Windows 11

Windows 11 et sa fausse alerte de sécurité, Microsoft ne trouve pas la solution

En attendant le correctif, il est possible d'agir, explication

Un bug de Windows 11 pose des problèmes à Microsoft. Sa solution n’est pas évidente puisque le récent Patch Tuesday (avril 2023) n’a pas permis de déployer une solution. La défaillance touche la protection de l’autorité de sécurité locale.

Il ne s’agit pas d’un nouveau bug ni même d’une défaillance de protection. Depuis plusieurs semaines, des utilisateurs de Windows 11 sont victimes d’une fausse alerte de sécurité. Le système d’exploitation indique à tort que « la protection de l’autorité de sécurité locale est désactivée. Votre appareil peut être vulnérable ».  Cette dernière est cependant toujours activée.

Windows 11 est à l’origine d’une fausse alerte de sécurité

Ce bug a fait son apparition suite au déploiement de la mise à jour de sécurité obligatoire KB5007651. Il concerne Windows Defender. La protection LSA (Local Security Authority) a pour objectif de limiter les possibilités de compromettre des informations d’identification. Elle œuvre à vérifier les connexions Windows. Elle a été introduite pour la première fois avec Windows 8.1 et Windows Server 2012 R2. Cette protection est activée par défaut et Microsoft souhaite qu’elle le reste si bien qu’un avertissement apparait si ce n’est pas le cas. Il stipule à l’utilisateur « La protection de l’autorité de sécurité locale est désactivée. Votre appareil est peut-être vulnérable » .

LSA ou l’autorité de sécurité locale ou encore Local Security Authority Process (LSASS) est une fonction très importante pour ne pas dire critiques du système de sécurité de Windows. Elle fait partie d’un ensemble œuvrant à authentifier l’identité d’un utilisateur au cours du processus d’ouverture de session. Ses tâches sont multiples allant de la création de jetons d’accès pour des sessions de connexion unique à la surveillance des changements de mot de passe en passant par un regard sur les tentatives de connexion. Vous pouvez facilement vérifier, via le gestionnaire des tâches, qu’elle fonctionne en permanence en tâche de fond (processus Isass.exe)

Avec Windows 11 Microsoft a introduit la protection du sous-système de l’autorité de sécurité. L’idée est d’utiliser la virtualisation matérielle pour isoler le processus LSA dans un conteneur empêchant ainsi l’accès à de possibles acteurs ou applications malveillants.

Windows 11 et le bug LSA

Pour revenir à notre bug même si cette fonctionnalité est activée Windows 11 peut avertir à tort qu’elle est désactivée si bien que le PC serait vulnérable. Il s’agit d’une fausse alerte. Sa correction ne semble pas si simple car les différentes mises à jour pour Windows Defender n’ont pas permis de résoudre la situation. Il en est de même pour les récentes mises à jour cumulatives Windows 11 publiées dans le cadre de la grande maintenance mensuelle de Microsoft. A noter qu’en plus de cet avertissement Windows Defender demande de manière persistante un redémarrage du PC.

Microsoft travaille sur la question mais le correctif tarde. En attendant et sachant qu’il n’y a aucun calendrier précis, une solution de contournement existe. L’opération est délicate car elle demande d’intervenir dans le registre, la colonne vertébrale de Windows 11. Nous vous conseillons de faire une sauvegarde système avant d’agir. Le mieux est de faire un clonage du disque système.

Procédure

  • Ouvrez l’Éditeur du Registre Windows (regedit).
  • Accédez à l’emplacement suivant : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  • Assurez-vous que les entrées RunAsPPL et RunAsPPLBoot sont présentes. Si ce n’est pas le cas il faut les créer via des DWORD
  • Ensuite associez à ces deux entrées la valeur 2.

Normalement après un redémarrage l’alerte de sécurité ne devrait plus apparaitre. Si une intervention dans le registre est trop délicate, vous pouvez exécuter le script PowerShell suivant. Il va apporter les modifications nécessaires au registre.

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v RunAsPPL /t REG_DWORD /d 2 /f;reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v RunAsPPLBoot /t REG_DWORD /d 2 /f;

Selon le porte-parole de Microsoft, vous pouvez ignorer ces alertes en toute sécurité si vous activez la protection LSA (Local Security Authority) et redémarrez votre PC au moins une fois.

Jérôme Gianoli

Aime l'innovation, le hardware, la High Tech et le développement durable. Soucieux du respect de la vie privée.

3 commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page