Configuration permissive des installations Windows XP d'IBM

Il a été découvert ce mois-ci que les distributions OEM du système d'exploitation Microsoft Windows XP et XP SP1 fournies par d'IBM contenaient un compte administrateur sans mot de passe.

Ce type de distribution ne mentionne pas l'existence d'un tel compte lors de l'installation de Windows XP contrairement à toute installation standard qui demande à ce qu'un mot de passe soit saisi pour protéger le compte administrateur.

Afin de protéger ce compte, il est alors nécessaire d'aller dans le menu de "gestion de l'ordinateur" au niveau des comptes utilisateurs et de définir un mot de passe pour le compte administrateur.

IBM a alors annoncé qu'une note d'information à destination des utilisateurs serait publiée sur son site web, de même que des correctifs seraient fournis aux nouvelles distributions OEM de Windows XP.

Sans nier la gravité de l'anomalie soulevée ici, il nous paraît important de mentionner que de notre point de vue les entreprises sont peu exposées à ce type de vulnérabilité. En effet, au sein d'une entreprise les postes de travail déployés sont "mastérisés", c'est à dire créé à partir d'un système de référence qui a été préalablement validé. Il nous paraît peu probable que cette validation laisse passer une erreur de configuration aussi grossière (compte administrateur sans mot de passe). Les postes délivrés non "mastérisés" (il y en a toujours) sont quant à eux généralement délivrés à des experts dont l'un des premiers réflexes devrait être de vérifier la liste de comptes existant sur le système réception né.

Pour plus d'information :

Avis de Secnap : http://www.secnap.com/security/20040806.html

CVE CAN-1999-0504 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-1999-0504