@Work
Microsoft cherche à renforcer la sécurité de Windows 11 en s’inspirant du smartphone
Par Laurent Delattre, publié le 10 février 2026
En lançant les initiatives Windows Baseline Security Mode et User Transparency and Consent, Microsoft veut étendre aux applications Win32 classiques et aux agents IA le contrôle des permissions jusqu’ici réservé aux apps du Windows Store. Un virage structurel dans la sécurité Windows, porté par une crise de confiance que l’éditeur ne peut plus ignorer.
Windows 11 équipe aujourd’hui plus d’un milliard de terminaux (preuve que l’OS est plus répandu que ne le veut la perception populaire). Mais derrière ce chiffre, Microsoft fait face à un problème qu’il a lui-même fini par reconnaître : une érosion profonde de la confiance des utilisateurs et des professionnels de l’IT.
Entre les mises à jour problématiques à répétition, des intégrations IA perçues comme intrusives, des auto-pubs intégrées dans l’interface, des paramètres modifiés sans consentement et une inflation constante des ransomwares et autres malwares, les griefs se sont accumulés au point que Pavan Davuluri, président de la division Windows and Devices, a dû s’engager publiquement début 2026 à « regagner la confiance de la communauté Windows ». L’éditeur a même réorganisé ses équipes d’ingénieurs autour d’un modèle dit de « swarming », concentré sur la fiabilité et la performance du système.
Même si de plus en plus de personnes estiment désormais que le seul avenir réel de Windows est d’embrasser l’open source, Microsoft ne baisse pas les bras et espère bien reconquérir la confiance des DSI et RSSI en annonçant deux nouvelles initiatives rattachées à sa Secure Future Initiative (SFI) : le Windows Baseline Security Mode et le programme User Transparency and Consent. Deux piliers qui, ensemble, comptent bien significativement redessiner la philosophie de sécurité de l’OS.
Ce qui existe déjà et ce qui change vraiment
Précisons d’emblée : Windows 11 demande déjà des autorisations lorsqu’une application tente d’accéder à la caméra, au microphone ou à la géolocalisation par exemple. Et des protections supplémentaires comme SmartScreen filtrent les logiciels au moment de l’installation ou du premier lancement. S’y ajoute même une fonctionnalité optionnelle et méconnue, propre à Windows 11, dénommée Smart App Control qui bloque l’exécution d’applications jugées non fiables ou potentiellement malveillantes, en s’appuyant sur la réputation « cloud » de Microsoft et la signature du code.
Alors où est la nouveauté ? La réponse tient en deux éléments : le périmètre et le « par défaut ». Car les protections existantes (hormis Smart App Control) ne concernent pour l’essentiel que les applications UWP (celles du Microsoft Store) et certaines apps modernes empaquetées. Or, l’immense majorité du parc applicatif installé en entreprise repose encore sur des programmes Win32 classiques, des exécutables traditionnels qui peuvent accéder librement au système de fichiers, lire les documents de l’utilisateur, installer des composants additionnels ou modifier des clés de registre sans jamais déclencher le moindre prompt de consentement. Et quand on parle de « parc applicatif existant », cela intègre la quasi-totalité des malwares.
Avec User Transparency and Consent, Microsoft entend étendre ce modèle de permissions granulaires à l’ensemble des applications, Win32 comprises. Concrètement, lorsqu’un programme tentera d’accéder à des ressources sensibles (fichiers, caméra, microphone, géolocalisation, paramètres système) ou d’installer un logiciel tiers, l’utilisateur sera systématiquement sollicité via une fenêtre de consentement claire et réversible, à la manière de ce qui existe sur iOS ou Android. L’utilisateur pourra à tout moment visualiser quelles applications accèdent à quelles ressources et révoquer ces accès.
Le Windows Baseline Security Mode va plus loin sur le plan de l’intégrité système : les garde-fous d’intégrité au niveau du runtime seront activés par défaut, et non plus en opt-in comme c’est le cas aujourd’hui avec Smart App Control. Seuls les applications, services et pilotes correctement signés pourront s’exécuter. Les utilisateurs et administrateurs IT conserveront la possibilité de créer des exceptions pour des applications spécifiques, et les développeurs disposeront d’API leur permettant de vérifier si ces protections sont actives. Ce nouveau mode s’accompagne d’une amélioration majeure de Smart App Control actuellement en test auprès de certains Windows Insiders (pas tous). Jusqu’ici, Smart App Control imposait une réinstallation systématique du système quand on activait cette protection ou qu’on souhaitait la réactiver après l’avoir temporairement désactivée. En attendant la disponibilité de Windows Baseline Security Mode, Microsoft corrige enfin cette rigidité (une amélioration qui devrait se concrétiser sur Windows 11 26H2) : les utilisateurs pourront activer ou désactiver la fonctionnalité à volonté, sans repartir de zéro. Cette évolution répond aux critiques récurrentes d’un système trop strict, qui bloquait parfois des applications parfaitement légitimes et ne laissait aucune marge de manœuvre. Dans les versions actuelles de test, il devient possible de suspendre temporairement Smart App Control pour installer un logiciel, puis de le réactiver immédiatement après, tout en conservant les autres protections de Windows. De quoi rendre Smart App Control bien plus utile sur nos environnements Windows quotidiens (elle était jusqu’ici considérée comme une protection pour postes critiques).
L’enjeu majeur : encadrer les agents IA
Et si cette approche étendue à l’existant applicatif est bienvenue, la dimension la plus stratégique de cette annonce Microsoft concerne en réalité les agents IA. Avec la montée en puissance de Copilot Actions et des workloads agentiques sur Windows, Microsoft doit impérativement disposer d’un cadre de consentement adapté à des actions automatisées d’un genre nouveau : un agent qui parcourt des fichiers, envoie des mails ou interagit avec des API tierces pour le compte de l’utilisateur. Les prompts caméra/micro actuels n’ont tout simplement pas été conçus pour ce type d’interactions.
« À mesure que nous construisons des agents de plus en plus capables, il est d’autant plus important que les utilisateurs aient de la visibilité et du contrôle sur ce qui se passe sur leurs ordinateurs, » témoigne ainsi Ari Weinstein, d’OpenAI.
« Cela compte encore plus lorsque des agents IA commencent à agir au nom des utilisateurs » abonde Thomas Paul Mann, cofondateur et CEO de Raycast.
Du côté des acteurs de la cybersécurité, Alex Ionescu, Chief Technology Innovation Officer de CrowdStrike, n’y perçoit pas une énième tentative de Microsoft d’empiéter sur leur champ d’action, mais y voit au contraire un levier direct pour l’efficacité des solutions de protection : « Quand les applications et les workloads agentiques se comportent correctement et respectent les paramètres de consentement avec des frontières de sécurité adéquates, les logiciels de sécurité peuvent mieux protéger les utilisateurs avec un overhead de performance réduit. »
Un déploiement progressif à surveiller et des promesses à tenir
Reste que l’initiative, que certains jugeront bien tardive, n’est qu’un « work in progress ». Et Microsoft ne semble pas vouloir imposer de rythme intense. L’éditeur veut au contraire favoriser un déploiement très graduel. Dans un premier temps, les utilisateurs et administrateurs IT obtiendront de la visibilité sur le comportement des applications et agents, avant que des restrictions plus contraignantes n’entrent en vigueur. Les applications existantes bien conçues continueront de fonctionner, et l’éditeur promet des outils pour faciliter la transition des développeurs.
Cette prudence se justifie : Microsoft doit éviter l’écueil d’une « fatigue du consentement » qui rendrait le système inutilisable à force de prompts, tout en composant avec un écosystème Win32 vieux de quatre décennies. L’initiative s’inscrit d’ailleurs dans la continuité de la Windows Resiliency Initiative (cf aussi notre article la métamorphose de Windows 11), lancée après l’incident CrowdStrike de juillet 2024, qui avait cruellement exposé la fragilité de l’écosystème Windows face aux comportements invasifs de certains logiciels au niveau du noyau.
Pour les entreprises, ce regain de sécurité est forcément bienvenu. Tout dépendra de la qualité de l’implémentation.
Pour le grand public, le regain de confiance recherché par l’éditeur ne pourra pas s’arrêter à une activation plus souple de Smart App Control ou davantage de transparence. Les critiques sur l’installation forcée de OneDrive et Copilot, sur l’invasion de l’IA dans le système sans réelle optionnalité, sur les publicités dans le menu Démarrer rappellent que la tendance à « l’enshitification » (terme anglais désignant une dérive mercantile qui engendre la dégradation progressive et volontaire d’un service numérique, généralement pour maximiser les profits au détriment des utilisateurs) est un poison pénible et dangereux. La confiance ne se décrète pas, elle doit se prouve par l’exemple. Et en la matière, Microsoft a toute une crédibilité à reconquérir… sans jusqu’ici en prendre le chemin par ses actions.
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
