Depuis des années, Microsoft s'efforce de se forger une image d'entreprise qui renforce constamment la sécurité de Windows. Un élément clé de cette stratégie est un cycle de mises à jour mensuelles, déployé le deuxième mardi du mois, appelé Patch Tuesday. C'est à ce moment-là que des correctifs sont distribués aux systèmes des utilisateurs, éliminant les vulnérabilités qui, entre les mains de cybercriminels, pourraient ouvrir la voie à de graves failles de sécurité. En novembre 2025, Microsoft a dévoilé l'une des évolutions les plus importantes de ces dernières années. Les mises à jour Windows 11 25H2 et Windows Server 2025 ont introduit un nouveau mécanisme de sécurité pour le pilote du système de fichiers de journalisation commun (CLFS). Cette mesure de sécurité consiste à ajouter des codes d'authentification cryptographiques basés sur HMAC aux fichiers journaux afin de les protéger contre tout accès non autorisé. HMAC (Hash-based Message Authentication Code) est un mécanisme cryptographique éprouvé permettant de garantir l'intégrité et l'authenticité des données. Concrètement, il consiste à lier les données à une clé cryptographique secrète et à une fonction de hachage. Grâce à cette même clé, le destinataire peut vérifier que le contenu n'a pas été altéré. Dans le cas des fichiers journaux système, cela offre une protection efficace contre toute manipulation silencieuse.

D'après les informations fournies par Microsoft, les codes d'authentification sont générés à partir des données des fichiers et d'une clé cryptographique unique attribuée à chaque système. Cette clé est stockée dans le registre et accessible uniquement aux comptes SYSTEM et administrateur. En cas d'anomalie, le fichier journal n'est pas ouvert et toute tentative de manipulation est bloquée au niveau du système. Le système de fichiers de journalisation commun (CLFS) est un mécanisme de journalisation des événements polyvalent et très efficace, utilisé aussi bien par les applications utilisateur que par les composants du noyau. Son architecture est conçue pour garantir la fiabilité des transactions, les diagnostics et la récupération après incident. Cependant, au fil des ans, le CLFS a été régulièrement exploité lors d'attaques d'élévation de privilèges, ce qui en fait une cible fréquente pour les chercheurs en sécurité. Microsoft entend néanmoins combler définitivement cette faille grâce à HMAC. Pour limiter les risques de dysfonctionnements suite à la mise en place du nouveau mécanisme, Microsoft a instauré une phase d'apprentissage de 90 jours. Durant cette période, le système ajoute automatiquement des codes d'authentification aux fichiers journaux existants lors de leur ouverture. À l'issue de cette période, CLFS passe en mode de contrôle d'accès, exigeant que chaque fichier journal contienne un code d'authentification valide pour être traité.

L'entreprise recommande aux administrateurs informatiques d'examiner attentivement leurs environnements CLFS et de consulter régulièrement les fichiers journaux pendant la phase d'apprentissage. Si cela s'avère impossible, ils doivent utiliser l'outil en ligne de commande `fsutil clfs authenticate`, qui leur permet d'ajouter manuellement des codes d'authentification aux fichiers les plus anciens. Cette nouvelle mesure de sécurité s'accompagne d'exigences techniques supplémentaires. Les codes d'authentification occupent de l'espace dans les fichiers journaux, et cet espace augmente avec la taille du conteneur. Pour les plus petits fichiers de 512 Ko, la surcharge est d'environ 8 Ko ; pour les fichiers de 1 Mo, elle dépasse 12 Ko, tandis que pour les conteneurs de 10 Mo, environ 90 Ko de données supplémentaires sont nécessaires. Pour les fichiers de 100 Mo, la surcharge dépasse 57 Ko, et pour les conteneurs de 4 Go, elle atteint plus de 2 Mo. Microsoft reconnaît également que la prise en charge de HMAC entraîne une augmentation des opérations d'E/S, une augmentation significative des temps de création et d'ouverture des fichiers journaux, ainsi qu'un ralentissement notable de l'écriture des enregistrements, le temps moyen doublant.

Des informations détaillées sur l'authentification CLFS et les aspects techniques du nouveau mécanisme sont publiées dans la documentation officielle de Microsoft, dans l'article de support KB5056852. Sa lecture est indispensable pour les administrateurs.