Comme chaque deuxième mardi du mois, Microsoft a déployé ses mises à jour du Patch Tuesday en novembre 2025. Cette mise à jour comprenait une mesure de renforcement de sécurité importante pour le Common Log File System (CLFS), un composant essentiel de Windows qui constitue depuis des années une cible privilégiée pour les attaques visant à obtenir des privilèges élevés.
Une sécurité renforcée pour un sous-système vulnérable
Avec cette mise à jour, Microsoft a ajouté des codes d’authentification de message basés sur un hachage (HMAC) aux fichiers journaux CLFS. Ces signatures cryptographiques visent à empêcher toute manipulation furtive des fichiers journaux, une faille dont les pirates ont souvent tiré parti par le passé pour obtenir des privilèges élevés.
Concrètement, un code d’authentification est ajouté à chaque fichier journal ; ce code est généré à partir du contenu du fichier et d’une clé cryptographique unique, propre au système. Cette clé est stockée dans le registre Windows et n’est accessible qu’aux comptes SYSTEM et administrateur. Si un fichier journal est altéré, Windows refuse tout simplement de l’ouvrir.
Le CLFS est largement utilisé sous Windows, tant par les applications en mode utilisateur que par les composants du noyau. Ce système joue un rôle important dans les transactions, la journalisation des événements et la récupération après un plantage, mais il a longtemps été considéré comme un maillon faible de la chaîne de sécurité. Avec cette intervention, Microsoft tente de colmater définitivement cette faille.
D’abord apprendre, ensuite faire respecter
Afin de faciliter la transition, Microsoft a intégré un mode d’apprentissage d’une durée de 90 jours. Pendant cette période, les fichiers journaux existants sont automatiquement dotés de codes d’authentification dès leur ouverture. À l’issue de cette période, Windows passe en mode d’application : à partir de ce moment-là, tous les fichiers journaux CLFS doivent contenir un HMAC valide, faute de quoi ils seront bloqués.
Pour les administrateurs informatiques, cela signifie que les systèmes qui dépendent du CLFS nécessitent une attention particulière. En effet, les fichiers journaux qui ne sont jamais ouverts pendant cette période d’apprentissage ne reçoivent pas de code d’authentification. Microsoft recommande aux administrateurs d’authentifier explicitement ces fichiers à l’aide de la commande fsutil clfs authenticate, afin d’éviter tout problème ultérieur.
Pourquoi cela ralentit Windows
Cette sécurité supplémentaire présente toutefois un inconvénient évident. Les HMAC occupent davantage d’espace disque et génèrent davantage d’opérations de lecture et d’écriture. Microsoft a lui-même publié une estimation de la charge supplémentaire :
Par ailleurs, le nombre d’opérations d’E/S augmente également. La création et l’ouverture des fichiers journaux prennent plus de temps, et selon Microsoft, le temps d’écriture moyen par enregistrement de journal a pratiquement doublé, en fonction de la taille du conteneur.
La sécurité avant la performance
Le message de Microsoft est clair : cet impact résulte d’un choix délibéré. Le CLFS a trop souvent fait l’objet d’abus dans le cadre d’attaques ciblées, et avec Windows 11 25H2 et Server 2025, l’entreprise opte résolument pour une sécurité renforcée, même si cela se fait au détriment des performances et de l’espace de stockage. Si vous souhaitez consulter les détails techniques, vous pouvez vous reporter à la documentation Microsoft KB5056852, qui contient des explications complètes sur l’authentification CLFS et les modifications associées.
