Windows 7 – UAC : « Ce n’est pas une vulnérabilité », assure Bernard Ourghanlian

L’article initial de Vnunet.com à propos de la présumée faille concernant la fonctionnalité User Account Control (UAC) sur Windows 7 a interpellé Bernard Ourghanlian, directeur des technologies et sécurité de Microsoft France.

Rappelons qu’il s’agit d’un mécanisme de protection des données introduit dans le système d’exploitation Microsoft Windows Vista et repris dans le nouvel OS.

La polémique est née après qu’un chercheur du nom de Long Zhen ait découvert ce qu’il présentait initialement comme une faille dans UAC non prise en compte par Microsoft. Depuis, Vnunet.com a publié un deuxième article en donnant la position de Microsoft Corp.

Mardi matin, c’est au tour de Bernard Ourghanlian de donner des précisions sur le sujet. Par le biais d’un e-mail que le service de presse de Microsoft France nous a transmis, le directeur des technologies et sécurité de Microsoft France confirme que l’éditeur ne considère pas la découverte de Long Zheng comme une vulnérabilité.

« L’objectif de la configuration par défaut d’UAC avec Windows 7 est que l’utilisateur n’ait pas à donner son consentement quand il effectue des changements dans le paramétrage de Windows. Ceci inclut également et logiquement le niveau de consentement d’UAC. »

Après « de très nombreux retours de ses clients à propos de l’usage d’UAC sur Windows Vista », Microsoft a opté pour une nouvelle interface de paramétrage avec un ascenseur et un nouveau fonctionnement par défaut sur son nouvel OS.

Le code malveillant, le point d’achoppement

Toujours par voie d’e-mail, Bernard Ourghanlian précise qu’UAC est une fonctionnalité conçue pour permettre l’utilisation de la plate-forme Windows sans privilège spécifique. « Le fait d’exécuter des logiciels comme un utilisateur standard présente les avantages d’améliorer la sécurité et de réduire le coût total de possession (TCO) ».

Alors, où le bât blesse-t-il ? Et c’est sans doute sur ce point que le désaccord entre Long Zheng et Microsoft est entretenu. Et c’est bien connu : le diable se cache souvent dans les détails.

« La seule façon de changer le paramétrage en question sans que l’utilisateur en ait connaissance nécessite qu’un code malfaisant soit déjà présent sur la machine », estime Bernard Ourghanlian. « Or, pour que le code malfaisant en question soit présent sur la machine, il faut que quelque chose d’autre d’anormal se soit déjà produit antérieurement ou que l’utilisateur ait explicitement donné son consentement. »

Pourrait-on appeler cela une tempête dans un bocal ? Bernard Ourghanlian le suggère. « Quand on regarde l’interface d’UAC avec Windows 7, on voit que celle-ci précise clairement ‘Don’t notify me when I make changes to Windows settings’. Dans le cas présent, Windows 7 fait ce qu’il dit qu’il va faire… Il faut simplement lire la fenêtre en question attentivement. »

L’article initial de Vnunet.com à propos de la présumée faille concernant la fonctionnalité User Account Control (UAC) sur Windows 7 a interpellé Bernard Ourghanlian, directeur des technologies et sécurité de Microsoft France.

Rappelons qu’il s’agit d’un mécanisme de protection des données introduit dans le système d’exploitation Microsoft Windows Vista et repris dans le nouvel OS.

La polémique est née après qu’un chercheur du nom de Long Zhen ait découvert ce qu’il présentait initialement comme une faille dans UAC non prise en compte par Microsoft. Depuis, Vnunet.com a publié un deuxième article en donnant la position de Microsoft Corp.

Mardi matin, c’est au tour de Bernard Ourghanlian de donner des précisions sur le sujet. Par le biais d’un e-mail que le service de presse de Microsoft France nous a transmis, le directeur des technologies et sécurité de Microsoft France confirme que l’éditeur ne considère pas la découverte de Long Zheng comme une vulnérabilité.

« L’objectif de la configuration par défaut d’UAC avec Windows 7 est que l’utilisateur n’ait pas à donner son consentement quand il effectue des changements dans le paramétrage de Windows. Ceci inclut également et logiquement le niveau de consentement d’UAC. »

Après « de très nombreux retours de ses clients à propos de l’usage d’UAC sur Windows Vista », Microsoft a opté pour une nouvelle interface de paramétrage avec un ascenseur et un nouveau fonctionnement par défaut sur son nouvel OS.

Le code malveillant, le point d’achoppement

Toujours par voie d’e-mail, Bernard Ourghanlian précise qu’UAC est une fonctionnalité conçue pour permettre l’utilisation de la plate-forme Windows sans privilège spécifique. « Le fait d’exécuter des logiciels comme un utilisateur standard présente les avantages d’améliorer la sécurité et de réduire le coût total de possession (TCO) ».

Alors, où le bât blesse-t-il ? Et c’est sans doute sur ce point que le désaccord entre Long Zheng et Microsoft est entretenu. Et c’est bien connu : le diable se cache souvent dans les détails.

« La seule façon de changer le paramétrage en question sans que l’utilisateur en ait connaissance nécessite qu’un code malfaisant soit déjà présent sur la machine », estime Bernard Ourghanlian. « Or, pour que le code malfaisant en question soit présent sur la machine, il faut que quelque chose d’autre d’anormal se soit déjà produit antérieurement ou que l’utilisateur ait explicitement donné son consentement. »

Pourrait-on appeler cela une tempête dans un bocal ? Bernard Ourghanlian le suggère. « Quand on regarde l’interface d’UAC avec Windows 7, on voit que celle-ci précise clairement ‘Don’t notify me when I make changes to Windows settings’. Dans le cas présent, Windows 7 fait ce qu’il dit qu’il va faire… Il faut simplement lire la fenêtre en question attentivement. »