Plus d’un an et demi après en avoir parlé, Microsoft annonce officiellement l’abandon de Defender Application Guard pour Office. Le groupe donne aux administrateurs Windows en entreprises jusqu’à décembre 2027 au plus tard pour mettre en place des alternatives. Il suggère d’installer ses couches de sécurité ASR et WDAC.
En avril 2024, Microsoft avait évoqué la suppression complète en 2027 de Microsoft Defender Application Guard (MDAG), sa fonctionnalité de sécurité qui isole les documents Office non fiables dans un environnement virtualisé. Le groupe vient de confirmer cet abandon à la date prévue. Il a fait cette annonce la semaine dernière dans une mise à jour du Centre de messages Microsoft 365.
Une version pour Edge et une autre pour Office
Lancé en 2018, Application Guard est un outil conçu à l’origine pour Edge, le navigateur Windows 10 de Microsoft. Il crée une instance temporaire de l’OS et du navigateur dans un environnement virtualisé pour isoler un fichier (un mail) jugé non fiable. La fonctionnalité empêche ainsi toute interaction entre la session Web et le périphérique physique. Dès lors, les logiciels malveillants ne peuvent plus atteindre le système d’exploitation et les applications. La version pour Office opère de la même façon. Sauf qu’elle ne protège pas Edge, mais les logiciels Word, Excel et PowerPoint contre les documents corrompus. Plutôt que d’ouvrir les fichiers dans la mémoire principale, MDAG Office le fait dans un bac à sable Hyper-V, isolant ainsi tout malware exécuté à partir du système d’exploitation.
L’abandon de Defender Application Guard se fera progressivement
Si Application Guard met en quarantaine les documents non fiables ou malveillants, il présente quelques inconvénients. En effet, cet outil ralentit considérablement le chargement des documents et peut être compromis par des vulnérabilités occasionnelles dans la couche d’isolation. Sa suppression progressive par Microsoft commencera avec la version 2602 d’Office current patch Tuesday channel en février 2026. Puis suivront le monthly enterprise channel en avril 2026 et le semi-annual enterprise channel en juillet 2026, avec des fins complètes avant fin 2027.
Deux alternatives à Defender Application Guard
Microsoft conseille aux administrateurs Windows en entreprises de se tourner vers des alternatives qui remplissent la même fonction. D’une part la réduction de la surface d’attaque (Attack Surface Reduction, ASR), permettant de bloquer automatiquement les scripts malveillants, les exécutables ou l’injection de code. D’autre part le contrôle d’application Windows Defender (Windows Defender Application Control, WDAC), qui s’exécute au niveau du noyau. Cette dernière solution surveille les signatures numériques, les hachages de fichiers et d’autres signaux de réputation pour bloquer les applications malveillantes. Pour une meilleure installation, Microsoft recommande de consulter la documentation interne et les instructions du service d’assistance.
