La prochaine version majeure de Windows 10 aura droit à un environnement sécurisé et isolé dans lequel exécuter des applications suspectes. Cette Sandbox est désormais disponible auprès des Insiders dans la version 18305 de Windows 10 19H1.
On se retrouve tous, un jour, avec cette application sur notre PC. On ne sait pas vraiment d’où elle vient, ni qui l’édite, et quand bien même une recherche Internet nous assure qu’elle est totalement légitime, notre paranoïa nous fait hésiter au moment de cliquer sur « Exécuter ». La prochaine version de Windows 10 Pro et Enterprise lèvera ce doute.
En effet, elle intègrera une Sandbox, un « bac à sable » qui était jusqu’à présent testé en interne chez Microsoft sous le nom InPrivateDesktop. Cette fonctionnalité est présentée par l’éditeur comme « un environnement de bureau temporaire et isolé, dans lequel vous pouvez exécuter des logiciels non fiables sans craindre des répercussions durables pour votre PC ». Elle est disponible pour les membres du programme Insiders ayant opté pour le Fast Ring, dans la build 18305 de l’OS.
Plus concrètement, il s’agit de faire tourner une machine virtuelle isolée du kernel sur un poste de travail. Redmond parle de « virtualisation matérielle pour l’isolation du kernel, qui repose sur l’hyperviseur de Microsoft pour exécuter un kernel distinct qui isole Windows Sandbox de l’hôte ». Mais pas question de devoir réinstaller Windows 10, Sandbox s’appuie sur une image dynamique du Windows 10 installé sur la machine, plutôt que de télécharger un nouveau disque dur virtuel comme c’est généralement le cas pour une VM classique.
Un bac à sable pensé pour les ordinateurs portables
Evidemment, toute application installée et exécutée sur la Sandbox y est circonscrite, n’affectant pas l’host. Et une fois que l’environnement isolé est fermé, tout logiciel présent, ainsi que tous ses fichiers et états, sont définitivement supprimés. Une configuration minimale est requise, tous les détails sont disponibles dans une note de blog.
En outre Sandbox est pensé comme une machine virtuelle devant tourner sur un ordinateur, la fonctionnalité utilise donc un système de gestion de la mémoire entre l’host et l’environnement virtualisé, un « integrated scheduler » décrit comme une stratégie de planification unique permettant aux processeurs virtuels du Sandbox d’être planifiés de la même manière que les threads seraient planifiés pour un processus ou encore une prise en compte de la batterie par Sandbox.