- Security Center : une interface pour superviser la sécurité (Firewall Windows, Antivirus et niveau des mises à jour), accessible via le systray (en bas à droite de l'écran). Une bonne chose, qui devrait participer à l'information de l'utilisateur lambda
- Un meilleur support du Wifi. Après la première itération (aucune sécurité) et la seconde (avec le SP1, une interface vraiment mal fichue), on se retrouve dans une situation moins inconfortable
- Nouveau Firewall, avec protection pendant le boot et surveillance du trafic sortant, comme ZoneAlarm. Ce dernier risque fort de se retrouver éjecté du marché à cette occasion.
- Internet Explorer évolue peu, hormis la sécurité :
- La grande nouveauté (qui n'en est plus une depuis longtemps sur les autres navigateurs), c'est le blocage des pop-ups. Pas de navigation par onglets, pas d'intégration avec Google.
Aujourd'hui, les navigateurs innovants comme Safari et Mozilla offrent des fonctionnalités vraiment importantes aux utilisateurs comme le blocage des pop-ups, les onglets, l'intégration avec Google (...) pendant ce temps-là, IE parait chaque jour un peu plus démodé.
- Sécurité : modèle de zone (local, intranet, Internet) conservé et durci, il n'est plus possible d'élever les privileges dans une zone. C'est en effet, avec ActiveX, la source récurrente de trous de sécurité.
- Gestion des ActiveX et des plug-ins. Une tentative de solution de l'autre grand problème de sécurité d'IE, mais j'ai du mal à voir comment le problème peut être résolu.
- Limitation des possibilités de scriptage. Il était jusqu'alors possible pour un site de multiplier les fenêtres plus rapidement que l'utilisateur ne pouvait les fermer, voire empêcher l'utilisateur de les fermer. Ces fonctionnalités seront bridées dans SP2.
- La grande nouveauté (qui n'en est plus une depuis longtemps sur les autres navigateurs), c'est le blocage des pop-ups. Pas de navigation par onglets, pas d'intégration avec Google.
- Outlook Express : blocage des images distantes dans les mails HTML (existe dans Mozilla depuis une éternité) et blocage des exécutables reçus en piece jointe.
- Réseau : RPC et DCOM changeront pour limiter les vulnérabilités. (on aurait aimé en savoir plus).
En conclusion, j'attends avec impatience ce Service Pack 2 pour Windows XP. L'essentiel des solutions mises en place dans cette version Beta semblent aller dans la bonne direction, à savoir que l'interface utilisateur va mettre en avant la notion de sécurité, et donc lui faire réaliser à quel point cette dernière est importante. Cela vient en complément de modifications sur les points sensibles, reprenant la démarche initiée par les fournisseurs d'applications tierces et les navigateurs en particulier. Voir Microsoft commencer à se préoccuper concrètement de sécurité, plus de deux ans après le lancement de Trustworthy Computing (informatique sécurisée) est une excellente nouvelle. Il est temps de comprendre que la sécurité, c'est certes pénible pour tout le monde, mais c'est essentiel. Microsoft a longtemps reculé devant l'obstacle, privilégiant systématiquement la facilité d'utilisation à la sécurité. Il était temps que cela change, et je pense vraiment que ce Service Pack (prévu pour mi-2004) est un pas dans la bonne direction. Mais celà ne va pas se faire sans douleur :
- Certaines applications ne vont plus fonctionner, si elles tirent parti du scripting avancé d'IE, de RPC, de DCOM, d'élévation de privilèges hors de la zone locale (MS-Office permet cela, par exemple), ou d'UPnP. A l'échelle du globe, cela représente sûrement des dizaines de milliers d'applications. Ca sera douloureux pour les clients et pour Microsoft. Mais c'est nécessaire. Pire, ces applications n'auraient jamais du être écrites, car reposant sur des trous béants (mais certes officiels) de sécurité.
- A terme, cette mise en valeur de la sécurité va faciliter paradoxalement l'utilisation de produits plus sécurisés, mais qui paraissaient plus pénible d'usage, car imposant plus de restriction. Un seul exemple : chez Netscape, pour Netscape 7.1, nous avons laissé l'affichage dns les mails des images distantes. Le souci est que ce genre d'image permet à une spammeur de vérifier que votre adresse mail est valide. Il est regrettable d'avoir fait ce choix, mais pour satisfaire nos utilisateurs venant d'Outlook Express, c'était nécessaire. Si Microsoft revient à une position plus raisonnable, cela veut aussi dire que ces concurrents ne seront plus poussés à les suivre dans des positions hasardeuses comme celle-ci.
- Le problème d'ActiveX ne semble pas résolu. Le système de gestion de ces plug-ins n'est rien d'autre qu'un pansement sur une jambe de bois. Comme le dit la personne de Microsoft :
C'est un gros problème. Si vous regardez les controles ActiveX sur votre machine, vous serez surpris par leur quantité. Et à quoi servent-ils, au fait ? On attend des retours sur ce problème, en vue d'identifier précisément chaque add-on pour que les utilisateurs n'empêchent pas l'éxecution de ceux qui sont nécessaires...
En substance, je pense qu'ActiveX est une arme qui se retourne contre Microsoft, et qui va hanter longtemps les nuits des responsables sécurité, autant chez MS que chez les clients. - Coté navigateur, IE reste toujours aussi en retard. Même Firefox, qui est pourtant un navigateur tout simple, est considérablement plus efficace qu'IE. Et cela ne devrait pas changer.
- Enfin, une phrase sur le téléchargement automatique des mises à jour m'a fait bondir :
Pensez-y : préférez-vous que ce soit Microsoft ou un jeune pirate qui fasse exécuter des programmes sur votre PC ?
. Certes, des deux maux, il faut choisir le moindre. Mais je préfère encore garder le contrôle de ma machine. Car il ne s'agit pas simplement de code, mais aussi de licence. Je me souviens encore du scandale du changement de licence lors du téléchargement d'un patch de sécurité. Allez, je récapitule : une rustine cumulative de Windows Media Player était assortie d'une licence (que personne ne lit jamais) permettant à Microsoft de supprimer votre capacité à copier et/ou accéder à certains fichiers de la machine s'ils étaient considérés comme illégaux. (Oui, vous avez bien lu). Non, ça n'était pas pour embeter les utilisateurs, mais tout simplement pour déployer le système de gestion des droits numériques. Finalement, je ne sais plus qui est le méchant dans cette histoire. Le pirate, ou celui qui prétend m'en protéger...
On voit bien que le problème de la sécurité est complexe. Il ne s'agit pas simplement de boucher les trous de sécurité successifs. Il faut aussi sécuriser a priori et éduquer l'utilisateur. Le Service Pack 2 semble aller dans la bonne direction. Quant à la relation de confiance entre Microsoft et ses utilisateurs, tout reste à faire, et cela ne pourra pas se faire simplement par des retouches cosmétiques, mais par un changement radical. C'est tout ce que je leur souhaite...
