Microsoft va certifier à nouveau les anciens pilotes de noyau dans Windows 11 et Windows Server. Seuls les pilotes répondant encore aux nouvelles normes de sécurité continueront de fonctionner à partir d’avril.
Microsoft annonce dans un blog qu’elle surveillera plus strictement la prise en charge des pilotes de noyau dans Windows. À partir de la mise à jour d’avril 2026, les pilotes de noyau ayant été signés par des logiciels obsolètes devront obtenir à nouveau leur certificat. Les anciens certificats n’offrent plus de garanties suffisantes pour la sécurité et la compatibilité des pilotes, écrit Microsoft.
Désormais, seuls les pilotes répondant aux exigences strictes du Windows Hardware Compatibility Program (WHCP) pourront être chargés par défaut. Microsoft conserve toutefois une liste limitée de pilotes « de confiance » afin d’éviter les problèmes de compatibilité. Ce changement s’applique aux versions prises en charge de Windows 11 et à Windows Server 2025, et sera également effectif pour toutes les nouvelles versions à l’avenir.
La nouvelle politique garantit que seuls les pilotes certifiés WHCP accèdent au noyau, ce qui réduit considérablement la surface d’attaque. Microsoft souligne que les pilotes constituent un élément critique de l’écosystème Windows et que leur intégrité est essentielle pour un environnement de travail sécurisé. Les pilotes plus anciens représentent un risque de sécurité invisible.
Mode d’évaluation
Chaque pilote aura une chance équitable de faire ses preuves. Microsoft prévoit une phase d’évaluation en avril pour éviter les problèmes de compatibilité. Durant cette phase, le système surveillera et auditera tous les chargements de pilotes afin de déterminer si la nouvelle politique peut être activée en toute sécurité.
Un certificat ne sera accordé que si des critères stricts sont remplis, tels qu’un minimum de 100 heures de fonctionnement et trois redémarrages pour Windows 11. Pour Windows Server, un minimum de deux redémarrages est requis. Les pilotes ne répondant pas aux nouvelles normes seront bloqués. Si des pilotes non fiables sont détectés lors de l’évaluation, la période d’évaluation sera réinitialisée et la politique restera en mode d’évaluation.
Pour les organisations dépendant de pilotes spécifiques non certifiés WHCP, Microsoft propose une solution via Application Control for Business. Cette politique permet aux entreprises d’autoriser elles-mêmes des pilotes qui ne sont pas fiables par défaut, à condition qu’ils soient signés par une clé autorisée dans l’environnement Secure Boot. Cette approche permet de maintenir la sécurité sans sacrifier la compatibilité.
Confusion autour des imprimantes
Microsoft reconnaît que de nombreux utilisateurs et organisations dépendent de pilotes plus anciens pour leur matériel ou leurs logiciels. L’équilibre entre sécurité et compatibilité s’avère parfois difficile à maintenir. En février, Microsoft a semé la confusion en laissant entendre que les anciennes imprimantes perdraient leur support dans Windows. À terme, Microsoft souhaite se débarrasser au plus vite des pilotes tiers dans Windows et orienter les utilisateurs vers ses propres logiciels.