Cette fois, c'est la guerre ! Symantec continue de remettre en question les affirmations de Microsoft selon lesquelles Windows Vista sera bien plus sûr que Windows XP, auquel il succèdera en fin d'année. 


Droits et devoirs
Après avoir ouvertement critiqué le niveau de sécurité de la pile TCP de Windows Vista, Symantec s'attaque aujourd'hui à un nouveau trait du futur vaisseau-amiral de Microsoft, qui porte pour l'instant le nom d'UAC, pour User Account Control, ou contrôle des comptes d'utilisateurs. Contrairement au réglage par défaut de Windows XP, qui donne d'office les droits d'administration au premier compte d'utilisateur ouvert, celui de Vista ne donne à l'utilisateur principal du PC que des droits réduits, afin d'empêcher l'infection par les codes malicieux les plus divers. Symantec n'est guère convaincu de l'efficacité de ces précautions, et le fait savoir, preuve à l'appui.


Simple comme bonjour '
En se basant sur une version intermédiaire de Windows Vista bêta, publiée en février dernier, Symantec s'est livré à quelques expériences. Dans un premier temps, l'éditeur de Cupertino s'est "amusé" à infecter un PC sous Vista en visitant un site web compromis au moyen d'Internet Explorer 7 (et non 7+), simplement en acceptant la mise en place d'un contrôle ActiveX. Ensuite, c'est... l'escalade, comme le souligne Matthew Conover, responsable des études de sécurité sur Windows Vista chez Symantec : "la facilité avec laquelle les privilèges d'utilisateur peuvent être augmentés laisse entrevoir combien la mise en place des mesures de sécurisation de Vista sera difficile."

Microsoft affirme avoir déjà réglé une bonne partie des problèmes relevés par Symantec, et rappelle que le fait de "mettre en évidence des soucis de sécurité apparus sur les premières versions de travail de Windows Vista ne saurait décrire avec justesse l'actuel niveau de sûreté du système." A Redmond, on ajoute que Symantec part du postulat que l'utilisateur s'octroit d'office les droits d'administration de son PC, un réglage que Microsoft réprouve, et qu'il recommande de remplacer par l'ouverture d'un ou plusieurs comptes à droits réduits, sur lesquels l'installation d'un nouveau logiciel nécessitera l'entrée du mot de passe de l'administrateur.


La suite au prochain épisode
Le rapport présenté par Symantec est le second d'une série de trois ; le premier, publié la semaine dernière, mettait à mal le niveau de sécurité de la pile réseau de Vista, tandis que le troisième, qui devrait être dévoilé en fin de semaine, analysera le noyau du nouveau système d'exploitation de Microsoft. Les relations entre les deux firmes se sont singulièrement tendues, ces derniers mois. L'entrée de la société de Bill Gates sur le marché des solutions antivirus n'y est peut-être pas étrangère, mais Symantec se défend de critiquer pour le simple plaisir de le faire. Certains analystes estiment cependant qu'attaquer un logiciel qui ne sera commercialisé que dans quelques mois présente peu d'intérêt.