La fonction de protection des données du noyau (KDP) passe la mémoire en lecture seule, afin de minimiser les risques de corruption des données.
En matière de sécurité, Microsoft a imposé la signature des pilotes kernel depuis 2016. La société planche désormais sur une nouvelle fonction pour Windows 10 baptisée KDP (Kernel Data Protection). Pour l’instant implémentée dans la version Insider de Windows 10, cette « protection des données du noyau », en français, devrait permettre de nettement améliorer la sécurité des machines.
Une protection efficace contre la corruption des données
Parmi les différentes méthodes utilisées pour infecter un ordinateur, les pirates ont parfois recours à la corruption des données. Cette stratégie consiste à manipuler les données de pilotes logiciels clés afin de contourner la sécurité du système, par exemple en augmentant les privilèges ou en falsifiant l'attestation de sécurité, pour ensuite exécuter du code malveillant.
Afin de protéger les utilisateurs contre ce type d’attaques, la KDP passe la mémoire sur laquelle sont installés ces pilotes logiciels sensibles en mode « lecture seule » ; elle est ainsi préservée de toute modification indésirable. Pour cela, Microsoft mobilise une fonctionnalité intitulée VBS (Virtualization-based Security). Comme son nom l’indique, cette fonctionnalité repose sur un système de virtualisation qui isole certaines parties de la mémoire et les transforme en sortes d’enclaves sécurisées.
Dans un article très complet publié le 8 juillet dernier, Andrea Allievi, un membre de l’équipe « Security Kernel Core » de Microsoft, résume le procédé ainsi :
« La protection des données du noyau (KDP) est une nouvelle technologie qui empêche les attaques de corruption de données en protégeant des parties du noyau et des pilotes de Windows grâce à une sécurité basée sur la virtualisation (VBS). KDP est un ensemble d'API qui permet de marquer une partie de la mémoire du noyau en lecture seule, empêchant ainsi les attaquants de modifier la mémoire protégée. Par exemple, nous avons vu des pirates utiliser des pilotes signés, mais vulnérables, pour attaquer des structures de données stratégiques et installer un pilote malveillant et non signé. Le KDP atténue ces attaques en garantissant que les structures de données ne peuvent pas être altérées ».
Une protection généralisée dans les semaines ou mois à venir
Si la KDP concerne initialement les PC haut de gamme estampillés Secured-core, elle ne se bornera pas à ce type de machines. En effet, toujours selon Andrea Allievi, la VBS est prise en charge par tous les ordinateurs munis d’un processeur Intel, AMD ou ARM capables de gérer les extensions de virtualisation ainsi que la traduction d’adresses de deuxième niveau (EPT pour Intel, NPT pour AMD et Stage 2 pour ARM).
Bref, Microsoft généralisera sans aucun doute cette protection KDP sur la plupart des PC sous Windows 10. Reste à savoir quand. Andrea Allievi n’a donné aucune indication à ce sujet.
Source : Forbes