Page d'accueil » comment » Pourquoi la version 64 bits de Windows est-elle plus sécurisée?

    Pourquoi la version 64 bits de Windows est-elle plus sécurisée?

    La plupart des nouveaux ordinateurs sont livrés avec la version 64 bits de Windows - Windows 7 et 8 - depuis des années. Les versions 64 bits de Windows ne consistent pas uniquement à tirer parti de la mémoire supplémentaire. Ils sont également plus sécurisés que les versions 32 bits.

    Les systèmes d'exploitation 64 bits ne sont pas à l'abri des logiciels malveillants, mais ils disposent de davantage de fonctionnalités de sécurité. Cela s’applique également en partie aux versions 64 bits d’autres systèmes d’exploitation, tels que Linux. Les utilisateurs de Linux bénéficieront d'avantages en matière de sécurité en passant à une version 64 bits de leur distribution Linux..

    Randomisation de la disposition de l'espace d'adressage

    ASLR est une fonctionnalité de sécurité qui permet aux emplacements de données d'un programme d'être disposés de manière aléatoire en mémoire. Avant ASLR, les emplacements de données d'un programme en mémoire pouvaient être prévisibles, ce qui facilitait grandement les attaques sur un programme. Avec ASLR, un attaquant doit deviner le bon emplacement en mémoire lorsqu'il tente d'exploiter une vulnérabilité dans un programme. Une supposition incorrecte peut entraîner la défaillance du programme, ainsi l'attaquant ne pourra plus essayer.

    Cette fonctionnalité de sécurité est également utilisée sur les versions 32 bits de Windows et d'autres systèmes d'exploitation, mais elle est beaucoup plus puissante sur les versions 64 bits de Windows. Un système 64 bits dispose d'un espace d'adressage beaucoup plus grand qu'un système 32 bits, ce qui rend ASLR d'autant plus efficace.

    Signature obligatoire du conducteur

    La version 64 bits de Windows impose la signature obligatoire du pilote. Tous les codes de conducteur du système doivent avoir une signature numérique. Cela inclut les pilotes de périphérique en mode noyau et les pilotes en mode utilisateur, tels que les pilotes d'imprimante.

    La signature obligatoire des pilotes empêche les pilotes non signés fournis par des logiciels malveillants de s'exécuter sur le système. Les auteurs de logiciels malveillants devront en quelque sorte contourner le processus de signature via un rootkit au démarrage ou réussir à signer les pilotes infectés avec un certificat valide volé à un développeur de pilotes légitime. Cela rend plus difficile l’exécution de pilotes infectés sur le système..

    La signature du pilote pourrait également être appliquée aux versions 32 bits de Windows, mais ce n'est pas le cas - probablement pour assurer la compatibilité avec les anciens pilotes 32 bits qui n'ont peut-être pas été signés.

    Pour désactiver la signature du pilote pendant le développement sur les éditions 64 bits de Windows, vous devez associer un débogueur du noyau ou utiliser une option de démarrage spéciale qui ne persiste pas après les redémarrages du système..

    Protection des correctifs du noyau

    KPP, également appelé PatchGuard, est une fonctionnalité de sécurité uniquement disponible sur les versions 64 bits de Windows. PatchGuard empêche les logiciels, même les pilotes fonctionnant en mode noyau, d'appliquer des correctifs au noyau Windows. Cela a toujours été non pris en charge, mais cela est techniquement possible sur les versions 32 bits de Windows. Certains programmes antivirus 32 bits ont mis en œuvre leurs mesures de protection antivirus à l'aide de correctifs dans le noyau..

    PatchGuard empêche les pilotes de périphérique de corriger le noyau. Par exemple, PatchGuard empêche les rootkits de modifier le noyau Windows pour s’intégrer au système d’exploitation. Si une tentative de correction du noyau est détectée, Windows s’arrête immédiatement avec un écran bleu ou redémarre..

    Cette protection pourrait être mise en place sur la version 32 bits de Windows, mais ce n’est pas le cas - probablement pour assurer la compatibilité avec les logiciels 32 bits hérités qui dépendent de cet accès..

    Protection de l'exécution des données

    La PED permet à un système d'exploitation de marquer certaines zones de la mémoire comme «non exécutables» en définissant un «bit NX». Les zones de la mémoire censées contenir uniquement des données ne seront pas exécutables..

    Par exemple, sur un système sans DEP, un attaquant pourrait utiliser une sorte de dépassement de mémoire tampon pour écrire du code dans une région de la mémoire d'une application. Ce code pourrait alors être exécuté. Avec DEP, l'attaquant pourrait écrire du code dans une région de la mémoire de l'application, mais cette région serait marquée comme non exécutable et ne pourrait pas être exécutée, ce qui arrêterait l'attaque..

    Les systèmes d'exploitation 64 bits sont dotés de la prévention de l'exécution du matériel. Bien que cela soit également pris en charge sur les versions 32 bits de Windows si vous utilisez un processeur moderne, les paramètres par défaut sont plus stricts et la PED est toujours activée pour les programmes 64 bits, alors qu'elle est désactivée par défaut pour les programmes 32 bits pour des raisons de compatibilité..

    Le dialogue de configuration DEP sous Windows est un peu trompeur. Comme le stipule la documentation de Microsoft, la PED est toujours utilisée pour tous les processus 64 bits:

    «Les paramètres de configuration System DEP ne s'appliquent qu'aux applications et processus 32 bits lorsqu'ils s'exécutent sur des versions 32 bits ou 64 bits de Windows. Sur les versions 64 bits de Windows, si la prévention de l'exécution des données liée au matériel est disponible, elle est toujours appliquée aux processus 64 bits et aux espaces mémoire du noyau et aucun paramètre de configuration système ne permet de la désactiver. "

    WOW64

    Les versions 64 bits de Windows exécutent le logiciel Windows 32 bits, mais via un calque de compatibilité appelé WOW64 (Windows 32 bits sur Windows 64 bits). Cette couche de compatibilité applique certaines restrictions à ces programmes 32 bits, ce qui peut empêcher le bon fonctionnement des programmes malveillants 32 bits. Les logiciels malveillants 32 bits ne pourront également pas s'exécuter en mode noyau - seuls les programmes 64 bits peuvent le faire sur un système d'exploitation 64 bits - cela peut donc empêcher certains logiciels malveillants 32 bits plus anciens de fonctionner correctement. Par exemple, si vous avez un ancien CD audio contenant le rootkit Sony, il ne sera pas capable de s’installer sur une version 64 bits de Windows..

    Les versions 64 bits de Windows suppriment également la prise en charge d'anciens programmes 16 bits. En plus d'empêcher l'exécution d'anciens virus 16 bits, cela obligera également les entreprises à mettre à niveau leurs anciens programmes 16 bits qui pourraient être vulnérables et non corrigés..

    Etant donné l’état actuel des versions 64 bits de Windows, les nouveaux logiciels malveillants pourront probablement s’exécuter sur Windows 64 bits. Cependant, le manque de compatibilité peut aider à protéger contre les anciens logiciels malveillants à l'état sauvage.


    Sauf si vous utilisez d'anciens programmes 16 bits grinçants, un matériel ancien ne proposant que des pilotes 32 bits ou un ordinateur doté d'un processeur 32 bits assez ancien, vous devriez utiliser la version 64 bits de Windows. Si vous ne savez pas quelle version vous utilisez mais que vous utilisez un ordinateur moderne sous Windows 7 ou 8, vous utiliserez probablement l'édition 64 bits..

    Bien entendu, aucune de ces fonctionnalités de sécurité n’est infaillible, et une version 64 bits de Windows reste vulnérable aux programmes malveillants. Cependant, les versions 64 bits de Windows sont nettement plus sécurisées.

    Crédit d'image: William Hook sur Flickr