Windows Vista présente un risque pour les testeurs
Un expert en sécurité souligne les risques liés à l’utilisation de la technologie PNRP incluse dans la version bêta du prochain système de Microsoft.
Les utilisateurs de Windows Vista Beta 1 activent à leur insu une fonctionnalité du système d’exploitation susceptible de mettre leur ordinateur en danger. Ce risque concerne une technologie de réseau peer-to-peer (P2P) appelée « peer name resolution protocol » (PNRP) incluse dans la version bêta de Windows Vista lancée le mois dernier.
L’expert en sécurité George Bakos, de l’Institute for Security Technology Studies de l’université de Dartmouth, a relaté le premier les risques associés à cette technologie sur le site Web du SANS Internet Storm Institute. « Je n’ai connaissance d’aucune information officielle concernant la sécurité de l’implémentation du PNRP de Microsoft. Des problèmes de sécurité pourraient pourtant exister », a confié à VNUnet.com George Bakos, qui s’est entretenu avec Microsoft sur cette technologie.
La technologie PNRP est un élément de l’Advanced Networking Pack qui a été introduit avec Windows XP SP1. Les développeurs de logiciels peuvent utiliser la technologie dans leurs applications grâce à un kit de développement dédié.
Connexions directes sans serveur central
L’une des applications possibles de PNRP est le jeu en ligne. La technologie permet aux joueurs de connecter directement leurs ordinateurs sans passer par un serveur central. Elle est conçue pour permettre la création de communautés de jeux plus rapides et redimensionnables. Actuellement, un serveur est nécessaire pour relier les joueurs et coordonner leurs systèmes respectifs. La technologie PNRP offre les mêmes conditions en créant ce qu’on appelle un nuage en ligne.
La fonctionnalité PNRP étant activée par défaut dans Windows Vista Beta 1, le système d’exploitation s’enregistre automatiquement sur ce nuage peer-to-peer dès qu’il détecte une connexion réseau, associant ainsi l’identifiant PNRP ou le nom d’utilisateur à l’adresse IP de la machine. Une fois que le service s’est connecté à un serveur seed, l’information est distribuée à travers les systèmes qui composent le réseau P2P et restera dans le nuage sous forme de cache même après la désactivation du service.
« Cette procédure peut être utilisée pour identifier un utilisateur et son adresse IP, et aider ainsi un pirate à collecter des informations sur un individu. Si vous ne voulez pas que des informations sur votre système soient à la disposition d’autres personnes, vous devez vous en méfier », explique George Bakos.
Alertes sur les pare-feu
Une fois inscrits sur le réseau, les systèmes communiquent en permanence à travers le nuage pour savoir quels utilisateurs et services sont disponibles. Ces communications déclencheront des alertes sur les systèmes de détection d’intrusions, comme les pare-feu de ZoneLabs ou Symantec, qui surveillent les échanges de données. Bien que ces alertes ne soient que des nuisances, George Bakos conseille aux utilisateurs qui ne souhaitent pas participer aux tests de ce service réseau de désactiver la fonctionnalité avant de se connecter.
L’expert en sécurité souligne également le fait que l’activation par défaut viole le principe du droit d’accès minimal, selon lequel un service réseau ne devrait être activé que si cela est nécessaire. Les services non utilisés et non indispensables présentent un risque potentiel dans la mesure où chaque entrée dans le système de défense d’un ordinateur pourrait théoriquement être exploitée par des hackers. De plus, George Bakos regrette que Microsoft n’ait pas suffisamment indiqué aux bêta-testeurs que le service était activé par défaut.
Microsoft a donné des informations contradictoires concernant la configuration de PRNP dans les futures versions de Windows. Dans un e-mail envoyé à VNUnet.com, Noah Horton, responsable du programme pour les clients Windows, indique que l’éditeur n’a pas encore décidé si PNRP serait activé par défaut dans la version finale de Windows Vista. Auparavant, il avait écrit dans un blog de Microsoft que le service serait désactivé dans une future version de test, la Release Candidate 1, et qu’il n’était activé dans la version bêta que pour des tests à grande échelle.
Des tests pour les éditeurs tiers
Windows Vista Beta 1 doit également permettre aux « éditeurs de systèmes de détection d’intrusions – qui ne sont actuellement pas habitués à ce type d’activité réseau – d’apporter à leurs produits les ajustements nécessaires avant la livraison de la version finale de Windows Vista », écrit-il. Noah Horton a ainsi apprécié le rapport de George Bakos : « C’est exactement le genre de données que nous attendons lorsque nous testons des fonctionnalités comme PNRP. »
Dans la version finale de Windows Vista, qui devrait être disponible fin 2006, le service s’activera lorsque les utilisateurs se connecteront à des jeux en ligne ou utiliseront d’autres logiciels reposant sur cette technologie. Microsoft pourrait cependant limiter les risques en demandant aux utilisateurs de s’identifier pour chaque service, suggère George Bakos. L’éditeur pourrait également limiter l’accès à l’information au sein du nuage aux utilisateurs utilisant réellement cette application spécifique.
(Article traduit de VNUnet.com)