Astuces Vista

Il y a quelques jours, la découverte d'une supposée faille concernant le nouveau système d'exploitation (OS) de Microsoft, Vista, s'est répandue comme une trainée de poudre sur la Toile.

En prenant l'exemple d'un jeu aussi anodin que Tetris, l'informaticienne Joanna Rutkowska s'étonne sur son blog que Vista impose à l'utilisateur, pour procéder à l'installation, de passer par le compte « administrateur ». Et que ce même programme puisse dès lors accéder au noyau. Selon elle, il est anormal et inquiétant d'être contraint par Vista de choisir entre une installation en mode administrateur, ou pas d'installation du tout.

Vista gère en effet deux types de comptes : le compte administrateur qui permet, par exemple, d'installer des logiciels et de modifier des paramètres, et le compte utilisateur qui dispose de droits beaucoup plus restreints. L'OS peut aussi gérer un compte invité.

Par défaut, et pour limiter les risques d'infection ou de mauvaises manipulations (des clés de la base de registre effacées, par exemple), Vista se lance avec le compte utilisateur. Cette décision évite ainsi que les personnes démarrent leur PC en mode administrateur comme c'est trop souvent le cas avec Windows XP, qui, lui n'impose pas le mode utilisateur par défaut.

« Il ne s'agit pas d'une faille mais d'une aberration dont le coupable est l'UAC (User Account Control », explique Hervé Schauer du cabinet spécialisé dans la sécurité informatique HSC. « Lorsqu'on télécharge un fichier exécutable, l'UAC ne donne pas la possibilité à l'utilisateur de le lancer avec un compte restreint. » Résultat : pour se simplifier la vie, des utilisateurs pourraient être tentés de désactiver l'UAC en passant par l'utilitaire MSConfig.

Quelques jours après les révélations de Joanna Rutkowska, Mark Russinovich, un expert réputé devenu responsable technique chez Microsoft, s'est efforcé de justifier ce choix sur son blog en avançant qu'il fallait trouver un compromis entre une sécurité renforcée et une utilisation conviviale. Depuis, Joanna Rutkowska a indiqué qu'elle « comprenait » ledit compromis. Une opinion partagée par d'autres experts que nous avons consultés.

S'il n'y a pas de faille avérée, Vista n'est pas pour autant hors de portée. Les risques se trouveraient surtout dans les logiciels tiers (antivirus, PDF, Java...) qui peuvent présenter des vulnérabilités plus ou moins critiques.

En ne tenant pas compte des précautions de programmation conseillées par Microsoft, ces programmes peuvent être à l'origine d'attaques. Des experts l'ont démontré avec une faille touchant un logiciel de Backup de Computer Associates. Lors de la dernière conférence RSA Security, qui a eu lieu à San Francisco début février, certains ont montré comment prendre le contrôle de Vista par cette faille. Un patch a depuis été publié.

L'autre menace est la propension de « Vista à ouvrir des tunnels de communication. Lorsqu'on installe des gadgets de bureau [des widgets, NDLR] comme la météo ou des flux RSS, ils restent connectés en permanence aux sites tiers. Le risque est que ces sites soient compromis. Or, aujourd'hui la plupart des spécialistes s'accordent à dire que la notion de "site de confiance" n'existe plus avec toutes les intrusions constatées », estime Nicolas Ruff du Centre de recherche de la société EADS et spécialiste de Windows.