Févr. 7
Soupçonné d'être vulnérable, ce que réfute Microsoft, le comportement du Contrôle de Compte Utilisateur de Windows 7 sera finalement bel et bien modifié.


Sous Windows Vista, l'UAC a été la cause de nombreuses critiques pour son comportement anxiogène pour l'utilisateur en affichant trop fréquemment des messages d'avertissement. Des critiques entendues par Microsoft qui sans toutefois revenir sur le bien-fondé de l'UAC et son approche dite pédagogique susceptible d'éduquer l'utilisateur final en matière de sécurité informatique, a décidé de revoir un peu sa copie dans Windows 7.

Un contrôle au niveau de l'UAC est ainsi offert et par défaut, des notifications ne sont plus affichées lors de changements dans le paramétrage de Windows, ce qui inclut le niveau de consentement de l'UAC. Mais ce comportement légèrement amendé de l'UAC que plusieurs utilisateurs ont pu tester suite à la publication de l'unique version bêta de Windows 7 a fait naître quelques soupçons concernant une possible vulnérabilité.

Preuve de concept à l'appui, deux experts en sécurité ont démontré qu'il était possible via un simple code VBScript de modifier le niveau de vigilance de l'UAC voire de le désactiver complètement à l'insu de l'utilisateur. Une vulnérabilité dont Microsoft a refusé le qualificatif, indiquant que si l'UAC ne pipait mot, c'était voulu et inhérent à son nouveau comportement, rejetant indirectement la faute sur l'utilisateur qui aurait donné son accord préalable pour l'installation d'un programme malveillant sur sa machine. Probablement un argument de poids pour les éditeurs tiers de solutions de sécurité mais en tout cas un point final pour Microsoft qui avait alors indiqué que l'UAC resterait en l'état.

Sauf que dans la lignée de cette prétendue vulnérabilité, un deuxième problème a été mis au jour faisant qu'en vertu du paramétrage par défaut de l'UAC, un programme a la possibilité de procéder automatiquement à l'élévation de ses privilèges, en sollicitant l'appui d'un fichier signé déjà présent dans Windows, et toujours sans la réaction de l'UAC. Bien que finalement pour Microsoft la problématique reste la même avec encore impliquée la présence d'un malware à l'installation consentie au préalable par l'utilisateur, le géant américain a décidé d'être plus à l'écoute de l'inquiétude soulevée.

Microsoft veut rassurer sur la sécurité de Windows 7

Ainsi, dans la version Release Candidate de Windows 7, le comportement de l'UAC sera à nouveau modifié sur deux points avec le panneau de contrôle de l'UAC qui s'exécutera dans un " processus de haute intégrité " exigeant des privilèges élevés, et une demande de confirmation pour tout changement de niveau de l'UAC.

L'expérience utilisateur voulue suite aux critiques formulées vis-à-vis de l'UAC avec Windows Vista n'est donc pas sacrifiée, et Microsoft garde la face en corrigeant son comportement " faillible " récemment pointé du doigt sous Windows 7. Le tout est de ne surtout pas donner l'impression ou laisser courir la rumeur que Windows 7 sera moins sûr que Windows Vista, et bien au contraire pour Microsoft : " Nous avons conçu Windows 7 pour qu'il soit plus sûr que Windows Vista, par défaut ".


Source :generation-nt

Posté par Fredo

0 Rétroliens

  1. Pas de rétroliens

0 Commentaires

Afficher les commentaires en(Vue non groupée | Vue groupée)
Pas de commentaires
L'auteur n'a pas autorisé l'ajout de commentaires pour ce billet.