Pendant des années, l’histoire de la sécurité sur Windows s’est confondue avec celle des virus qui le malmenaient. Retour sur quelques épisodes marquants qui ont façonné l’OS actuel.
Pendant les années 1990 et 2000, le terme « virus » a tellement collé à Windows qu’il a presque fini par définir la nature de l’OS aux yeux du grand public. Un PC sous Windows, c’était une machine qui attrapait des saletés dès qu’on la connectait à Internet ou qu’on ouvrait la mauvaise pièce jointe. Le succès colossal du système d’exploitation, sa place hégémonique dans les entreprises et chez les particuliers, l’intégration très serrée avec Office et Outlook ont offert aux attaquants une surface idéale, facile à monétiser et à industrialiser.
On pourrait évidemment parcourir ce récit comme une succession de catastrophes plus ou moins mémorables, mais on peut aussi y lire l’histoire d’un système capable de tirer des leçons de chaque coup encaissé. Car sous l’interface des versions récentes, sous les centres de sécurité désormais bien fournis, on retrouve l’héritage d’épisodes qui ont traumatisé quantité d’administrateurs et administratrices réseau, saturé des hotlines, mis des organisations à l’arrêt, et fini par imposer l’idée que la sécurité ne pouvait plus être déléguée aux seuls antivirus tiers et aux bonnes pratiques théoriques.
Brain, Michelangelo et la naissance de la peur virale
Avant de parler des grands virus qui ont fait la réputation de Windows, il faut revenir un peu en arrière, au temps des PC compatibles MS-DOS, avec Brain, en 1986, mais surtout Michelangelo, entre 1991 et 1992, des virus qui s’attaquent au secteur de boot des disquettes et se propagent au fil des supports échangés entre machines.
Si Brain montre le premier qu’un code malveillant peut opérer avant même le chargement du système, c’est véritablement Michelangelo qui cristallise les peurs. Programmé pour se déclencher le 6 mars, il est présenté dans la presse comme une menace capable de rayer des millions de PC de la carte. À l’époque, John McAfee, abondamment cité dans les médias, évoque des chiffres vertigineux, jusqu’à cinq millions de machines potentiellement touchées, et la date d’activation annoncée à l’avance nourrit peu à peu l’idée d’un jour du jugement dernier numérique. Le 6 mars venu, les dégâts sont finalement plus contenus que prévu. On parle alors de quelques milliers de postes affectés, pas vraiment cataclysme mondial, vous en conviendrez.
Rétrospectivement, c’est moins la charge elle-même que la panique générée par ce premier grand emballement médiatique, nourri par des projections très larges et par une industrie antivirus en quête de son public, qui inaugure une « culture de la peur » autour des virus associés à l’univers Windows.
Melissa, ILOVEYOU et l’ère des mails infectés
À la fin des années 1990, le ton se durcit avec CIH, plus connu sous le nom de Tchernobyl, qui cible directement les exécutables Windows 9x. Le virus se niche dans des logiciels piratés ou distribués sur CD et se fait remarquer par ses capacités particulièrement anxiogènes pour l’époque, puisqu’il peut, sur certaines configurations, corrompre le BIOS et empêcher le démarrage de la machine. Même si toutes les victimes n’en subissent pas les conséquences extrêmes, Tchernobyl referme la parenthèse des virus essentiellement véhiculés par des supports physiques et des exécutables isolés, démontrant qu’un malware peut mettre un PC hors service de manière beaucoup plus spectaculaire qu’un simple fichier endommagé.
Le vrai basculement pour l’écosystème Windows survient dans la foulée, quand la messagerie électronique et les macros Office deviennent des vecteurs d’attaque à grande échelle. Melissa, en 1999, exploite des macros Word pour se répliquer via Outlook. Le ver envoie le document infecté aux cinquante premiers contacts du carnet d’adresses, provoque des engorgements massifs de serveurs mail et paralyse des entreprises entières. L’année suivante, ILOVEYOU pousse la logique encore plus loin avec un fichier joint présenté comme une lettre d’amour qui, une fois ouvert, écrase des fichiers, se copie partout et poursuit sa propagation via la messagerie.
Ces campagnes désignent la combinaison Windows + Office + Outlook comme triptyque idéal pour les attaquants. Elles mettent aussi en évidence la force d’un simple objet de mail bien trouvé, capable de déclencher un réflexe de clic même chez des personnes pourtant averties. On ne parle pas encore de phishing au sens moderne, mais le principe est déjà là. Sur le plan médiatique, elles contribuent à associer durablement l’image de Windows à celle d’un système vulnérable, au moment où l’écosystème antivirus commence tout juste à se structurer pour le grand public.
Face à ce type d’attaque, Microsoft ne peut plus se contenter de renvoyer la responsabilité aux victimes en brandissant l’argument « à vous d’installer un antivirus et de faire attention » comme un paratonnerre. Office durcit progressivement la gestion des macros, avec des avertissements intrusifs, des macros désactivées par défaut et des options plus fines pour limiter l’exécution de code issu de documents téléchargés. Outlook limite certains types de pièces jointes, met davantage en avant les extensions de fichiers et restreint plusieurs comportements automatiques. Cette période consolide aussi l’idée qu’un PC Windows doit impérativement être équipé d’un antivirus, qui devient alors un compagnon quasi-obligatoire de l’OS.
Code Red, Blaster, Sasser, l’âge des vers réseau
Avant même que Windows XP ne s’impose sur les postes de travail, le ton est déjà donné côté serveurs avec Code Red en 2001. Ce ver exploite une vulnérabilité dans le serveur web IIS de Windows 2000, scanne Internet à la recherche de machines vulnérables, défigure des sites en remplaçant leur page d’accueil et participe à des attaques DDoS destinées à saturer des serveurs bien identifiés. Pour beaucoup d’administrateurs et d’administratrices, c’est la découverte brutale d’un malware qui n’a plus besoin ni de disquette ni de mail piégé pour se propager, il lui suffit d’un service Microsoft exposé sur le réseau.
Avec Windows 2000 et surtout Windows XP, l’arrivée du haut débit transforme ensuite les habitudes des particuliers. Les PC passent beaucoup plus de temps en ligne, souvent directement raccordés au modem ADSL, sans dispositif de protection intermédiaire solide. C’est dans ce contexte que surgissent des vers réseau comme Blaster et Sasser qui n’ont même plus besoin d’un clic maladroit pour se répandre d’une machine à l’autre.
Blaster exploite en 2003 une vulnérabilité dans le service RPC de Windows (Remote Procedure Call, permet à des programmes de dialoguer à distance entre machines ou entre composants), accessible depuis Internet. Les machines vulnérables sont scannées puis infectées automatiquement, ce qui provoque redémarrages en boucle et messages d’erreur. Sasser, en 2004, s’appuie sur un défaut du service LSASS (Local Security Authority Subsystem Service, composant chargé de l’authentification et des politiques de sécurité locales) et poursuit la démonstration en infectant massivement des postes sans qu’aucune pièce jointe ne soit ouverte. La propagation se fait de machine à machine sur le réseau, avec un effet boule de neige dans les entreprises comme à la maison, sans autre objectif apparent que de paralyser les PC compromis.
Conficker prolonge cette série à la fin des années 2000. Le ver cible une faille dans le service serveur de Windows, largement documentée et corrigée par Microsoft, mais la diffusion du correctif se heurte à la réalité des parcs étendus. Malgré les alertes répétées, des millions de machines restent vulnérables pendant des années, l’infection alimente un vaste botnet exploité pour du spam, de la fraude ou d’autres opérations criminelles, et Conficker devient un symbole de la difficulté à maintenir un parc Windows homogène et à jour dès que l’on dépasse quelques dizaines de postes.
Sous la pression de ces épisodes successifs, Windows se transforme en profondeur. Le Service Pack 2 de Windows XP marque un tournant avec l’activation par défaut du pare-feu intégré. Les services non indispensables sont désactivés, davantage de ports sont fermés, les assistants de configuration réseau poussent des réglages plus prudents. Windows Update quitte le statut de simple service annexe pour devenir un passage obligé, avec des mécanismes de mises à jour automatiques encouragés puis activés sans trop de ménagement.
Cette période façonne également la culture des correctifs réguliers. Les équipes en charge des systèmes d’information se mettent à suivre les bulletins de sécurité Microsoft, à organiser des campagnes de patch dans l’urgence lorsqu’une vulnérabilité est exploitée activement, à jongler entre impératifs de continuité de service et nécessité de déployer les mises à jour. Windows ne peut plus se contenter d’être un environnement fonctionnel, il doit limiter autant que possible les erreurs de conception visibles depuis le réseau et intégrer des protections de base, y compris pour des utilisateurs et utilisatrices qui ne pipent pas grand-chose en sécurité.
Entre l’ère des vers réseau et l’arrivée de Windows 7, Microsoft traverse aussi sa propre crise de croissance avec le projet Longhorn. Au début des années 2000, sous l’impulsion du mémo « Trustworthy Computing » de Bill Gates, l’éditeur met la sécurité au centre du jeu et s’attaque à un chantier titanesque, faire passer le code de Windows au crible de nouvelles pratiques de développement sécurisé. Longhorn accumule les ambitions, les retards et les réécritures, au point de finir en partie remis à plat pour donner naissance à Windows Vista, en 2007, après des années passées à tirer la langue.
Vista laisse un souvenir contrasté, mais il marque une rupture nette sur le plan de la sécurité. L’UAC impose par défaut une exécution moins systématique en administrateur, les services tournent avec des privilèges plus limités, certains pilotes doivent être signés, et une partie des mécanismes d’isolement et de protection de la mémoire se généralise. BitLocker démocratise le chiffrement des volumes système et Internet Explorer adopte un mode protégé qui cloisonne davantage le navigateur. Autant de mesures vécues comme envahissantes ou pénibles par beaucoup d’utilisateurs et d’utilisatrices, mais qui compliquent sérieusement la vie des malwares et préparent le terrain pour les versions suivantes de Windows.
Stuxnet et l’entrée de Windows dans le jeu géopolitique
Au tournant des années 2010, une nouvelle catégorie de menace émerge, bien plus évoluée que les vers ou les virus de masse des décennies précédentes. Stuxnet, découvert en 2010, cible des systèmes industriels en passant par Windows et bouscule d’un coup la hiérarchie des risques. Le malware s’appuie sur plusieurs failles zero-day dans Windows, utilise des pilotes signés avec des certificats volés et vise très précisément des systèmes de contrôle industriels associés à des centrifugeuses iraniennes.
Largement attribué aux États-Unis et à Israël dans le cadre d’une opération destinée à freiner le programme nucléaire iranien, même si aucune des deux puissances ne l’a jamais officiellement reconnu, Stuxnet ne cherche ni à saturer les réseaux ni à se faire remarquer. Il manipule des automates industriels et sabote des équipements tout en échappant aux systèmes de supervision. Dans son sillage, d’autres familles comme Flame ou Duqu, elles aussi rattachées à des opérations menées par les États-Unis et Israël, montrent que les mêmes techniques peuvent servir à l’espionnage et à la collecte d’information à grande échelle.
Pour Microsoft, ces épisodes ont une portée différente des vagues précédentes. Ils soulignent la valeur stratégique du système et la nécessité de renforcer encore la confiance dans les mécanismes bas niveau, alors que Windows se retrouve au cœur d’une opération de sabotage d’État. La signature de code est davantage encadrée, les pilotes noyau sont soumis à des exigences plus strictes, en particulier sur les versions 64 bits. En parallèle, Microsoft renforce les protections qui visent à compliquer l’exploitation des failles mémoire. Windows bloque l’exécution de code dans certaines zones réservées aux données, déplace de manière aléatoire des composants importants en mémoire à chaque démarrage et met en place des contrôles supplémentaires sur le chemin suivi par les programmes, ce qui rend le travail des attaquants beaucoup plus incertain, même lorsque des vulnérabilités subsistent dans le code.
Cette période rappelle aussi que les outils d’attaque développés pour des usages étatiques ont tendance à déborder vers d’autres sphères. Les techniques documentées dans des recherches pointues finissent par être intégrées à des frameworks accessibles à un public plus large. Windows devient alors le terrain où se croisent intérêts industriels, opérations de renseignement et cybercriminalité, ce qui justifie un durcissement continu de l’OS, parfois invisible pour l’utilisateur ou l’utilisatrice finale mais déterminant dans la façon dont le système encaisse et limite certaines classes d’attaques.
Ransomwares, exploits modernes et Windows sous pression permanente
Au milieu des années 2010, une nouvelle économie criminelle fleurit avec la recrudescence des rançongiciels. CryptoLocker popularise le modèle du chiffrement fort appliqué aux données utilisateur, couplé à des demandes de paiement en bitcoin. La cible reste le PC Windows classique, souvent compromis via des campagnes de phishing, mais l’impact se mesure désormais en pertes de fichiers, en arrêts de production, en journées entières de travail perdues.
WannaCry impose brutalement ce modèle sur un mode industriel en 2017. Le ransomware exploite une vulnérabilité du protocole SMB de Windows à l’aide d’un outil issu de l’arsenal de la NSA, EternalBlue, que les Shadow Brokers ont fait fuiter publiquement. Malgré la publication d’un correctif, de nombreux systèmes restent exposés. Des hôpitaux, des entreprises et des administrations se retrouvent chiffrés à grande échelle. Quelques semaines plus tard, le wiper NotPetya reprend certains des mêmes vecteurs tout en s’apparentant davantage à un outil de sabotage qu’à un rançongiciel conçu pour être rentable, avec des dommages massifs pour des groupes internationaux.
Ces campagnes achèvent de convaincre Microsoft que la sécurité ne peut plus dépendre uniquement de la discipline des équipes informatiques et des choix individuels en matière d’antivirus. Windows 10 s’impose comme une version distribuée en continu, avec des mises à jour cumulatives, un support plus resserré et une pression toujours plus importante pour abandonner les éditions obsolètes. Le protocole SMBv1, jugé trop risqué, est progressivement désactivé, ce qui pousse les organisations à revoir certains usages hérités. Les pratiques d’administration évoluent vers plus de segmentation réseau, plus de contrôle d’accès et une meilleure supervision des postes.
Dans le même temps, Microsoft Defender change de statut. D’abord perçu comme un filet de sécurité minimal, voire comme un complément un peu discret aux antivirus tiers, l’outil devient un élément central de la sécurité Windows avec analyse comportementale, protection contre les exploits, surveillance de zones sensibles du système de fichiers et intégration poussée avec la télémétrie cloud. Dans les environnements professionnels, Defender s’inscrit dans des suites plus larges de type EDR et XDR qui suivent les attaques tout au long de leur chaîne, du mail d’entrée jusqu’aux mouvements latéraux, en s’appuyant sur l’écosystème Windows et ses journaux d’activité.
Les vagues successives de ransomwares ont aussi mis en avant la question des sauvegardes, de la gestion des privilèges et du cloisonnement des comptes. Windows a intégré davantage d’outils centrés sur ces enjeux, avec des fonctions de protection de dossiers, des contrôles renforcés autour de l’exécution de certains binaires, des alertes avancées en cas de comportements suspectés de correspondre à des tentatives de chiffrement. Le système d’exploitation moderne apparaît dès lors plus bavard, plus directif, parfois perçu comme trop insistant, mais cette évolution est l’héritière directe de campagnes qui ont fait perdre des années de données à des particuliers et mis à l’arrêt des infrastructures entières.
Dans les versions récentes de Windows, cet héritage trouve aussi écho dans des dispositifs de sécurité plus évolués que le simple duo pare-feu + antivirus qui dominait les années 2000. Le démarrage du système s’appuie dorénavant sur le couple TPM et Secure Boot pour vérifier l’intégrité de la chaîne de boot et détecter les manipulations trop grossières, BitLocker chiffre de plus en plus fréquemment les données locales pour limiter l’intérêt d’un poste volé ou d’un disque récupéré, la virtualisation isole certains secrets et certains processus sensibles afin de compliquer le vol d’identifiants, tandis que SmartScreen filtre les exécutables téléchargés et les liens douteux avant qu’ils ne soient exécutés. Ces protections n’empêchent pas toutes les attaques, mais elles découlent directement des leçons tirées des vers réseau, des macros trop permissives, des campagnes de sabotage et des vagues de rançongiciels qui ont mis à nu les faiblesses des générations précédentes de Windows.
L’histoire des virus et malwares emblématiques qui ont visé Windows raconte donc une autre histoire, celle d’un OS qui a longtemps servi de banc d’essai à toutes les formes d’attaque avant de se renforcer progressivement. Les vers de l’époque XP, les macros des années 2000, les opérations industrielles ciblées et les ransomwares récents ont laissé des traces dans les fonctions de sécurité, dans les décisions de conception, dans la façon dont Microsoft pilote désormais son calendrier de mises à jour. Au bout du compte, le Windows actuel, qu’il tourne sur des PC domestiques ou des stations de travail en entreprise, est tout autant le produit de ces chocs répétés que des choix fonctionnels ou esthétiques visibles à l’écran. Et si l’ensemble paraît parfois un peu (très) lourd côté sécurité, rappelez-vous que ce n’est pas seulement par goût du zèle.
Découvrez tous nos articles sur les 40 ans de Windows :
!
