On l’attendait de pied ferme, le voilà : le Service Pack 2 de Windows XP, totalement dédié à l’amélioration de la sécurité du système d’exploitation. Avec ce mammouth logiciel (il pèse près de 200 mégas octets), Microsoft espère se débarrasser de l’image d’insécurité qui colle à son OS. Et il peut très bien y arriver : le SP2 change Windows XP en profondeur, lui apportant un vrai pare-feu actif par défaut, une protection contre l’exécution des fichiers téléchargés depuis Internet, une mise à jour automatisée par défaut et même un « verrou » chargé d’empêcher les fameux dépassements de mémoire tampon. Rien que cette dernière amélioration pourrait aider à fermer la porte à ce qui est probablement la faille la plus exploitée de ces trente dernières années tous systèmes confondus !Tout ceci va donc dans le bon sens, même s’il est encore trop tôt pour juger de l’efficacité de ces mesures face à des attaques bien réelles. En revanche, c’est sur le terrain de la compatibilité avec les logiciels existants que les premiers accrochages ont eu lieu. Des soucis de compatibilité.Le SP2 modifie radicalement Windows XP, et toutes les applications n’apprécient guère de se voir ainsi chahutées. Le tort semble toutefois être partagé : certaines applications sont tout simplement mal programmées et s’appuient sur des spécificité non-documentées de Windows XP. Pour d’autres, ce sont les nouvelles restrictions apportées par le SP2 qui entrent en conflit avec leur fonctionnement normal. Bilan : plus de 200 applications incompatibles, dont certaines éditées par Microsoft même.C’est bien sûr du côté des applications de sécurité que le bilan est le plus lourd : obligés de fonctionner au plus près du matériel, les antivirus, firewall et autres outils de backup sont parmi les premiers à ne plus fonctionner, une situation plutôt ironique !Parmi les produits défaillants, on retrouve certains logiciels (antivirus et/ou pare-feu) de McAfee, Symantec, Computer Associates, BitDefender ou F-Secure, les pare-feu de Kerio, ZoneLabs et Sonic Wall, ainsi que les outils de backup ArcServe, Restrospect, GoBack et Backupexec.Certains de ces produits ne fonctionnent tout simplement pas, tandis que d’autres ne sont juste pas reconnus par la nouvelle console de sécurité de Windows XP. Cette dernière est chargée de présenter une vue synthétique de l’état du pare-feu, de l’antivirus et des mises à jour (une riche idée au demeurant !) et doit pour cela savoir « parler » avec tous les produits de sécurité.Bien sûr, les éditeurs concernés ont pour la plupart déjà publié un correctif ad-hoc.La sécurité en question.Cette console est également l’objet de toutes les discussions sur les forums de sécurité depuis qu’un chercheur a affirmé qu’il était possible de lui faire dire ce que l’on veut. En l’occurrence, il s’agirait pour un pirate de faire afficher à la console que tous les outils de sécurité fonctionnent correctement alors qu’ils ont étés désactivés afin de permettre une prise de contrôle du PC. Face à cette accusation, Microsoft fait remarquer que pour faire « mentir » ainsi le panneau de contrôle, le pirate doit déjà avoir des droits sur le poste de travail, acquis en exploitant une vulnérabilité. Et avec de tels droits, il y a bien d’autres choses à faire que maquiller les rapports du panneau de contrôle. Un point pour Microsoft.En revanche la protection contre les fichiers téléchargés depuis Internet (les ZoneIDs) a elle déjà bien été mise en défaut. L’idée, pourtant, est excellente : Microsoft ajoute une « note de confiance » à tous les exécutables du système. Ceux venus d’Internet ont la note la plus basse, ce qui pousse Windows à prévenir l’utilisateur lorsqu’il tente de les exécuter. Cette note est persistante car elle est liée au système de fichiers NTFS. Hélas, à peine le Service Pack disponible que déjà les analyses faisaient état de méthodes capables de contourner cette protection : il suffit par exemple d’exécuter le fichier en appelant directement l’interpréteur de commandes de Windows (CMD.EXE) : Microsoft a « oublié » de le modifier afin qu’il tienne compte de l’information de protection (une tâche peut-être particulièrement ardue).En outre, une mauvaise gestion du cache dans Windows permettrait de remplacer un fichier « de confiance » situé dans le cache par un autre en provenance d’Internet. Ce dernier hériterait alors de la confiance du fichier écrasé.En dépit de ces quelques ratés au démarrage, probablement bientôt corrigés, ce SP2 de Windows XP demeure une grande avancée en matière de sécurité pour un système qui en avait vraiment besoin. Les changements apportés par ce correctif sont structurels, et c’est ça qui change tout : il ne corrige pas telle ou telle faille de sécurité mais améliore le contrôle des données issues du réseau et rend plus compliquée l’exploitation des familles d’attaques les plus courantes.Mieux : en rendant obligatoire et surtout transparente l’application des correctifs de sécurité, le SP2 contribue aussi à renforcer les milliers de PC à travers le monde qui constituent aujourd’hui une proie si facile pour les vers et virus du moment. Rien que pour ça, ce SP2 vaut largement son poids !