Les virus sont devenus plus sophistiqués, tout comme les fonctionnalités de sécurité conçues pour les combattre. La protection de pile renforcée par le matériel en mode noyau est une autre défense avancée de ce type présente dans Windows 11.
Le nom est peut-être long, mais il décrit avec précision la fonction de la fonction de sécurité en termes techniques. Mais qu’est-ce que cela signifie en anglais simple ? Est-ce même nécessaire ? Découvrons-le.
Un cours intensif sur le débordement de tampon de pile
Avant de comprendre ce que fait la protection de pile renforcée par le matériel, vous devez comprendre ce que sont les attaques par débordement de tampon de pile, car c'est contre cela qu'elle essaie de se prémunir. Et avant de pouvoir comprendre cela, vous devez avoir une idée de ce que signifie la pile.
En termes les plus simples, la pile fait référence aux adresses mémoire utilisées par un programme actif. Chaque processus ou application en cours d'exécution se voit attribuer une pile, y compris les processus système. Les données sont écrites et lues à partir de cette pile, en maintenant une séparation des autres processus utilisant la mémoire.
Mais parfois, les choses tournent mal et un programme déborde sur sa pile délimitée. C'est ce qu'on appelle une erreur Stack Overflow et peut conduire à toutes sortes de comportements étranges lorsque le processus tente de lire des données qui ne lui sont pas destinées.
Que sont les attaques par débordement de tampon de pile ?
Jusqu'à présent, nous avons discuté du débordement de pile dans le contexte d'une erreur involontaire. Mais ce phénomène peut aussi être délibérément exploité pour contrôler des programmes et des processus en leur fournissant des entrées inattendues.
De telles attaques de mémoire – également connues sous le nom d'attaques de programmation orientée retour ou ROP – sont plutôt difficiles à détecter pour le programme, car la mémoire même à partir de laquelle il lit ses instructions est compromise. Surtout si le programme en question est un processus central du système qui ne peut s'appuyer sur aucun autre programme de bas niveau pour se vérifier.
Cela fait des attaques par débordement de tampon de pile une catégorie de cybermenaces très dangereuse. L'un d'entre eux est exploité par une vague de nouveaux virus.
La solution : protection matérielle de la pile en mode noyau
Nous avons expliqué comment l'absence d'une base de référence de bas niveau permettant aux processus système de se comparer les rend aussi vulnérables aux attaques par débordement de tampon de pile qu'une application normale. Mais et si nous pouvions établir une référence dans le matériel sous-jacent lui-même ?.
C'est exactement ce que fait la protection de la pile renforcée par le matériel en mode noyau. Grâce à la virtualisation, le processeur est isolé des applications et des processus en cours d'exécution sur votre ordinateur, le protégeant ainsi de toute altération due à la manipulation de la mémoire.
Cela est dû au fait que les adresses de pile sont également conservées dans une pile Shadow parallèle qui n'est pas exposée au reste du PC. Chaque fois qu'un processus en mode noyau (essentiellement des fonctions système de bas niveau) lit des informations, l'adresse est également confirmée avec la copie stockée dans la pile fantôme. Le processus est terminé en cas de divergence.
Quelles sont les conditions requises pour exécuter la protection matérielle de la pile sur votre PC ?
En tant que fonctionnalité de bas niveau avec des dépendances matérielles spécifiques, cette protection améliorée de la pile nécessite des exigences matérielles élevées. Seuls les processeurs prenant en charge les dernières fonctionnalités de virtualisation du processeur peuvent mettre en œuvre cette mesure de sécurité.
Pour Intel, cela signifie la technologie CET (Control-Flow Enforcement Technology), tandis qu'AMD l'appelle simplement AMD shadow stacks. Même lorsque votre processeur prend en charge cette fonctionnalité, la virtualisation du processeur et l'intégrité de la mémoire doivent être activées pour qu'elle prenne effet.
Gardez toutefois à l'esprit que les fonctionnalités de sécurité liées à la virtualisation peuvent également avoir un impact mineur sur les performances de l'ordinateur. C'est principalement la raison pour laquelle ces fonctionnalités ne sont généralement pas activées par défaut.
Que faire si la protection de la pile renforcée par le matériel en mode noyau est désactivée ?
Il existe de nombreuses raisons pour lesquelles la protection matérielle de la pile en mode noyau peut être désactivée sur votre PC. Votre processeur peut ne pas prendre en charge cette fonctionnalité ou nécessiter simplement une activation manuelle.
Mais avant de chercher l'option et d'essayer de l'activer, prenez un moment pour déterminer si vous en avez vraiment besoin. Parce que pour la plupart des utilisateurs, l'isolation principale et les fonctionnalités de sécurité associées peuvent s'avérer inutiles.
Les virus et logiciels malveillants normaux sont traités avec efficacement par Microsoft Windows Defender. À moins que votre système n'héberge des données sensibles susceptibles d'être spécifiquement ciblées par des pirates informatiques dédiés, vous n'avez pas vraiment besoin d'une protection de pile sur votre PC.
Mais si vous souhaitez activer la fonctionnalité, voici comment procéder :
Si vous voyez l'option mais qu'elle est grisée, il vous suffit de saisir activer la virtualisation dans le BIOS et activer l'intégrité de la mémoire également. Une fois cela fait, vous pouvez activer la Protection de la pile renforcée par le matériel en mode noyau. Redémarrez votre PC et la modification prendra effet.
Parfois, la fonctionnalité sera bloquée par des pilotes incompatibles, auquel cas vous pourrez supprimer votre mise à jour des pilotes. Bien que ce problème soit devenu moins courant après les dernières mises à jour.
La protection matérielle de la pile en mode noyau en vaut-elle la peine dans Windows 11 ?
Windows 11 est doté de nombreuses fonctionnalités de sécurité avancées conçues pour dissuader même les tentatives de piratage les plus pointues. La plupart de ces fonctionnalités telles que TPM ou Démarrage sécurisé sont activées par défaut sur les systèmes pris en charge.
Mais la protection matérielle de la pile en mode noyau est différente. Puisqu'il peut avoir un léger impact sur les performances et qu'il n'est pas essentiel pour la plupart des systèmes, il doit être activé manuellement. Sans parler des exigences matérielles plus strictes pour cette fonctionnalité, contrairement au TPM qui est quasi universel même sur les puces un peu plus anciennes.
Donc, si vous voyez l'option dans la fenêtre Sécurité de votre appareil et que vous êtes préoccupé par les attaques de virus de bas niveau, vous pouvez activer la protection matérielle de la pile pour garantir une sécurité parfaite. Si l'impact sur les performances devient perceptible, vous pouvez toujours le désactiver à nouveau.
.