Windows va expulser les antivirus du noyau système pour éviter les BSOD massifs

Après un incident majeur ayant provoqué des millions d’écrans bleus de la mort (BSOD) l’année dernière, Microsoft décide de revoir en profondeur la manière dont les logiciels de sécurité interagissent avec Windows.

Dans le cadre de son initiative WRI contraction de Windows Resiliency Initiative, l’entreprise va progressivement retirer les antivirus du mode noyau. Cette décision pourrait transformer durablement l’écosystème de la cybersécurité sur PC.

Un changement majeur après le fiasco CrowdStrike

Ce virage intervient à la suite de la mise à jour défectueuse de CrowdStrike en 2023. A l’époque elle avait entraîné une panne massive sur des millions de machines Windows. Pour éviter qu’un tel incident ne se reproduise, Microsoft a organisé un sommet de la sécurité réunissant les principaux acteurs du secteur. Plusieurs géants de la cybersécurité comme Bitdefender, ESET, SentinelOne, Trend Micro, Trellix et d’autres se sont ralliés à l’initiative Microsoft Virus Initiative (MVI) 3.0, avec pour objectif de repenser ensemble la manière dont les logiciels antivirus interagissent avec Windows.

Antivirus et EDR : un mode utilisateur seulement

Le cœur de cette réforme réside dans une décision importante. Elle va faire sortir les antivirus et les solutions EDR (détection et réponse aux menaces) du mode noyau (le niveau le plus critique du système d’exploitation), pour qu’ils s’exécutent uniquement en mode utilisateur, comme les autres applications classiques.

Selon David Weston, vice-président de la sécurité chez Microsoft, l’objectif est de limiter les privilèges accordés aux logiciels de sécurité. Pourquoi ? Une défaillance à ce niveau peut entraîner des pannes catastrophiques, comme celles observées avec CrowdStrike. En isolant ces outils dans un espace moins critique, Microsoft espère renforcer la stabilité de Windows tout en limitant les risques d’exploitation par des malwares.

Microsoft précise qu’il ne veut pas imposer un modèle figé. Les fournisseurs auront accès à une préversion privée de la nouvelle plateforme de sécurité, et pourront faire remonter leurs retours pour co-concevoir les futures API. David Weston déclare

 Nous ne sommes pas là pour leur dire comment cela doit fonctionner, mais pour écouter et bâtir une solution fiable et sécurisée ensemble..

Vers la fin des anti-triches en mode noyau ?

Ce changement pourrait également impacter les systèmes anti-triche utilisés dans les jeux vidéo, comme Easy Anti-Cheat. Ils Reposent eux aussi sur des accès au noyau. À terme, cette technologie controversée pourrait bien devenir obsolète.