Evolutions sécurité de Microsoft Windows Vista
Date : 02 Juin 2006
Après les travaux réalisés autour de Microsoft Windows XP, en particulier à l’occasion du SP2 Microsoft poursuit ses efforts en matière de sécurité, avec le développement et la parution prochaine de Microsoft Windows Vista (annoncée pour début 2007).
Windows Vista est en effet la première version de Windows à être développée dans un cycle incluant dés le début les problématiques de sécurité (cycle baptisé par Microsoft : "Microsoft’s Security Development Lifecycle").
Cet article présente les grandes lignes des améliorations de Windows Vista en matière de sécurité.
Plate-forme sécurisée
Windows Vista améliore la sécurité de l’architecture via l’implémentation d’une nouvelle stratégie, appelée "Windows Service Hardening". La plupart des services sous Windows Vista seront dorénavant exécutés avec des privilèges moins élevés ("Local Service" ou "Network Service" au lieu de "Local System").
La protection contre les débordements de pile ("stack overflows") est renforcée, grâce à de meilleurs processus de conception/développement, mais aussi au niveau physique, grâce à la technologie NX ("No eXecute"). Windows Vista reprend et renforce aussi la détection des débordements de tas ("heap overflows"), introduite avec Windows XP SP2.
Les versions 64-bit de Windows Vista protègent le noyau contre des modifications provenant de logiciels non autorisés ("kernel patch protection") et imposent la signature des pilotes du noyau (garantie d’intégrité).
Accès sécurisé
Une amélioration très attendue est l’UAC ("User Access Control"). Cette nouvelle gestion des comptes permet l’exécution des programmes dans un contexte restreint (aujourd’hui, une grande majorité d’utilisateurs sont connectés en tant qu’administrateur, rendant possibles ou aggravant de nombreux scénarios d’attaques).
Afin de faciliter la mise en œuvre de mécanismes d’authentification forte, l’architecture de connexion a été revue et le processus de déploiement de cartes à puce a été simplifié.
Windows Vista s’attaque également à la problématique des ordinateurs portables et aux systèmes potentiellement infectés venant se connecter au réseau. La fonctionnalité NAP ("Network Access Protection") permet de mettre à jour tout nouveau système tentant de se connecter au réseau de l’entreprise, ou de le diriger vers une zone de quarantaine (permettant à l’utilisateur de résoudre le problème).
Protection contre les "malwares" et les tentatives d’intrusion
Quatre composants permettent à Windows Vista de lutter contre les codes malveillants et les tentatives d’intrusion :
- Le "Windows Security Center" (WSC) de Windows XP SP2 donne l’état de trois composants essentiels à la sécurité : le garde-barrière, l’anti-virus et les mises à jour sécurité. Avec Windows Vista, ce WSC prend également en compte l’anti-spyware, les paramètres de sécurité d’Internet Explorer et l’UAC.
- La solution anti-spyware "Windows Defender" a été intégrée à Windows Vista.
- Le garde-barrière Windows est démarré dès le lancement de Windows Vista et inclura dorénavant des mécanismes de filtrage "inbound" et "outbound" (l’absence de filtrage "outbound" était l’un des principaux reproches faits au pare-feu de Windows XP SP2).
Lors de la migration d’un système Windows XP vers Windows Vista, le logiciel "Malicious Software Removal Tool" est proposé à l’utilisateur, afin de supprimer tout code malveillant avant l’installation de Windows Vista.
Amélioration de sécurité d’Internet Explorer 7
Windows Vista inclut Internet Explorer 7, présentant de nombreuses améliorations concernant la lutte contre les "malwares" et la protection des données personnelles. Quelques exemples de ces évolutions sont :
- un meilleur traitement des URLs,
- une protection renforcée contre le "Cross-Site Scripting"
- ou la lutte contre le "phishing".
Protection des données
Quatre fonctionnalités permettent à Windows Vista de renforcer la sécurité des données :
- "BitLocker Drive Encryption" permet de protéger les données lorsqu’une machine a été volée/perdue, en chiffrant la totalité du disque dur.
- Windows Vista intègre par défaut un client RMS ("Right Management Services") permettant de rendre accessibles des documents uniquement aux utilisateurs autorisés et d’appliquer des règles de sécurité concernant le transfert, l’impression ou le partage de documents.
- L’outil EFS ("Encryption File System") a été amélioré, permettant notamment le stockage des clés utilisateur et des clés de recouvrement sur des cartes à puce.
- Windows Vista permet de contrôler l’utilisation de nouveaux hardwares (comme les clés USB) via le "Group Policy" (stratégie de groupe permettant de contrôler les environnements utilisateur et système depuis un poste d’administration central).
On le voit, Microsoft continue avec Vista de renforcer la sécurité de sa plate-forme. L'introduction dans Vista de fonctionnalité d'anti-virus, ou d'anti-spyware, ne manquera sans doute pas d'attiser la rivalité entre Microsoft et les éditeurs de suite de sécurité.
Pour plus d’information :
- Whitepaper "Microsoft Windows Vista security advancements" (mai 2006) : http://download.microsoft.com/download/c/2/9/c2935f83-1a10-4e4a-a137-c1db829637f5/WindowsVistaSecurityWP.doc
- Site officiel de "Windows Vista" : http://www.microsoft.com/windowsvista/
- "Théma Windows Vista" de ZDNet : http://www.zdnet.fr/themas/windows-vista/