Windows 11 Smart App Control bloque les exécutables inconnus avant leur lancement

Windows 11 élargit la pile de sécurité de La pile de sécurité de Microsoft avec Smart App Control (SAC), un composant qui examine les applications avant leur exécution et bloque le code non fiable. Cette fonctionnalité s'ajoute aux moteurs antivirus conventionnels, tels que Microsoft Defender, qui continuent à surveiller le système pour détecter les logiciels malveillants connus. En associant un gardien proactif à un scanner réactif mature, le système d'exploitation vise à réduire à la fois les tentatives d'infection initiales et les menaces persistantes.

Les logiciels antivirus classiques fonctionnent selon le principe "innocent jusqu'à preuve du contraire". Il laisse les fichiers s'exécuter, puis recherche des schémas malveillants à l'aide de bases de données de signatures, d'analyses heuristiques et d'une surveillance comportementale. Les mises à jour fréquentes des définitions maintiennent les taux de détection à un niveau élevé, mais les échantillons "zero-day" ou polymorphes peuvent échapper aux signatures jusqu'à ce qu'un comportement suspect apparaisse. Cette approche reste efficace pour nettoyer les menaces connues mais peut introduire un délai entre l'exécution et l'endiguement.

Smart App Control inverse cette logique. Avant le lancement d'un exécutable, SAC consulte le service de réputation en nuage de Microsoft, vérifie la signature numérique du développeur et applique des modèles d'apprentissage automatique formés sur de vastes ensembles de données de logiciels fiables et nuisibles. Si la réputation est inconnue et que le fichier n'est pas signé ou qu'il est présumé malveillant, le système d'exploitation le bloque purement et simplement. En fait, chaque nouveau programme est "coupable jusqu'à preuve du contraire", ce qui permet de bloquer de nombreuses attaques au stade de la livraison plutôt qu'après leur activation.

Comme SAC arrête les binaires inconnus avant qu'ils ne se chargent, il n'est pas nécessaire d'analyser en permanence les processus actifs en arrière-plan. Les tests internes de Microsoft font donc état d'un léger avantage en termes de performances par rapport aux scanners traditionnels, qui consomment des cycles de l'unité centrale tout en inspectant les fichiers en temps réel. Pendant ce temps, Defender continue de s'occuper des tâches que SAC ne prend pas en charge, comme l'analyse des macros ou l'inspection des scripts, ce qui confère à l'ensemble du système une plus grande étendue sans duplication des efforts.

SAC est soumis à une période d'évaluation initiale ; s'il interfère avec les charges de travail quotidiennes, Windows le désactive définitivement, à moins que le système ne soit réinstallé. De même, une fois que l'utilisateur a désactivé SAC, il ne peut plus le réactiver. Les développeurs et les utilisateurs chevronnés qui s'appuient sur des versions non signées ou personnalisées peuvent donc trouver les restrictions contre-productives, tandis que les parcs d'entreprises gérées peuvent bénéficier d'une position par défaut plus stricte.

Il est important de noter que SAC est conçu pour fonctionner parallèlement à Microsoft Defender, et non pour le remplacer. Si SAC bloque un fichier, la décision est définitive ; il ne peut pas être mis sur liste blanche. Defender reste responsable des tâches médico-légales plus approfondies, de l'élimination des logiciels malveillants et de l'analyse du contenu archivé déjà sur le disque. Dans ce modèle à plusieurs niveaux, SAC réduit l'exposition et Defender nettoie tout ce qui s'est échappé ou qui est antérieur à la session en cours.