Il était l’un des composants les plus anciens et les plus exposés de Windows. Utilisé depuis les années 90 pour exécuter des scripts, JScript est enfin remplacé par une version plus moderne et mieux protégée. Un changement presque invisible, mais salutaire.
- Microsoft désactive JScript par défaut dans Windows 11 24H2, remplaçant ce moteur obsolète par JScript9Legacy.
- JScript, intégré depuis 1996, était vulnérable aux attaques, justifiant son remplacement pour renforcer la sécurité.
- JScript9Legacy, plus moderne et sécurisé, assure compatibilité et performance sans intervention des utilisateurs.
Longtemps conservé pour des raisons de compatibilité, JScript est l’un des moteurs de script les plus anciens encore intégrés à Windows. Utilisé notamment dans Internet Explorer, il est pourtant connu pour sa fragilité face aux attaques. Mais c’en est désormais terminé, alors que Microsoft vient de confirmer l’avoir désactivé par défaut dans Windows 11 24H2, au profit d’un successeur plus récent et mieux sécurisé : JScript9Legacy. Un changement invisible pour la plupart des utilisateurs et utilisatrices, mais lourd de conséquences pour la sécurité du système.
Un moteur de script obsolète, toujours actif par défaut
Initialement intégré à Internet Explorer en 1996, JScript (jscript.dll) est la déclinaison Microsoft de l’ECMAScript, le standard à la base de JavaScript. Pendant des années, il a servi à faire fonctionner des pages web dynamiques, à automatiser des tâches sur Windows, ou encore à exécuter des scripts d’administration. Autant dire qu’il s’est retrouvé au cœur de nombreux usages critiques.
En parallèle, son intégration profonde dans Windows et son entretien sommaire en ont fait une cible idéale pour des attaques visant des failles structurelles, parfois très sérieuses. C’est ainsi qu’en près de trente ans, JScript est devenu l’un des éléments les plus vulnérables du système. Non conforme aux standards de sécurité modernes, il a régulièrement été pointé du doigt pour des failles graves, impliquant corruption de mémoire, exécution de code à distance ou encore attaques de type XSS.
Bien que largement dépassé, Microsoft avait jusqu’ici fait le choix – judicieux pour certains, plus que discutable pour d’autres – de continuer à l’activer par défaut dans Windows, y compris dans les éditions les plus récentes de l’OS, afin de garantir la rétrocompatibilité avec d’anciens outils, notamment en environnement professionnel.
Mais depuis la fin officielle d’Internet Explorer en 2022 et la généralisation de Microsoft Edge, les habitudes avaient déjà largement évolué. Maintenir JScript devenait de plus en plus difficile à justifier, surtout au regard des risques de sécurité qu’il continuait de faire peser sur le système. Microsoft a donc fini par trancher, trois ans plus tard, avec sa désactivation par défaut. Du moins dans les éditions les plus récentes du système d’exploitation.
JScript9Legacy : plus sûr, plus stable, toujours compatible
Dans Windows 11 24H2, c’est donc JScript9Legacy (jscript9legacy.dll) qui prendra la relève. Issu du moteur JScript9 déjà présent dans Internet Explorer 9, il a été modernisé pour fonctionner en dehors du navigateur et offrir de meilleures garanties en matière de compatibilité et de sécurité. Microsoft précise que cette version améliore les performances, renforce la gestion des objets JavaScript et applique des règles d’exécution plus strictes, de manière à limiter les comportements à risque que l’ancien moteur ne savait pas encadrer.
Dans sa documentation officielle, l’entreprise a également confirmé que le remplacement s’effectuerait automatiquement, sans intervention de la part des utilisateurs et utilisatrices. Aucun paramétrage n’est nécessaire, et les scripts existants devraient continuer de fonctionner comme avant. En cas de problème, une prise en charge est prévue au cas par cas via le support. Les versions de Windows antérieures à 24H2, quant à elles, ne sont pas concernées et continueront de s’appuyer sur l’ancien moteur.
On en profitera pour rappeler que cette décision s’inscrit dans une stratégie plus large de réduction de la dette technique, déjà à l’œuvre sur d’autres pans du système. Microsoft a récemment amorcé un nettoyage en profondeur de Windows Update pour retirer les pilotes jugés obsolètes, et définitivement acté la disparition de PowerShell 2.0 – pourtant déprécié depuis 2017.
Mais surtout, en réservant ce nouveau moteur de script à l’édition 24H2 de Windows 11, Microsoft conditionne désormais certaines améliorations de sécurité à l’adoption de sa dernière version du système d’exploitation, ajoutant un argument technique de plus à la pression déjà exercée sur celles et ceux qui n’ont pas encore migré.
Source : Microsoft
