère en fonction de la configuration matérielle de votre système. Sur les PC qui ne prennent pas du tout en charge la protection matérielle de la pile, vous ne verrez aucune option (comme dans notre système de test).

Si vous voyez l’option mais qu’elle est grisée, il vous suffit d’activer la virtualisation dans le BIOS et d’activer également l’intégrité de la mémoire. Une fois cela fait, vous pouvez allumer Protection de la pile renforcée par le matériel en mode noyau. Redémarrez votre PC et la modification prendra effet.

Parfois, la fonctionnalité sera bloquée par des pilotes incompatibles, auquel cas vous pourrez supprimer votre mise à jour des pilotes. Bien que ce problème soit devenu moins courant après les dernières mises à jour.

La protection matérielle de la pile en mode noyau en vaut-elle la peine dans Windows 11 ?

Windows 11 est livré avec une multitude de fonctionnalités de sécurité avancées conçues pour dissuader même les tentatives de piratage les plus pointues. La plupart de ces fonctionnalités telles que TPM ou Secure Boot sont activées par défaut sur les systèmes pris en charge.

Mais la protection de la pile renforcée par le matériel en mode noyau est différente. Puisqu’il peut avoir un léger impact sur les performances et qu’il n’est pas essentiel pour la plupart des systèmes, il doit être activé manuellement. Sans parler des exigences matérielles plus strictes pour cette fonctionnalité, contrairement au TPM qui est quasi universel même sur des puces un peu plus anciennes.

Ainsi, si vous voyez l’option dans la fenêtre Sécurité de votre appareil et que vous êtes préoccupé par les attaques de virus de bas niveau, vous pouvez activer la protection matérielle de la pile pour garantir une sécurité parfaite. Si l’impact sur les performances devient perceptible, vous pouvez toujours le désactiver à nouveau.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici