La plupart des fonctions de sécurité mentionnées par le responsable de Windows, Steven Sinofsky, lors de la conférence Build de Microsoft conférence qui a eu lieu la semaine passée, étendent des fonctionnalités déjà apparues au fil des mises à jour dans Vista et Windows 7. C'est le cas notamment de la fonction Address Space Layout Randomization (ASLR), qui sera plus largement utilisée dans Windows 8, de même qu'une nouvelle fonctionnalité protégeant le noyau de l'OS des « vulnérabilités liées au déréférencement du pointeur Null,» une méthode essentiellement utilisée pour mener des attaques destinées à installer des programmes qui modifient les privilèges du système.
Windows 8 sera également capable de faire un usage étendu de l'allocation aléatoire de l'adressage mémoire. Cette technique, déjà présente dans Windows 7, permet de compliquer les attaques par « saturation de cache» ou buffer overflow par exemple, utilisées pour introduire des logiciels malveillants. Mais sans doute, le plus gros ajout de Windows 8 en matière de sécurité concerne le support pour la technologie de démarrage sécurisée UEFI 2.3.1 (qui nécessite un support du BIOS), laquelle empêche les logiciels malveillants agissants dans le pré-boot d'interférer avec l'action des antivirus avant leur chargement en mémoire. Aucun de ces changements n'est vraiment radical, mais ils poursuivent la politique de Microsoft en matière de conception de systèmes, à savoir circonscrire autant que possible le travail des applications au niveau la plate-forme sans bouleverser le système. Bien sûr, dans le monde du Web 2.0, le travail des applications est de plus en plus régi par des interfaces logicielles différentes de celles chargées du fonctionnement du système.
Eviter de retrouver les failles de Win XP
Steven Sinofsky a cependant rappelé aux développeurs l'importance du Secure Development Lifecycle (SDL) pour les entreprises, et les procédures de codage, de test et de conception du système qui l'accompagnent, de façon à éviter les problèmes de sécurité posés par Windows XP il y a une décennie. « Certains malwares sont aussi complexes que les applications commerciales», a déclaré Steven Sinofsky dans un blog où il a exposé l'environnement dans lequel travaillerait Windows 8. Microsoft a également avancé un motif intéressant pour expliquer pourquoi une minorité non négligeable de PC semblait ne pas disposer de protection antivirus adéquate : les gens utilisent l'antivirus gratuit fourni avec le nouveau PC, mais ils omettent ensuite de se réabonner après la fin de la période d'essai. « Peu après la sortie de Windows 7, en octobre 2009, nos tests ont montré que presque tous les PC sous Windows 7 avaient des logiciels anti-malware à jour, » a déclaré le président de Windows. « Un an plus tard, plus de 24 % des PC sous Windows 7 n'avaient pas effectué de mises à jour. Nos données ont également montré que les PC qui ne sont plus protégés ont tendance à rester dans cet état pendant longtemps. »
Le plus important défi en matière de sécurité auquel Microsoft doit faire face avec Windows 8 reste identique à celui qu'elle a du affronter avec Windows 7 : un certain nombre d'utilisateurs récalcitrants refuse de mettre à jour les systèmes d'exploitation plus anciens, en particulier Windows XP. Les critiques pourraient souligner que c'est largement la faute de Microsoft, car l'éditeur a sorti quatre versions de son système d'exploitation desktop depuis 2000, une approche marketing qui a rendu certains utilisateurs perplexes quant à l'intérêt de payer chaque fois pour une nouvelle version.
Illustration principale : Steven Sinofsky, en charge de l'activité Windows chez Microsoft, lors de la conférence Build 2011.
Crédit photo : IDG NS