La plupart des nouveaux PC sont livrés avec Version 64 bits de Windows - Windows 7 et 8 - depuis des années maintenant. Les versions 64 bits de Windows ne consistent pas seulement à tirer parti de la mémoire supplémentaire. Elles sont également plus sécurisées que les versions 32 bits.
Les systèmes d'exploitation 64 bits ne sont pas à l'abri des logiciels malveillants, mais ils disposent de davantage de fonctionnalités de sécurité. Une partie de ceci s'applique également aux versions 64 bits d'autres systèmes d'exploitation, tels que Linux. Les utilisateurs de Linux bénéficieront d'avantages de sécurité en changeant vers une version 64 bits de leur distribution Linux .
Randomisation de la disposition de l'espace d'adressage
ASLR est une fonction de sécurité qui permet à l’emplacement des données d’un programme d’être disposé aléatoirement en mémoire. Avant l'ASLR, les emplacements des données d'un programme en mémoire pouvaient être prévisibles, ce qui facilitait considérablement les attaques contre un programme. Avec ASLR, un attaquant doit deviner l'emplacement correct en mémoire lorsqu'il tente d'exploiter une vulnérabilité dans un programme. Une estimation incorrecte peut entraîner le blocage du programme, de sorte que l'attaquant ne pourra pas réessayer.
Cette fonction de sécurité est également utilisée sur les versions 32 bits de Windows et d’autres systèmes d’exploitation, mais elle est beaucoup plus puissante sur les versions 64 bits de Windows. Un système 64 bits a un espace d'adressage beaucoup plus grand qu'un système 32 bits, ce qui rend l'ASLR beaucoup plus efficace.
Signature obligatoire du conducteur
La version 64 bits de Windows applique la signature obligatoire du pilote. Tous les codes de conducteur du système doivent avoir une signature numérique. Cela inclut les pilotes de périphériques en mode noyau et les pilotes en mode utilisateur, tels que les pilotes d'imprimante.
La signature obligatoire des pilotes empêche les pilotes non signés fournis par des logiciels malveillants de s'exécuter sur le système. Les auteurs de logiciels malveillants devront en quelque sorte contourner le processus de signature via un rootkit au démarrage ou réussir à signer les pilotes infectés avec un certificat valide volé à un développeur de pilotes légitime. Cela rend plus difficile l'exécution des pilotes infectés sur le système.
La signature des pilotes pourrait également être appliquée sur les versions 32 bits de Windows, mais ce n'est pas le cas - probablement pour une compatibilité continue avec les anciens pilotes 32 bits qui n'ont peut-être pas été signés.
Pour désactiver la signature du pilote pendant le développement sur les éditions 64 bits de Windows, vous devez attacher un débogueur de noyau ou utilisez une option de démarrage spéciale qui ne persiste pas lors des redémarrages du système.
Protection des correctifs du noyau
KPP, également connu sous le nom de PatchGuard, est une fonction de sécurité disponible uniquement sur les versions 64 bits de Windows. PatchGuard empêche les logiciels, même les pilotes exécutés en mode noyau, de patcher le noyau Windows. Cela n’a toujours pas été pris en charge, mais cela est techniquement possible sur les versions 32 bits de Windows. Certains programmes antivirus 32 bits ont mis en œuvre leurs mesures de protection antivirus à l'aide des correctifs du noyau.
PatchGuard empêche les pilotes de périphériques de patcher le noyau. Par exemple, PatchGuard empêche les rootkits de modifier le noyau Windows pour s'intégrer dans le système d'exploitation. Si une tentative de correction du noyau est détectée, Windows s'arrêtera immédiatement avec un écran bleu ou redémarrera.
Cette protection pourrait être mise en place sur la version 32 bits de Windows, mais ce n’a pas été le cas - probablement pour une compatibilité continue avec les logiciels 32 bits hérités qui dépendent de cet accès.
Protection de l'exécution des données
DEP permet à un système d'exploitation de marquer certaines zones de la mémoire comme «non exécutables» en définissant un «bit NX». Les zones de mémoire censées contenir uniquement des données ne seront pas exécutables.
Par exemple, sur un système sans DEP, un attaquant pourrait utiliser une sorte de débordement de tampon pour écrire du code dans une région de la mémoire d'une application. Ce code pourrait alors être exécuté. Avec DEP, l'attaquant pourrait écrire du code dans une région de la mémoire de l'application - mais cette région serait marquée comme non exécutable et ne pourrait pas être exécutée, ce qui arrêterait l'attaque.
Les systèmes d'exploitation 64 bits ont un DEP basé sur le matériel. Bien que cela soit également pris en charge sur les versions 32 bits de Windows si vous disposez d'un processeur moderne, les paramètres par défaut sont plus stricts et le DEP est toujours activé pour les programmes 64 bits, alors qu'il est désactivé par défaut pour les programmes 32 bits pour des raisons de compatibilité.
La boîte de dialogue de configuration DEP dans Windows est un peu trompeuse. Comme Microsoft’s documentation États, DEP est toujours utilisé pour tous les processus 64 bits:
«Les paramètres de configuration du système DEP s'appliquent uniquement aux applications et processus 32 bits lorsqu'ils sont exécutés sur des versions 32 bits ou 64 bits de Windows. Sur les versions 64 bits de Windows, si le DEP appliqué par le matériel est disponible, il est toujours appliqué aux processus 64 bits et aux espaces mémoire du noyau et aucun paramètre de configuration système ne permet de le désactiver. »
WOW64
Les versions 64 bits de Windows exécutent le logiciel Windows 32 bits, mais elles le font via une couche de compatibilité appelée WOW64 (Windows 32 bits sur Windows 64 bits). Cette couche de compatibilité applique certaines restrictions à ces programmes 32 bits, ce qui peut empêcher les logiciels malveillants 32 bits de fonctionner correctement. Les logiciels malveillants 32 bits ne pourront pas non plus s'exécuter en mode noyau - seuls les programmes 64 bits peuvent le faire sur un système d'exploitation 64 bits - cela peut donc empêcher certains logiciels malveillants plus anciens de 32 bits de fonctionner correctement. Par exemple, si vous avez un ancien CD audio contenant le rootkit Sony, il ne pourra pas s’installer sur une version 64 bits de Windows.
Les versions 64 bits de Windows suppriment également la prise en charge des anciens programmes 16 bits. En plus d'empêcher l'exécution des anciens virus 16 bits, cela obligera également les entreprises à mettre à niveau leurs anciens programmes 16 bits qui pourraient être vulnérables et non corrigés.
Étant donné l'étendue actuelle des versions 64 bits de Windows, les nouveaux logiciels malveillants seront probablement capables de s'exécuter sur Windows 64 bits. Cependant, le manque de compatibilité peut aider à se protéger contre les anciens logiciels malveillants dans la nature.
À moins que vous n'utilisiez de vieux programmes 16 bits grinçants, du matériel ancien qui ne propose que des pilotes 32 bits ou un ordinateur avec un processeur 32 bits assez ancien, vous devriez utiliser la version 64 bits de Windows. Si vous n'êtes pas sûr de la version que vous utilisez, mais que vous disposez d'un ordinateur moderne exécutant Windows 7 ou 8, vous utilisez probablement l'édition 64 bits.
Bien sûr, aucune de ces fonctionnalités de sécurité n'est infaillible, et une version 64 bits de Windows est toujours vulnérable aux logiciels malveillants. Cependant, les versions 64 bits de Windows sont nettement plus sécurisées.
Image Credit: William Hook sur Flickr
