Windows 7 : une faille dans le contrôle des comptes utilisateurs

Le paramétrage par défaut de l'UAC de Windows 7 permet désormais de limiter l'affichage d'alertes. Mais cette évolution pourrait constituer une faille en rendant possible la désactivation de la fonction par un virus.

Tous les utilisateurs de Windows Vista connaissent l'UAC (User Account Control), cette fonctionnalité de sécurité affichant des alertes à l'écran lors de toute action opérant sur le système. Rapidement, la nouvelle fonction de l'OS avait fait l'objet de critiques du fait de la fréquence des messages affichés. Microsoft a décidé de les prendre en compte dans Windows 7 en s'efforçant de les rendre moins incommodants pour l'utilisateur.

Ainsi, dans le futur système, l'UAC est configuré par défaut pour ne pas notifier les modifications des paramètres de Windows, y compris pour les changements concernant directement le niveau de notification. Un paramétrage qui a interpellé un expert en sécurité, Long Zheng, pour qui cela constitue directement "une faille de sécurité dans une fonction justement conçue pour protéger le poste client".

Long Zheng a ainsi démontré la faisabilité d'une attaque destinée à désactiver l'UAC. Celle-ci est rendue possible par l'utilisation d'un code malveillant qui une fois installé sur le poste peut à loisir modifier le niveau de notification sans qu'aucune alerte ne soit émise. En tentant de répondre aux critiques des utilisateurs, Microsoft aurait donc affaibli la sécurité de Windows 7. Un constat que l'éditeur réfute.

Un code malveillant capable d'étendre les droits d'un utilisateur sans générer d'alerte

Pour récuser l'accusation de l'existence d'une faille de sécurité, Microsoft se base sur l'argument suivant : le code malveillant doit être déjà introduit dans le système pour qu'une telle attaque soit possible, et donc que l'utilisateur ait donné son accord à l'installation de ce programme sur l'ordinateur. Un argument qui reporte donc la faille sur l'humain et non plus l'OS.

A ce raisonnement, Long Zheng oppose toutefois un deuxième élément, qui selon lui confirme bien la présence d'une faille dans Windows 7. Grâce à ce nouveau paramétrage par défaut de l'UAC, un programme dispose de la possibilité d'élever ses droits au niveau administrateur, et ce toujours sans notification à l'écran.  

Microsoft n'a cette fois aussi pas tardé à répondre au chercheur en expliquant qu'il demeurait toujours nécessaire que le programme malveillant soit déjà installé. En outre, l'éditeur déclare avoir intégré la problématique de l'élévation des privilèges par une application dans la dernière mise à jour de Windows 7.

Ce correctif n'est encore disponible qu'en interne, mais devrait fait partie de la version Release Candidate 1 (RC1) pour laquelle aucune date de sortie n'est encore arrêtée. Pour Microsoft, ce mode de fonctionnement de l'UAC reste quoi qu'il en soit préférable à celui de Vista qui poussait nombre d'utilisateurs à le désactiver et donc à se passer de ce verrou de sécurité. L'expérience utilisateur a donc été privilégiée par rapport à la sécurité.