Nouvelle politique de confiance des pilotes dans le noyau Windows : abandon des certificats obsolètes
Microsoft modifie son approche de vérification des pilotes du noyau dans Windows. À partir d'avril 2026, le noyau ignorera les pilotes signés via le programme de co-signature de certificats racine introduit au début des années 2000. Le support de ce programme a pris fin en 2021, mais les certificats sont restés approuvés. Désormais, la priorité est donnée aux signatures du Windows Hardware Compatibility Program (WHCP).
Modifications du mécanisme de confiance
Le noyau Windows passera à une confiance exclusive envers les pilotes WHCP. Les certificats de co-signature obsolètes ne se chargeront plus par défaut. Pour la compatibilité descendante, une liste blanche explicite sera maintenue : les anciens pilotes vérifiés pourront toujours se charger.
Les modifications affecteront :
- Windows 11 24H2, 25H2, 26H1 ;
- Windows Server 2025 ;
- Toutes les futures versions client et serveur.
Cela renforcera la sécurité en minimisant les risques liés aux mécanismes de signature obsolètes, grâce aux données de télémétrie provenant de milliards d'appareils.
Mode d'audit et configuration
La nouvelle politique sera lancée en mode d'audit. Le système suivra :
- Temps d'exécution avec pilotes obsolètes ;
- Nombre de chargements ;
- Stabilité globale.
Les administrateurs pourront outrepasser la politique via AppLocker (anciennement WDAC). Cela est utile pour les scénarios d'entreprise avec des pilotes internes. Microsoft continuera de surveiller les retours pour des ajustements.
En environnements d'entreprise, cela permettra d'équilibrer sécurité et compatibilité avec le matériel hérité.
Contexte des mises à jour de sécurité
Ces modifications s'inscrivent dans une série de mesures pour renforcer la protection. Précédemment, une vulnérabilité réseau critique a été corrigée. Microsoft passe à la deuxième étape de protection des Windows Deployment Services (WDS) : blocage de l'installation automatique de Windows 11 et Server 2025. À l'avenir, un abandon complet des processus WDS obsolètes au profit de protocoles modernes est attendu.
Points clés
- À partir d'avril 2026 : noyau Windows ne fait confiance qu'aux signatures WHCP, les obsolètes via liste blanche ;
- Mode d'audit pour surveillance sans blocages immédiats ;
- AppLocker pour exceptions en entreprise ;
- S'applique à Windows 11 24H2+ et Server 2025 ;
- Basé sur télémétrie pour minimiser les perturbations.
Les développeurs de pilotes sont invités à passer à la certification WHCP par avance. Les administrateurs d'entreprise devraient tester les politiques en mode d'audit.
— Editorial Team
Aucun commentaire pour le moment.