Symantec avait publié récemment un rapport s’attardant sur la sécurité générale au sein de Vista. Bien que partant a priori d’un bon sentiment (du moins publiquement), le rapport a provoqué bien des vagues, en particulier parce qu’au moment où la deuxième build post-Bêta 2 était disponible, Symantec revenait à la charge contre des bugs d’anciennes versions, dont la plus récente était la 5270, datant du mois de… décembre 2005.

Symantec revient donc avec un autre rapport, deuxième volet d’une trilogie qui devrait se terminer cette semaine avec la sortie d’un ultime rapport axé sur le noyau de Vista. Ce dernier se focalise en revanche sur une fonction qui a fait couler beaucoup d’encre, l’UAC (User Account Control). Longtemps décriée car pénible dans son utilisation, l’UAC a évolué dans les deux dernières builds (5456 et 5472) pour devenir moins contraignante. Microsoft avait précisé que son utilisation serait beaucoup plus transparente pour la RC1 de Vista.


Symantec a repéré plusieurs failles dans le fonctionnement de l’UAC. Ces failles peuvent mener à une escalade des privilèges et donc compromettre toute la machine. C’est d’autant plus vrai qu’il suffit d’un site web malveillant pour déposer sur l’ordinateur un contrôle ActiveX malveillant et spécialement conçu pour profiter d’une faille qui mènera un utilisateur distant à prendre le contrôle complet de la machine.

Pour Symantec, ce genre d’escalade de privilèges et la « trivialité » de sa mise en œuvre éclipsent les efforts de Microsoft sur la sécurité en général. Seulement voilà, la situation n’est pas aussi simple. En termes de développement logiciel, sept mois représentent un fossé plus que significatif. Les différences entre la build la plus récente testée par Symantec (5270) et la plus récente disponible pour les testeurs (5472) sont légions. L’une des conséquences logiques est d’ailleurs que la grande majorité des problèmes trouvés par Symantec n’existent plus.

Microsoft a répondu d’ailleurs à ce rapport : « Souligner les problèmes des anciennes builds ne représente pas précisément la qualité et la profondeur de la version finale de l’UAC ». L’éditeur estime également que l’étude de Symantec est quelque peu faussée par l’utilisation obligatoire d’un compte administrateur pour effectuer toutes les manipulations.

Du côté du cabinet Gartner, on ne s’interroge pas vraiment sur l’attitude de Symantec. Pour John Pescatore, un analyste, « parler au monde entier des vulnérabilités d’un système qui ne sortira pas avant un moment n’aide personne ». Du côté marketing par contre, le message est plus utile et Pescatore précise d’ailleurs qu’il est toujours bon pour une société d’associer son nom à la découverte d’une faille. Cela peut effectivement aider à vendre des suites de sécurité lorsque le prochain Windows sortira.