De nombreux utilisateurs de Windows 10 et 11 constatent que Microsoft Defender s'installe sans leur permission,
dès lors qu'ils disposent d'un abonnement Microsoft 365 actif
Ne soyez pas surpris si vous voyez une nouvelle application « Microsoft Defender » dans le menu Démarrer. Il s'agit d'une nouvelle application qui s'installe automatiquement sur les machines Windows 11 et 10. Après l'avoir testé pendant plus d'un an, Microsoft a finalement sauté le pas et a commencé à installer la toute nouvelle application Defender, que cela vous plaise ou non.
Microsoft Defender prend la forme d'un tableau de bord de sécurité qui avertit les utilisateurs et utilisatrices en cas de menace sur leurs différents appareils (ordinateurs, smartphones et tablettes). Proposant une interface uniformisée, Microsoft Defender permet ainsi de garder un œil sur la protection de ses comptes depuis n'importe quel endroit.
Dans un premier temps, les utilisateurs ciblés par cette installation forcée seront les souscripteurs d'un abonnement 365 Family ou 365 Personal. L'application sera également ajoutée au programme d'installation de Microsoft 365, de sorte que quiconque souscrira un abonnement ultérieurement, bénéficiera directement de l'installation automatique.
C'est ce que Microsoft explique dans un document de support :
Un courriel avait déjà été envoyé aux personnes inscrites à Microsoft 365 Personal et Microsoft 365 Family pour leur indiquer que, pour les utilisateurs de Windows 10 et Windows 11, « l'application Defender sera bientôt ajoutée automatiquement » à leurs appareils. Une date précise pour cela n'a pas été révélée, mais Microsoft a indiqué que cette installation automatique allait débuter « en février ».Envoyé par Microsoft
Et cette date butoir est déjà arrivée : au cours du week-end, Microsoft a discrètement installé l'application Microsoft Defender sur des appareils exécutant tournant sur Windows 10 et Windows 11, selon des internautes qui en ont fait l'objet.
Nul doute que cette stratégie de Microsoft visant à imposer un logiciel ne gagnera pas en popularité, même si cela est fait avec la bonne intention de sécuriser les PC. La bonne nouvelle est que l'installation automatique de Microsoft Defender ne vous connecte pas au logiciel, il ne sera donc pas activé à moins que vous ne le fassiez manuellement.
Une application mise à jour récemment
Plus tôt cette année, Microsoft a annoncé avoir ajouté la prise en charge de l'isolation des périphériques à Microsoft Defender for Endpoint (MDE) sur les appareils Linux embarqués. Les administrateurs d'entreprise peuvent désormais isoler manuellement les machines Linux inscrites à l'aide du portail Microsoft 365 Defender ou via des requêtes API. Une fois isolés, les acteurs de la menace n'auront plus de connexion avec le système infecté, ce qui coupe leur contrôle et bloque les activités malveillantes comme le vol de données. La fonction d'isolation des périphériques est en avant-première publique et reflète ce que le produit fait déjà pour les systèmes Windows.
« Certains scénarios d'attaque peuvent vous obliger à isoler un appareil du réseau. Cette action peut contribuer à empêcher l'attaquant de contrôler l'appareil compromis et de réaliser d'autres activités telles que l'exfiltration de données et e le mouvement latéral. Tout comme pour les périphériques Windows, cette fonction d'isolation de l'appareil déconnecte l'appareil compromis du réseau tout en conservant la connectivité au service Defender for Endpoint, tout en continuant à surveiller l'appareil », a expliqué Microsoft. Selon le géant des logiciels, lorsque l'appareil est isolé, il est limité dans les processus et les destinations Web qui sont autorisés.
Cela signifie que s'il se trouve derrière un tunnel VPN complet, il ne pourra pas atteindre les services cloud Defender for Endpoint de Microsoft. Microsoft recommande aux clients d'utiliser un VPN à tunnel partagé pour le trafic basé sur le cloud, tant pour Defender for Endpoint que pour Defender Antivirus. Une fois que la situation à l'origine de l'isolement est réglée, ils pourront reconnecter l'appareil au réseau. L'isolement du système se fait via les API. Les utilisateurs peuvent accéder à la page du périphérique des systèmes Linux via le portail Microsoft 365 Defender, où ils verront un onglet "Isoler le périphérique" en haut à droite parmi d'autres options.
Microsoft a décrit les API permettant à la fois d'isoler le périphérique et de le libérer du verrouillage. Les périphériques isolés peuvent être reconnectés au réseau dès que la menace a été atténuée à l'aide du bouton "Release from isolation" sur la page du périphérique ou d'une requête API HTTP "unisolate". Les dispositifs Linux qui peuvent utiliser Microsoft Defender for Endpoint comprennent Red Hat Enterprise Linux (RHEL), CentOS, Ubuntu, Debian, SUSE Linux, Oracle Linux, Fedora Linux et Amazon Web Services (AWS) Linux. Cette nouvelle fonctionnalité des systèmes Linux reflète une fonctionnalité existante sur les systèmes Windows de Microsoft.
Sur les terminaux Linux, Microsoft Defender for Endpoint est un produit en ligne de commande dotée de fonctionnalités de lutte contre les logiciels malveillants et EDR (endpoint detection and response - en français, détection et réponse aux points de terminaison) conçues pour envoyer toutes les informations sur les menaces qu'il détecte au portail Microsoft 365 Defender. Selon la firme de Redmond, les administrateurs disposant d'un abonnement à Microsoft Defender for Endpoint peuvent le déployer et le configurer sur les périphériques Linux manuellement ou à l'aide des outils de gestion de la configuration Puppet, Ansible et Chef.
L'isolation des périphériques Linux est la dernière fonctionnalité de sécurité récente que Microsoft a intégrée au service de cloud computing. Au début du mois, la société a étendu la protection contre la falsification pour Defender for Endpoint afin d'inclure des exclusions d'antivirus. Tout cela fait partie d'un modèle plus large de renforcement de Defender avec un œil sur l'open source. Lors de son salon Ignite en octobre 2022, Microsoft a annoncé l'intégration de la plateforme de surveillance réseau open source Zeek en tant que composant de Defender for Endpoint pour l'inspection approfondie des paquets du trafic réseau.
Toujours lors de l'événement, Redmond a évoqué les nouvelles capacités visant à permettre aux équipes d'opérations de sécurité de détecter plus tôt les attaques de commande et de contrôle (C2), ce qui leur permet de limiter la propagation des dégâts et de supprimer les binaires malveillants. Cette nouvelle fonctionnalité intervient également après que des mises à jour de Defender for Endpoint ont semé la panique chez les professionnels de la sécurité - le vendredi 13 - en supprimant par inadvertance des icônes et des raccourcis d'applications du bureau, de la barre des tâches et du menu Démarrer dans les systèmes Windows 10 et 11.
Microsoft a corrigé le problème, mais les utilisateurs se sont retrouvés avec des fichiers définitivement supprimés. Notons que la solution de sécurité des terminaux d'entreprise a été mise à disposition de manière générale pour Linux et Android en juin 2020 après être entrée en avant-première publique en février 2020, avec une prise en charge de plusieurs versions distribuées de serveurs Linux. Il y a deux ans, Microsoft a annoncé l'ajout de capacités de réponse en direct pour les appareils Linux dans Microsoft Defender for Endpoint et a inclus un support pour identifier et évaluer les configurations de sécurité des appareils Linux sur les réseaux d'entreprise.
Source : Microsoft
Et vous ?
Que pensez-vous de cette décision de Microsoft ? Doit-on forcer une installation d'un outil, fut-il de sécurité, sans l'aval de l'utilisateur sous prétexte que c'est pour « son bien » ? Dans quelle mesure ?
Partager