Pour gérer vos consentements :
Categories: Sécurité

Première faille dans Vista? Microsoft minimise

L’experte en sécurité Joanna Rutkowska affirme avoir découvert une faille au niveau de la fonctionnalité de sécurité UAC (User Account Control) de Windows Vista. Microsoft a reconnu que nombreux étaient ceux qui utilisaient constamment leur compte administrateur pour exécuter Windows XP. Or, ce compte offre un accès illimité à tous les éléments du système. Pour limiter les risques de sécurité, Vista utilise un compte utilisateur normal par défaut et ouvre une boîte de dialogue de confirmation lorsque le système a besoin d’exécuter des fonctions d’administration, par exemple modifier des fichiers système.

D’après la découverte de Rutkowska, dès lors que Vista détecte l’exécution d’un fichier d’installation, il bascule automatiquement en mode administrateur. Si un utilisateur souhaite installer un nouveau programme, il a la possibilité soit d’autoriser les privilèges système du programme d’installation, soit de renoncer à l’exécution du programme.

Dans son blog Invisible Things, Joanna Rutkowska explique sa découverte : « Cela signifie que si vous avez téléchargé un jeu Tetris gratuit, vous devrez exécuter son programme d’installation en tant qu’administrateur, ce qui lui ouvre l’accès à l’ensemble de votre système et registre de fichiers et lui permet de charger des drivers du noyau! De quel droit le programme d’installation d’un jeu Tetris devrait-il être autorisé à charger les drivers du noyau? J’aimerais pouvoir faire entièrement confiance à un exécutable d’installation donné (et à ce titre l’exécuter en tant qu’administrateur) ou bien l’autoriser simplement à ajouter un dossier dans C:Program Files ainsi que quelques clés sous HKLMSoftware, mais rien de plus. Cela est possible sous Windows XP, mais apparemment pas sous Vista, ce qui est relativement gênant. »

Quelques jours après la publication de cette note, Joanna Rutkowska a reçu une réponse longue et détaillée d’un responsable technique de Microsoft du nom de Mark Russinovich. Russinovich a certes reconnu l’existence du problème, mais il a fait observer qu’il s’agissait d’un choix de conception résultant de l’équilibre entre sécurité et convivialité. « Les élévations et les niveaux d’intégrité ne définissant aucune limite de sécurité, les avenues potentielles d’attaque, quel que soit leur niveau de facilité ou leur champ d’application, ne sont en aucun cas des failles de sécurité », se défend-il.

Au vu de la vaste campagne de sécurité orchestrée autour de Windows Vista en 2006, Rutkowska a rétorqué dans une nouvelle note que cette explication n’était pas suffisante et que Microsoft devait s’efforcer de trouver des solutions à ce problème plutôt que de l’ignorer purement et simplement.

Recent Posts

Legapass : comment protéger ses données privées jusque dans l’au-delà

Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…

2 jours ago

Iris, un assistant d’IA conversationnelle en langue des signes

Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…

2 jours ago

GenAI : le Royaume-Uni poursuit ses investigations sur les partenariats de Microsoft et Amazon

L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…

3 jours ago

Clients de VMware : les raisons de la colère

Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…

3 jours ago

Laurent Carlier – BNP Paribas Global Market : « L’IA permet de modéliser des relations plus complexes, mais il faut rester prudent »

La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…

3 jours ago

Open Compute Project : les datacenters partagent des bonnes pratiques pour l’environnement

OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…

4 jours ago