Qu'est-ce que Windows Sandbox ? Comment peut-il vous aider à résoudre vos problèmes de sécurité ?

Des programmes inconnus ou suspects peuvent causer toute une série de problèmes sur le système principal, allant des logiciels malveillants aux modifications indésirables des paramètres système. Une protection efficace est ce qu'on appelle bac à sable (« sandbox »), qui permet aux programmes de s'exécuter dans un environnement virtuel isolé et protégé, séparé du reste du système.

Depuis des années, les utilisateurs de Windows utilisent des outils comme Sandboxie, qui suit toutes les modifications apportées par un programme et les annule à la fermeture, restaurant ainsi le système à son état initial. Pour un niveau d'isolation encore plus élevé, des machines virtuelles (avec VirtualBox ou la technologie Hyper-V intégrée de Microsoft) ont été utilisées. Le système d'exploitation était alors installé séparément et les programmes dangereux pouvaient y être exécutés, avec la possibilité de restaurer le système virtuel à son état initial à tout moment. Cette approche est très fiable, mais nécessite davantage de connaissances et de temps pour configurer et maintenir un système supplémentaire.

Qu'est-ce que Windows Sandbox ?

Windows Sandbox est un environnement de bureau isolé du système d'exploitation Windows, conçu pour tester en toute sécurité les programmes et les fichiers. Il fonctionne comme une machine virtuelle légère et temporaire au sein de votre système. Il utilise la virtualisation accélérée par le matériel (Hyper-V) pour le séparer complètement du système d'exploitation hôte. À chaque démarrage, le système est entièrement propre et vide, se comportant comme un Windows fraîchement installé. Tous les programmes et fichiers installés dans le sandbox sont irrémédiablement perdus à sa fermeture. Le sandbox est intégré à Windows 10/11 (disponible dans les éditions Pro, Entreprise et Éducation, mais pas dans la version Familiale) et ne nécessite aucune licence supplémentaire ni installation d'un autre système d'exploitation.

Si vous avez installé une version Windows 10/11 Famille, vous pouvez ultérieurement la remplacer par une version prise en charge à l'aide d'un script trouvé en ligne (massgrave) ou en achetant une nouvelle licence.

Comment activer et utiliser Windows Sandbox ?

Pour utiliser Sandbox, vous avez besoin d'un système compatible. Il s'agit de Windows 10 (1903 ou version ultérieure) ou Windows 11 avec une licence Pro, Enterprise ou Education et la prise en charge de la virtualisation matérielle. Les processeurs Intel/AMD modernes prennent généralement en charge les technologies de virtualisation (Intel VT-x, AMD-V, etc.), mais cette option doit souvent être activée dans les paramètres BIOS/UEFI.

1. Sous Windows 10/11, ouvrez le Panneau de configuration ou la zone de recherche Démarrer et recherchez « Activer ou désactiver les fonctionnalités Windows » (Activer ou désactiver des fonctionnalités Windows). Dans la liste des fonctionnalités, recherchez Windows Sandbox et cochez la case. Cliquez sur D'accord et redémarrez votre ordinateur lorsque vous êtes invité à installer la fonctionnalité.
2. Après vous être connecté à Windows, ouvrez le menu Démarrer et tapez Bac à sable WindowsCliquez sur l'icône Windows Sandbox. Le système se chargera pendant quelques secondes, puis une fenêtre avec un bureau Windows virtuel s'ouvrira. Vous verrez un bureau similaire au vôtre, mais il s'agit d'un système temporaire distinct avec une configuration par défaut (vous remarquerez peut-être que seuls les programmes par défaut et le navigateur Edge sont installés, par exemple).
3. Dans le sandbox, vous pouvez désormais installer des programmes ou ouvrir des fichiers presque comme sur un système classique. Vous pouvez installer une application suspecte et la tester. Même si elle contient un virus, elle restera dans le sandbox. Par défaut, le système sandboxé dispose d'un accès à Internet (via un réseau virtuel), ce qui facilite le transfert de fichiers ou de mises à jour. Soyez toutefois prudent : du code malveillant peut également accéder au réseau. Vous pouvez échanger des fichiers entre l'hôte et le sandbox grâce au presse-papiers. Par exemple, copiez un fichier sur le système principal (Ctrl+C) et collez-le dans le sandbox (Ctrl+V). Les utilisateurs plus expérimentés peuvent également activer le mappage automatique de dossiers hôtes individuels vers le sandbox en préparant un fichier de configuration .wsb.
4. Une fois les tests terminés, fermez simplement la fenêtre Sandbox de Windows (cliquez sur la croix comme d'habitude). Un avertissement s'affichera, indiquant que tout le contenu du sandbox sera supprimé. Confirmez avec D'accordLe système virtuel s'arrêtera et tout son contenu sera définitivement supprimé. Votre système Windows principal restera tel qu'il était avant le démarrage du sandbox, comme si de rien n'était. Si vous redémarrez le sandbox ultérieurement, vous obtiendrez une nouvelle instance de Windows, sans aucune trace de votre session précédente.

Si vous souhaitez conserver un résultat (un fichier téléchargé) dans le sandbox, veillez à le copier du sandbox vers l'hôte (via le presse-papiers ou un dossier partagé, par exemple) avant de le fermer. Sinon, les données seront perdues à la fermeture de la fenêtre du sandbox.

Windows Sandbox, Sandboxie, VirtualBox ou...?

Windows Sandbox n’est pas la seule solution pour isoler les logiciels malveillants ou indésirables.

Outil Bac à sable Il fonctionne au niveau du système d'exploitation. Il exécute l'application dans le sandbox en interceptant son accès au système. Toutes les modifications apportées par le programme (par exemple, entrées de registre, fichiers) sont redirigées par Sandboxie vers une zone isolée et annulées à la fermeture, restaurant ainsi le système à son état initial. L'avantage de Sandboxie est sa simplicité d'utilisation, sa compatibilité avec Windows Home (et les versions antérieures de Windows) et l'isolation de programmes individuels sans exécuter l'intégralité du système. De plus, plusieurs programmes ou sandboxes distincts peuvent s'exécuter en parallèle dans l'environnement Sandboxie.

Une machine virtuelle complète (VM), qu'elle soit créée via VirtualBox (open source), VMware ou Hyper-V intégré, implique la création manuelle d'un ordinateur virtuel et l'installation d'un système d'exploitation complet (Windows ou Linux). Cette solution offre une isolation complète, car la VM s'exécute indépendamment de l'hôte et dispose de son propre disque virtuel, de son propre matériel, etc. De plus, l'utilisateur a un contrôle total sur le système virtuel : il peut le maintenir en fonctionnement pendant une longue période, y installer des logiciels de manière permanente, modifier les paramètres, etc.

L'un des principaux avantages d'une machine virtuelle est la possibilité de sauvegarder son état. Dans VirtualBox/VMware/Hyper-V, vous pouvez créer un instantané (point de contrôle) du système et y revenir ultérieurement, ce qui est très utile pour les tests. Par exemple, si vous doutez de la fiabilité d'un programme inconnu, vous pouvez prendre un instantané avant de l'installer, puis, une fois l'installation/les tests terminés, restaurer le système à l'état sauvegardé.

Un autre avantage des machines virtuelles réelles est qu'elles permettent d'exécuter simultanément plusieurs machines virtuelles (si les ressources sont suffisantes) et d'y exécuter différents systèmes, comme une version différente de Windows ou Linux. En revanche, un sandbox Windows exécute toujours la même version de Windows que celle de l'hôte.

Bien sûr, les machines virtuelles présentent aussi des inconvénients. Elles nécessitent un espace disque supplémentaire (plusieurs gigaoctets par machine virtuelle) et davantage de mémoire (la machine virtuelle réserve, par exemple, plus de 4 Go de RAM, prélevés sur l'hôte). L'installation est également plus longue, car il faut d'abord installer manuellement le système d'exploitation et gérer ses mises à jour et sa maintenance, tandis que Windows Sandbox s'en charge automatiquement en quelques secondes.

Pour les tests à court terme ou l'analyse de fichiers suspects, Windows Sandbox est bien plus pratique, car vous pouvez l'activer et le désactiver à tout moment sans trop de travail préalable. Cependant, si vous souhaitez exécuter un programme sur une période plus longue, apporter des modifications plus durables ou gérer un serveur entier de manière isolée, par exemple, une machine virtuelle complète reste une meilleure solution.

Hyper-V et systèmes de test persistants

Windows Sandbox vise à rendre les tests isolés aussi rapides et simples que possible, ce qui signifie qu'il ne convient pas à toutes les situations. Les utilisateurs plus expérimentés disposant déjà de Windows 10/11 Pro ou Entreprise peuvent tirer parti de la plateforme Hyper-V intégrée et créer manuellement leurs propres machines virtuelles pour les tests.

Il s'agit d'une approche similaire au sandboxing, mais avec davantage d'options de personnalisation en échange d'une configuration initiale un peu plus complexe. Hyper-V vous permet de créer une ou plusieurs machines virtuelles sur votre ordinateur. Chacune d'entre elles peut être complètement isolée du réseau et des autres ordinateurs (si vous le spécifiez), ce qui est idéal pour tester en toute sécurité des programmes hautement dangereux sans connexion Internet. Dans la console Hyper-V Manager, vous pouvez configurer le matériel virtuel (processeur, RAM, disque, interfaces réseau, etc.) de chaque machine virtuelle et, par exemple, choisir de ne pas connecter l'interface réseau virtuelle au réseau externe, créant ainsi un environnement fermé et isolé.

Après avoir créé une nouvelle machine virtuelle, installez le système d'exploitation souhaité (Windows ou autre). Pour cela, vous aurez besoin d'un fichier ISO d'installation ou d'une image système pré-installée. Après l'installation, la machine virtuelle est traitée comme un ordinateur distinct. Vous pouvez l'allumer et l'éteindre à votre guise, et toutes ses données sont conservées jusqu'à sa suppression. Cela signifie que vous pouvez installer un ensemble complet de programmes sur une machine virtuelle de test et les tester sur une longue période sans avoir à les réinstaller à chaque démarrage (comme avec Windows Sandbox).

L'un des avantages majeurs d'Hyper-V (ou d'autres plateformes de machines virtuelles) est la possibilité de créer des points de contrôle ou des instantanés de l'état du système. Par exemple, lorsque vous installez un système d'exploitation propre et des mises à jour de base sur une machine virtuelle, vous pouvez capturer l'état initial. Ensuite, au cours des jours suivants, vous installez et testez différents programmes. Si l'un d'eux s'avère dangereux ou pose problème, vous pouvez facilement restaurer la machine virtuelle à un état propre et ainsi « nettoyer » le système des conséquences des tests.

Cette méthode est similaire à l'utilisation d'un sandbox, sauf que vous avez la possibilité de choisir un point de restauration et de stocker plusieurs états différents (un avec la configuration de base, un autre après l'installation de certaines mises à jour, etc.). Bien sûr, cette flexibilité implique d'allouer suffisamment d'espace disque à la machine virtuelle (les snapshots occupent davantage d'espace) et de surveiller les mises à jour système au sein de la machine virtuelle, car celle-ci ne se mettra pas à jour automatiquement comme le fait Windows Sandbox à chaque démarrage.

En pratique, de nombreux utilisateurs expérimentés mettent en place des laboratoires virtuels complets. Sur un ordinateur ou un serveur plus puissant, plusieurs machines virtuelles peuvent fonctionner simultanément : par exemple, une avec Windows 10 sans réseau pour les tests antivirus, une autre avec Windows Server pour tester les paramètres du serveur, une troisième avec Linux pour le développement, etc.

Pour configurer un environnement Hyper-V sous Windows Pro, il suffit d'activer Hyper-V (comme décrit pour Windows Sandbox) et de lancer l'outil Gestionnaire Hyper-V, qui permet de créer de nouveaux environnements virtuels. L'installation du système d'exploitation dans cet environnement est identique à celle sur un ordinateur physique.

Choisissez l'outil qui vous convient

Windows Sandbox est un excellent outil pour tester rapidement et facilement des programmes dans un environnement sécurisé, notamment pour des tests ponctuels ou occasionnels, sans perdre de temps à configurer une machine virtuelle complète. Pour de nombreux professionnels de l'informatique, il est devenu indispensable pour vérifier la présence de pièces jointes inconnues, de logiciels suspects ou pour consulter des sites web à risque. Il leur suffit de le lancer, de faire ce qu'ils veulent et de le fermer, sans se soucier des fuites vers le système de production. En revanche, les machines virtuelles classiques (Hyper-V, VirtualBox, etc.) restent importantes pour des tests et des développements plus approfondis, nécessitant un système plus durable, des environnements différents ou la possibilité de prendre des instantanés.