Symantec continue de s'en prendre à Windows Vista

Symantec semble décidément très remonté ces derniers temps à l'encontre de Microsoft. La firme de Cupertino a sans doute du mal à digérer l'entrée du géant de Redmond dans son pré carré : le business des logiciels de sécurité. La semaine dernière, Symantec révélait que le noyau réseau de Windows Vista risquait d'être moins sûr que celui de Windows XP. Dans son rapport, Symantec notait que la couche réseau ayant été intégralement réécrite par Microsoft, elle n'est pas encore tout à fait éprouvée et diverses failles peuvent s'y cacher, les ingénieurs de Symantec en ayant même déjà repéré quelques unes ! Nous avions choisi la semaine dernière d'ignorer ces découvertes qui concernent rappelons-le un système d'exploitation en version Beta et donc par nature non finalisé. Mais aujourd'hui Symantec revient à la charge en pointant cette fois-ci du doigt la fameuse (et détestable) fonction UAC (User Account Control) de Vista.

L'UAC est une fonction visant à renforcer la sécurité du système en diminuant les privilèges de l'utilisateur même si celui-ci est un administrateur. D'après un rapport publié par Symantec auprès de ses clients et signé par Matthew Conover, l'un des chercheurs en matière de sécurité chez Symantec, diverses failles existent dans l'implémentation actuelle de l'UAC et il ne s'agirait pas là de vétilles. En effet Symantec indique que dans l'état actuel des choses il est possible de compromettre la sécurité de la machine en passant par Internet Explorer 7.0+ : un simple contrôle ActiveX suffirait ! S'appuyant sur une faille de sécurité, le contrôle peut alors mettre à mal l'UAC et bénéficier ainsi d'une élévation de privilèges, pour donner dans le pire des cas un contrôle total du PC à une personne malintentionnée.

Chez Microsoft, la réaction ne s'est pas fait attendre et le géant des logiciels indique que le problème incriminé a été pratiquement réglé, Symantec se basant sur une version de février de Windows Vista. Il précise en outre que tout l'échafaudage de la théorie du rapport se base sur l'éventualité où un utilisateur est connecté en tant qu'administrateur, chose qui n'est pas recommandée par Microsoft. L'éditeur rappelle également que Vista n'est pas encore fini et que les versions bêta ne préjugent en rien de la qualité du produit fini. Même son de cloche chez Gartner, où un analyste indique que dévoiler l'existence de faille dans un système non encore commercialisé n'avance pas à grand chose, sauf peut être à faire vendre des logiciels de sécurité Symantec ?