Introduction Win XP

Introduction:
Comme vous le savez, les éditeurs de logiciels publient régulièrement des mises à jour de leurs produits pour
ajouter des nouvelles fonctionnalités ou encore pour résoudre différents problèmes de compatibilité, de
performances et de sécurité. De telles mises à jour appelées patchs ou updates en Anglais sont également
disponibles pour les systèmes d'exploitation qui doivent constamment être mis à jour pour les utiliser dans les
meilleures conditions possibles.
Par exemple Microsoft, publie ainsi chaque année sur son site des milliers de patchs pour les différentes versions
de Windows. Pour faciliter leur téléchargement, leur installation ainsi que leur intégration au système
d'exploitation, Microsoft les réunit tout au long de la durée de vie du produit dans ce que l'on appelle un Service
Pack ou SP. L'installation de ce Service Pack permet alors d'installer en une seule fois l'ensemble des correctifs
publiés depuis la sortie du précédent Service Pack. En général, les Services Packs contiennent également les
correctifs des Services Packs précédents c'est à dire la totalité des mises à jour publiées depuis la
commercialisation du système d'exploitation.
Le système d'exploitation Windows 2000 a ainsi jusqu'alors bénéficié de quatre Services Packs ce qui fait donc
une moyenne de publication d'un Service Pack par an. Pourtant, il ne faut surtout pas se contenter de mettre à
jour son système une seule fois par an sans quoi vous seriez probablement exposé à de gros problèmes de
sécurité. L'installation régulière des patchs individuels reste donc obligatoire que ce soit manuellement, par le
biais de Windows Update ou de manière automatique.
Windows XP, sorti en Octobre 2001, dispose quant à lui depuis Septembre 2002 de son premier Service Pack, le
Service Pack 1. Malheureusement, depuis cette époque beaucoup de phénomènes nuisibles aux utilisateurs se
sont déroulés mettant par la même occasion grandement en doute la fiabilité des systèmes Microsoft. En effet,
depuis deux ans les virus exploitant les failles de sécurité de Windows pullulent sur Internet (Blaster en Juillet
2003 et Sasser plus récemment) tout comme ceux faisant appel à la crédulité des utilisateurs ouvrant les pièces
suspectes jointes à leurs e-mails. Tout cela a donné ces derniers temps une bien mauvaise image des produits
Microsoft et le géant Américain aurait semble-t-il enfin décidé de s'attaquer très sérieusement aux problèmes de
sécurité afin de regagner la confiance de ses clients.
En effet, le Service Pack 2 de Windows XP dont la sortie est prévue pour l'été 2004 devrait bien sûr inclure les
mises à jour "habituelles" comme des corrections de bugs en tous genres mais devrait également constituer une
nette amélioration dans la sécurité de ce système d'exploitation. Plusieurs changements majeurs ont ainsi été
prévus comme l'activation par défaut du pare-feu intégré, une protection de la mémoire qui empêche l'exécution
de code non sollicité, une meilleure sécurisation d'Internet Explorer et d'Outlook Express mais aussi des mises à
jour plus faciles à installer...
Le successeur de Windows XP actuellement nommé Windows Longhorn, ne sortira pas avant 2006, Microsoft ne
peut donc pas se permettre de laisser Windows XP en l'état c'est à dire criblé de nombreuses failles de sécurité
jusqu'à la sortie de son successeur.
Dans ce dossier, nous allons présenter les principales nouveautés du Service Pack 2 afin de comprendre ce qui
changera réellement dans Windows XP.
Installation:
Pour ce dossier, nous avons utilisé la version Anglaise de Windows XP Professionnel avec à la base uniquement
les drivers et le Service Pack 1a d'installés. Les prises d'écran du dossier seront donc toutes en Anglais. La
version du Service Pack 2 que nous avons ensuite installé est la Release Candidate 2 build 2149 (RC 2)
compilée par Microsoft le 10 Juin 2004.
Configuration de test:
• Carte mère: Abit KT7.
• Processeur: Amd Athlon 800 MHz.
• Mémoire: 320 Mo de SDRAM.
• Carte graphique: Nvidia GeForce 2 MX.
• Disque dur: Maxtor de 30 Go.
Espace disque nécessaire:
Rien que le fichier d'installation de la version complète du Service Pack 2 fait à lui seul 260 Mo soit environ le
double de celui du Service Pack 1. Bien sûr il est possible de ne télécharger que la version Express qui ne fait
que quelques Mo et qui à son tour ne téléchargera que ce qui est nécessaire pour mettre à jour les composants
installés dans votre système.
Avec les composants par défaut et le Service Pack 1a, notre système occupait ainsi 2.8 Go sur le disque dur.
Après l'installation du Service Pack 2, ce sont ainsi 3.9 Go qui sont occupés rien que par le système d'exploitation
soit environ 1 Go de plus que précédemment.
Installation:
L'installation du Service Pack 2 s'est déroulée sans problème. De son lancement à la demande de redémarrage,
il a quand même fallu au total une bonne vingtaine de minutes!
Contrairement à tous les précédents Services Packs publiés par Microsoft pour ses systèmes d'exploitation, celuici ne propose pas de choisir si l'on veut sauvegarder ou non les fichiers qui seront remplacés afin de pouvoir
réaliser ultérieurement une éventuelle désinstallation. Le programme d'installation impose en effet la sauvegarde
qui se fait par défaut dans le répertoire "C:/windows/$NtServicePackUninstall$" et qui occupe alors à elle seule
environ 320 Mo. Pour désinstaller le Service Pack 2, il suffit de se rendre dans le module "Ajout/Suppression de
programmes" du panneau de configuration.
Ce Service Pack 2 modifie tellement les "structures" du système comme nous allons le voir plus loin dans le
dossier qu'il risque de générer de nombreux problèmes nécessitant dans certains cas une désinstallation ce qui
explique ce choix de Microsoft.
Le processus d'installation débute alors normalement.
Une fois l'installation terminée, il suffit de redémarrer Windows pour que le Service Pack 2 soit définitivement pris
en compte.
Au premier démarrage, le Service Pack 2 donne tout de suite le ton en affichant avant l'arrivée sur le bureau un
menu recommandant d'activer le service de mises à jour automatiques si ce n'est pas déjà le cas et d'aller
rechercher immédiatement les mises à jour disponibles sur Internet.
Security Center:
Le principal enjeu du Service Pack 2 de Windows XP étant la sécurité, pour réussir, il fallait d'une part que
Microsoft améliore son produit en terme d'efficacité et de robustesse mais il fallait également que la configuration
des différents points de sécurité soit plus accessible pour tous les utilisateurs. Pour cela, Microsoft a créé le
Security Center accessible directement depuis le panneau de configuration ou en cliquant sur l'icône
correspondante dans la barre des tâches.
Comme vous pouvez le voir ci-dessous, le Security Center centralise l'accès aux différents modules de sécurité et
permet de savoir en un coup d'oeil si ils sont activés ou désactivés et donc si la sécurité est optimale ou non sur
la machine. Les différents modules de sécurité sont bien sûr tout d'abord le pare-feu, le service de mises à jour
automatiques ainsi que le logiciel antivirus éventuellement installé. Si ces trois modules essentiels sont sur ON,
Microsoft considère alors votre système en très grande partie sécurisé. Le Security Center peut également
détecter pour certains antivirus si leurs définitions de virus sont à jour. Il est aussi possible d'accéder directement
aux options de sécurité du navigateur web de Microsoft, Internet Explorer.
Plusieurs liens vers le site de Microsoft sont également présents dans le menu de gauche permettant de se tenir
au courant des derniers virus apparus et des derniers problèmes de sécurité connus.
Le Security Center s'accompagne également d'une icône en forme de bouclier se logeant dans la barre des
tâches à côté de l'horloge dès le premier démarrage après l'installation du Service Pack 2. Celle-ci permet
d'afficher une alerte dans une petite bulle si un ou plusieurs des trois modules de sécurité ci-dessus sont
désactivés. Cliquer sur cette icône permet alors d'ouvrir le Security Center et d'activer ou non les sécurités
désirées.
Il est possible de configurer ces alertes en sélectionnant dans le Security Center les services dont on veut
surveiller l'état. Cela permet de ne pas recevoir une alerte si par exemple on a intentionnellement désactivé le
pare-feu car on ne souhaite pas l'utiliser.
Dans les pages suivantes nous détaillerons notamment ce nouveau pare-feu intégré à Windows XP.
Windows Firewall:
Pour sécuriser un système d'exploitation, la première mesure à prendre est sans aucun doute d'installer un parefeu (firewall) qui bloquera le trafic réseau non désiré venant d'Internet ou d'autres machines du réseau local. En
effet, en ne laissant ouverts que les ports TCP et UDP sur lesquels écoutent les applications que vous utilisez
réellement en réseau, vous fermez de nombreuses portes d'entrée aux pirates et aux virus.
Microsoft bien conscient de cela a d'ailleurs intégré un pare-feu dans Windows XP mais celui-ci, nommé Internet
Connection Firewall (ICF), est malheureusement désactivé par défaut laissant la porte ouverte à des attaques de
tous types. De plus une fois activée, l'ICF connaît malheureusement plusieurs problèmes notamment lors du
démarrage de Windows pendant lequel le pare-feu ne fonctionne pas encore.
Vous l'avez compris, la principale nouveauté du Service Pack 2 de Windows XP est la présence d'un tout
nouveau pare-feu renommé pour l'occasion Windows Firewall et qui sera ce coup-ci activé dès l'installation du
Service Pack 2. Une icône a d'ailleurs été ajoutée dans le panneau de configuration pour pouvoir le lancer
rapidement. Voici ci-dessous les nouveautés apportées par Windows Firewall:
• Activation du pare-feu dès l'installation du Service Pack 2.
• Le pare-feu est désormais actif pendant le démarrage de Windows. Seules les communications avec les
serveurs DNS et DHCP sont alors autorisées (pour les PC faisant parti d'un domaine). C'est à la fin du démarrage
de Windows que sont appliqués les paramètres de configuration du pare-feu.
• Les CD d'installation de Windows XP intégrant le Service Pack 2 permettent d'activer et de configurer le parefeu dès l'installation de Windows.
• La même configuration du pare-feu est désormais appliquée à toutes les connexions réseaux (Ethernet, Wi-Fi,
Internet...). Il n'est donc plus nécessaire de configurer les ports à ouvrir ou à fermer pour chaque connexion
réseau. Il est cela dit toujours possible d'ouvrir tel ou tel port uniquement sur telle ou telle connexion réseau.
• Possibilité de restreindre l'ouverture de chaque port en fonction de l'adresse IP de la machine voulant s'y
connecter. Il est ainsi possible d'ouvrir chaque port soit à tous les ordinateurs soit à tous les ordinateurs faisant
parti du même sous-réseau (par exemple le sous-réseau 192.168.0.x) soit à une liste d'ordinateurs voulus. Avec
l'ICF, les ports ouverts étaient en effet accessibles obligatoirement à tous les ordinateurs. Les ports UDP 137,
138 et TCP 139, 445 notamment utilisés pour le partage de fichiers et d'imprimantes sont désormais configurés
par défaut pour ne répondre qu'aux ordinateurs du sous-réseau. Ils étaient en effet en cause dans les récentes
failles de sécurité exploitées par les virus Blaster et Sasser via Internet.
• Ajout d'un nouveau mode de fonctionnement. Outre les modes "activé" et "désactivé", un troisième mode de
fonctionnement a été ajouté au pare-feu, il s'agit du mode "activé sans exceptions". Dans ce mode, les ouvertures
de ports personnalisées (exceptions) par l'utilisateur ne sont plus prises en compte et tout le trafic entrant est
automatiquement bloqué. Ce mode est utile si vous utilisez votre ordinateur par exemple sur un réseau pulic
comme dans un aéroport. Vous êtes alors certain que les ports qui sont normalement ouverts lorsque vous êtes
chez vous ou au bureau ne pourront pas être utilisés par quelqu'un pour accéder à votre ordinateur. Bien entendu
c'est à l'utilisateur d'activer ce mode lorsqu'il se rend dans ce genre d'endroits avec son ordinateur.
• Windows Firewall permet de choisir tout comme l'ICF les ports à ouvrir mais il permet désormais également de
choisir précisément les applications autorisées à communiquer avec l'extérieur en fonction du nom de
l'exécutable et indépendamment du port qu'elle utilisera. Le port ouvert par l'application sera refermé aussitôt que
celle-ci n'en aura plus besoin.
• Les ordinateurs étant sur un domaine peuvent désormais utiliser plusieurs profils: par exemple une
configuration très stricte du pare-feu lorsque le PC est connecté au bureau et une moins stricte pour une
utilisation personnelle ce qui est bien utile pour les ordinateurs portables.
• Possibilité d'activer, de désactiver et de configurer le pare-feu en ligne de commandes grâce à l'utilitaire Netsh.
• Possibilité de configurer le pare-feu en modifiant le fichier "Netfw.inf".
• Support complet du protocole IPv6 alors que l'ICF ne supporte que l'IPv4. Si les deux protocoles sont installés
sur le même ordinateur, l'ouverture ou la fermeture d'un port s'applique aux deux protocoles.
• Nouvelle interface utilisateur plus simple.
• Ajout d'un bouton pour restaurer la configuration par défaut du pare-feu.
Maintenant que nous avons listé toutes les nouveautés du pare-feu intégré à Windows XP Service Pack 2,
voyons en quelques unes en détail prises d'écran à l'appui.
L'onglet "Exceptions" liste tous les ports et programmes autorisés à être contactés par d'autres ordinateurs (trafic
entrant). Comme je vous le disais, le partage de fichiers et d'imprimantes est autorisé par défaut sur le même
sous-réseau. Le service d'aide à distance est également autorisé mais lui pour tous les ordinateurs.
Pour ouvrir un port, il suffit de cliquer sur "Add port" et de saisir, le nom de l'application, le numéro du port ainsi
que son type (UDP ou TCP).
Pour sélectionner quels ordinateurs auront le droit de se connecter sur ce port, il faut cliquer sur "Change scope"
et autoriser soit tous les ordinateurs soit uniquement les ordinateurs du même sous-réseau soit uniquement
certains ordinateurs représentés par leur adresse IP.
Mais il est désormais également possible de choisir les applications autorisées à communiquer avec l'extérieur en
indiquant simplement le chemin et le nom du fichier exécutable de l'application. Pour cela, il suffit de cliquer sur
"Add Program". Lorsqu'un ordinateur voudra communiquer avec cette application, le pare-feu ouvrira le port
correspondant si elle est dans la liste des applications autorisées. Il est là aussi possible de choisir les
ordinateurs autorisés comme ci-dessus.
Toujours dans l'onglet "Exceptions", si la case "Notifications" en bas est cochée, à chaque fois que le pare-feu
bloquera une application non autorisée à communiquer avec le réseau, une fenêtre s'affichera demandant ce que
vous voulez faire: bloquer l'application, l'autoriser ou seulement la bloquer jusqu'à sa prochaine tentative.
L'onglet "Advanced" permet de faire plusieurs réglages divers.
Dans cet onglet on peut notamment ouvrir des ports uniquement pour certaines connexions alors que les
paramètres vus plus haut s'adressent à toutes les connexions réseaux. Par exemple, il est possible d'activer le
serveur web (port 80) uniquement sur le réseau local ce qui le rendrait inaccessible depuis Internet. Si deux
règles définies dans les exceptions et dans ce module s'opposent, visiblement après un rapide test, c'est celle de
l'onglet "Advanced" qui est utilisée.
Au niveau sécurité, l'enregistrement des incidents du pare-feu est quelquechose de très important pour voir ce qui
s'est réellement passé en cas d'incident. Windows Firewall permet donc d'enregistrer tout ça dans un fichier log.
Enfin, il est possible de gérer le protocole ICMP notamment utilisé par la commande ping pour résoudre les
problèmes réseaux.
Mises à jour automatiques et Windows Update:
Certes le pare-feu permet à priori d'être à l'abri de la plupart des attaques mais si il venait à être désactivé pour
une raison ou pour une autre même temporairement ou si il était mal configuré, la porte serait alors ouverte par
exemple à certains virus se propageant par Internet. Maintenir à jour le système d'exploitation est donc
primmordial et il ne faut pas penser être parfaitrement à l'abri uniquement grâce au pare-feu. De plus, il n'y a pas
que des mises à jour de sécurité et souvent il est possible de résoudre des problèmes en tous genres en mettant
simplement à jour son système.
Mises à jour automatiques:
Pour obtenir les mises à jour de Windows XP, il est possible soit d'utiliser tout simplement le site Windows Update
qui cherchera et installera pour vous les mises à jour soit de télécharger manuellement les Service Packs et
patchs disponibles sur le site de Microsoft. Mais il existe une autre solution un peu moins connue du grand public
et qui est souvent utilisée par les administrateurs réseaux avec un serveur Software Update Services (SUS). Il
s'agit d'un module aussi présent dans Windows 2000 et dans Windows Server 2003 qui régulièrement ou quand
vous le désirez recherche sur Internet si des nouveaux patchs sont disponibles pour votre système. Si c'est le
cas, ils sont alors automatiquement téléchargés et installés de manière totalement transparente pour l'utilisateur.
Dans Windows XP Service Pack 2, ce module de mises à jour automatiques peut aussi bien se lancer depuis le
Security Center que depuis le panneau de configuration. Voici les améliorations apportées au service de mises à
jour automatiques du Service Pack 2:
• Utilisation du composant Background Intelligent Transfer Service (BITS 2.0) pour le téléchargement d'où une
diminution de la bande passante nécessaire ou encore la possibilité de reprendre les téléchargements
interrompus.
• Les logiciels Microsoft Office, SQL Server et Exchange peuvent désormais être mis à jour de cette manière en
plus de Windows lui même.
• Possibilité de mettre à jour automatiquement les drivers de périphériques.
• Tous les types de mises à jour peuvent être téléchargés et installés et plus seulement les mises à jour de
sécurité ayant un statut critique.
• Si plusieurs mises à jour sont téléchargées simultanèment, la plus prioritaire (comme un patch de sécurité)
sera installée en premier.
• Les mises à jour qui ne nécessitent pas un redémarrage de Windows peuvent désormais être installées dès
leur téléchargement achevé.
• Ajout d'une nouvelle option nommée "Install updates and shutdown" dans la boîte de dialogue permettant
d'arrêter et de redémarrer Windows.
• Déploiement plus facile pour les administrateurs réseaux.
Ci-dessous l'utilisation de la bande passante de la connexion à Internet pendant le téléchargement des mises à
jour.
Windows Update:
Tout comme le service de mises à jour automatiques, le site Windows Update a lui aussi été en grande partie
redéveloppé pour passer en version 5 et ainsi bénéficier de nombreuses nouveautés comme la possibilité de
mettre à jour certains logiciels Microsoft et plus seulement Windows, la possibilité de choisir entre le mode
"Express" (mises à jour de sécurité uniquement) et le mode "Custom" (choix des mises à jour à installer), une
nouvelle interface, des informations relatives à la sécurité, des messages d'erreur plus précis...
Internet Explorer:
Internet Explorer, le navigateur web de Microsoft n'est sans doute pas le meilleur exemple en terme de sécurité
logicielle et la réputation de Microsoft en a lourdement pâti. Ce navigateur est en effet intégré d'office à toutes les
versions de Windows ce qui en fait un des logiciels les plus utilisés de par le monde mais malheureusement son
évolution au fil des années a été entachée de nombreuses failles de sécurité souvent identifiées et corrigées trop
tard par Microsoft. Cela a poussé de nombreux utilisateurs de Windows à migrer vers d'autres solutions comme
Mozilla ou encore comme le tout récent Firefox. Pour rémédier à cela, Microsoft a bien évidemment revu
quelques peu son navigateur qui passe ainsi en version 6.0 SP2 pour remplacer la version 6.0 SP1 et ses
nombreux patchs de sécurité.
Blocage des popups:
Pourtant, la principale nouveauté d'Internet Explorer 6.0 SP2 ne concerne pas la sécurité à proprement parler
mais plutôt son utilisation ce qui est étonnant puisque depuis la version 5.0, Microsoft a très peu fait évoluer son
navigateur en terme de nouvelles fonctionnalités. C'est ainsi qu'enfin, Microsoft intègre à son navigateur une
fonctionnalité permettant d'empêcher l'ouverture des fenêtres de publicité aussi appelées popups. Cela évitera
toujours de devoir installer un utilitaire anti-popups tiers si on ne souhaite plus être importuné par la publicité.
Cette nouvelle fonctionnalité est activée par défaut dans le Service Pack 2 et peut se désactiver ou se configurer
en allant dans les options d'Internet Explorer.
Il est tout de même possible d'autoriser l'ouverture des popups grâce à une liste de sites personnalisable. On
peut aussi choisir d'entendre un son et d'afficher des informations dans la barre d'état lorsqu'une popup est
bloquée. Enfin, il est possible de choisir parmi trois modes de fonctionnement permettant d'être plus ou moins
sévère envers les popups: "bas", "moyen" et "élevé".
Paramètres des zones de sécurité:
Bien sûr, le blocage des popups n'est pas la seule nouveauté d'Internet Explorer 6.0 SP2. Des nouvelles
fonctions pour la gestion des ActiveX, des scripts et des téléchargements ont ainsi été ajoutées. Par exemple, le
lancement automatique d'un téléchargement est ainsi désormais interdit par défaut dans la zone Internet.
Téléchargements:
Lorsque que vous lancez un téléchargement volontairement, une icône s'affiche désormais et sa couleur (jaune,
bleu...) représente la dangerosité potentielle du fichier en fonction de son extension mais également en fonction
de son type MIME.
Si le fichier téléchargé est un exécutable, à la fin du téléchargement, lorsque vous l'exécutez, une nouvelle
fenêtre s'ouvre pour vous demander une confirmation d'ouverture du fichier. Si un certificat numérique est présent
dans l'exécutable, des informations sur l'origine du fichier et sur son éditeur son également affichées. Il est
possible de mettre des éditeurs dans une liste noire, aucun fichier de cet éditeur ne pourra alors être exécuté. Les
autres types de fichiers ne sont pas concernés par ce mécanisme de confirmation d'ouverture.
Gestion des plugins:
Jusqu'à présent, Internet Explorer n'offrait aucune interface pour consulter les plugins installés sur son ordinateur
et n'offrait pas non plus la possibilité de les désactiver temporairement. La seule solution était d'aller dans
chercher dans les répertoires systèmes de Windows et de les supprimer. Désormais il est possible de visualiser
tous les programmes tiers installés pour votre navigateur grâce à un nouveau panneau de configuration. On peut
ainsi désactiver ou activer à souhait les plugins et Internet Explorer peut également détecter si un plugin plante et
le relancer ce qui améliore la stabilité du navigateur.
De nombreuses autres nouveautés ont été intégrées dans Internet Explorer 6.0 SP2 comme une barre
d'informations plus complète, la possibilité de définir des paramètres de sécurité personnalisés pour chaque site
représenté par son URL ou encore des restrictions de sécurité au niveau de la mise en cache des objets.
Avec toutes ces mesures, Internet Explorer devrait ainsi être bien plus sécurisé, enfin espérons-le. Cela devrait
notamment rendre l'intrusion des spywares plus difficile qui sont à l'origine de nombreux e-mails non désirés
(SPAM).
D'un autre côté, cette meilleure sécurité se fait au détriment de la compatibilité, de nombreux sites auront en effet
à modifier une partie de leur code pour être compatible avec les ordinateurs équipés du Service Pack 2.
Nous allons maintenant voir à la page suivante que le logiciel Outlook Express, lui aussi souvent décrié, a connu
certaines améliorations d'importance.
Outlook Express:
Si le navigateur Internet Explorer a été mis en cause dans de nombreux problèmes de sécurité, il en est
également de même pour le client de messagerie qui lui est associé, Outlook Express. Ce dernier a en effet
grandement facilité l'infection de nombreux PC par des virus ainsi que le développement des courriers non
désirés. Voyons donc ci-dessous ce que Microsoft a prévu pour sécuriser son client de messagerie.
Blocage du contenu HTML externe:
La première mesure semble d'importance, il s'agit d'une nouvelle fonctionnalité dans les options d'Outlook
Express permettant d'empêcher le téléchargement du contenu HTML externe à l'e-mail comme les images se
trouvant sur un serveur web distant ou l'appel à des scripts distants. Si cela semble gênant pour la consultation
des e-mails rédigés au format HTML, c'est en fait une des seules solutions pour nettement faire diminuer le
nombre de courriers non désirés. En effet, les spameurs se servent très souvent d'images qui sont en fait
générées par un script dynamique pour notamment savoir si l'adresse e-mail existe réellement et si l'e-mail a été
lu. Si ils trouvent une adresse valide, vous êtes sûr qu'elle sera alors submergée de SPAM. Cela leur permet
aussi par exemple de connaître le temps passé à lire l'e-mail... Les balises HTML classiques et les images
intégrées dans l'e-mail sont en revanche affichées normalement avec cette nouvelle fonctionnalité.
Mode texte brut:
Désormais Outlook Express n'exécute plus les entêtes des messages rédigés en HTML car elles peuvent
contenir des scripts présentant un risque pour la sécurité. De plus, il était jusqu'à présent possible d'afficher les
messages reçus uniquement au format texte brut afin de ne pas exécuter du code qui pourrait se trouver dans un
e-mail envoyé par un virus ou par un pirate. Dans le Service Pack 2, la lecture des e-mails au format texte brut
n'est bien sûr pas obligatoire et n'est pas activée par défaut mais Microsoft recommande vivement de l'activer et
de l'utiliser en parrallèle avec une fonctionnalité qui a été ajoutée pour l'occasion. Si vous êtes confiant envers
l'expéditeur d'un e-mail après la prévisualisation du message en texte brut, vous pouvez alors en un simple clic
dans le menu "Affichage" recomposer ce message à son éventuel format d'origine c'est à dire en HTML avec
toute la mise en page que cela comporte.
Texte brut affiché
Conversion du message
HTML affiché
Pièces jointes:
L'exécution de contenu au format HTML ou de scripts en tous genres n'est pas le seul problème rencontré dans
Outlook Express, l'ouverture des pèces jointes vérolées en est aussi un autre très important. Les derniers virus à
la mode comme MyDoom se propagent souvent dans des e-mails qui sont générés et expédiés aléatoirement à
toutes les personnes contenues dans le carnet d'adresses de la machine infectée. Il est donc très fréquent de
recevoir des e-mails infectés sans que l'on ait rien demandé et il ne faut surtout pas ouvrir leurs prièces jointes
qui ont généralement .exe, .pif, .scr, .bat ou encore .com comme extension. Mais l'homme est de nature assez
curieuse et forcément il y aura toujours des imprudents pour ouvrir les pièces jointes.
C'est pourquoi, tout comme pour les téléchargements sous Internet Explorer, les pièces jointes sous Outlook
Express sont désormais gérées par un tout nouveau mécanisme de gestion de fichiers donnant des informations
sur la provenance du fichier, sa dangerosité potentielle et demandant une ultime confirmation avant son ouverture
définitive (voir la page précédente).
Mais compter sur la seule prudence des utilisateurs n'est pas suffisant pour assurer la sécurité d'un système
informatique. C'est pourquoi, il est vivement recommander d'utiliser en parallèle un logiciel antivirus permettant de
détecter les e-mails contenant un virus en pièce jointe. Afin de faciliter le développemet d'applications permettant
de détecter les virus dans les e-mails, Microsoft a inclus dans le Service Pack 2 une nouveauté pour les
développeurs. Il s'agit en fait d'une nouvelle interface de programmation nommée Attachment Execution Service
(AES) et qui contient de nombreuses fonctions pour que des logiciels tiers puissent vérifier les e-mails et leurs
pièces jointes.
Data Execution Prevention:
Pour infiltrer un système d'exploitation de nombreux virus ainsi que des pirates informatiques utilisent une
méthode visant à provoquer un dépassement de mémoire tampon qui est aussi appelée "Buffer overflow" en
Anglais. Grâce à cette technique, il est possible de modifier le contenu de la mémoire du système et
éventuellement de prendre le contrôle de ce dernier ou du moins d'être autorisé à exécuter certaines
commandes.
Pour éviter ce genre de problèmes de sécurité, il faut bien sûr que les applications soient programmées du mieux
possible mais en développement, il est malheureusement très dur voir impossible de faire un sans faute.
Pourtant, des solutions logicielles notamment disponibles sous Linux existent et permettent de détecter ce type
de débordements de la mémoire mais malheureusement ne les empêchent pas.
C'est ainsi que l'an dernier, le constructeur Amd a intégré dans ses processeurs 64 bit Athlon 64 et Opteron
(AMD64) une toute nouvelle technologie nommée No eXecute (NX). Le rôle de cette technologie est de détecter
et de détruire les instructions envoyées au processeur suite à une tentative de débordement de la mémoire. Si
vous ne voyez pas bien en quoi tout cela consiste, voici une vidéo plus concrête (4.2 Mo). Amd a ainsi inclus
cette technologie très intéressante directement dans le matériel c'est à dire dans le processeur ce qui sera
forcément très efficace. Intel aura mis presque un an pour répliquer avec le support d'une technologie équivalente
dans les processeurs Pentium 4 équipées d'un core Prescott en révision E-0 ou supérieure.
Pourtant cette protection de la mémoire ne peut être exploitée que si le système d'exploitation la supporte lui
aussi. Vous voyez donc où je veux en venir, le Service Pack 2 de Windows XP supporte la protection de la
mémoire vis à vis des virus. Chez Microsoft, cela s'appelle le Data Execution Prevention (DEP) et ce sera
également supporté dans la version 64 bit de Windows XP. A noter que Linux supporte également cela grâce à la
version 2.6.7 ou supérieure de son noyau sortie tout récemment.
Nous n'avions malheureusement pas de configuration AMD64 sous la main pour tester cette fonctionnalité qui
comme vous pouvez le voir ci-dessous était désactivée sur l'Athlon utilisé. Si le DEP semble une très bonne
fonctionnalité qui ne pourra rendre que plus sûrs les systèmes d'exploitation, il risque, du moins dans un premier
temps, d'y avoir de nombreux problèmes de compatibilité avec certains drivers et logiciels. La sortie du Service
Pack 2 devrait donc être accompagnée de nombreuses mises à jour pour vos logiciels préférés. Toutefois, il est
possible de désactiver le DEP soit entièrement soit uniquement pour les applications posant alors des problèmes
de compatibilité et de stabilité. Pour ce qui est des drivers, il faut espérer que les constructeurs de vos
périphériques seront réactifs si besoin.
Comme vous pouvez le voir en bas de la prise d'écran, même si le processeur ne gère pas le DEP comme c'est
ici le cas, Windows utilise tout de même un mode de protection logiciel de la mémoire mais cela est forcément
moins efficace et moins performant.
Wireless Network Setup Wizard:
Ces dernières années et ces derniers mois, la popularité des réseaux sans fil comme n'a cessé de croître
notamment grâce au protocole Wi-Fi (IEEE 802.11) du coup Microsoft se devait de faciliter la configuration de ce
type de réseaux et surtout leur sécurisation qui est trop souvent laissée de côté par des utilisateurs trop peu
informés sur les risques. Pour cela, un tout nouvel assistant de configuration est accessible dans le panneau de
configuration, il se nomme Wireless Network Setup Wizard c'est à dire Assistant de configuration d'un réseau
sans fil. Il permet soit de créer un nouveau réseau sans fil ce que nous allons voir ci-dessous soit d'y ajouter une
nouvelle machine.
Pour être sécurisé, un réseau sans fil Wi-Fi utilise un nom (SSID), une clé de cryptage en général codée sur 40,
64 ou 128 bits et enfin, une méthode de cryptage de cette clé (WEP ou WPA). Il suffit alors de saisir ces
différents paramètres dans l'assistant.
Il faut ensuite indiquer ces mêmes paramètres sur tous les PC et équipements réseaux devant faire partie du
réseau sans fil. Seulement il n'est pas évident de retenir la clé de cryptage ou même de la noter sur un bout de
papier. L'assistant propose donc soit de saisir ces paramètres soi même sur les autres PC soit de les enregister
sur une clé USB ou sur une disquette ce que nous allons faire.
Il suffit alors de choisir le lecteur sur lequel on veut exporter la configuration du réseau sans fil. Les données sont
extraites sous la forme d'un simple fichier texte (wsettings.txt) que vous pouvez ouvrir manuellement à partir d'un
autre PC pour le configurer mais également au format XML (wsettings.wfc) ce qui permet à l'assistant de l'autre
PC d'importer automatiquement cette configuration après avoir inséré la clé USB. Il est également possible de
configurer de cette manière plusieurs types de matériels sans fil possédant un port USB: points d'accès,
imprimantes...
A la fin de la configuration du réseau sans fil, il vous est tout de même possible de conserver ces paramètres sur
un support papier en cliquant sur "Imprimer".
DirectX:
Le composant DirectX qui est utilisé par la majorité des jeux est également mis à jour grâce au Service Pack 2 de
Windows XP. La version originale de Windows XP contient en fait DirectX 8.1 (4.08.01.0810) qui peut être passé
en version 9.0b (4.09.0000.0902) grâce à la mise à jour disponible au téléchargement chez Microsoft depuis
bientôt un an.
Par rapport à DirectX 9.0b, cette version 9.0c (4.09.0000.0904) apporte à Direct3D le support du Shader Model
3.0 c'est à dire des Pixels Shaders 3.0 et des Vertexs Shaders 3.0 qui permettent aux programmeurs d'utiliser
toujours plus d'instructions dans leurs effets 3D. La série 6 des chipsets graphiques GeForce (NV4x, GeForce
6800...) supporte le Shader Model 3.0 grâce aux drivers ForceWare en version 61.34 ou supérieure. Par contre,
de son côté Ati a malheureusement annoncé que ses chipsets X800 (R420) ne supporteront pas les Pixels et
Vertexs Shaders 3.0. Il faudra pour cela attendre le R500 prévu pour début 2005.
Grâce à son patch 1.2, le jeu Far Cry devrait être le premier titre à supporter le Shader Model 3.0. La sortie de ce
dernier est sensée être imminente. Le moteur 3D Unreal Engine 3 récemment annoncé par Epic supporte bien
sûr aussi cette nouvelle fonctionnalité de DirectX 9.0.
DirectX 9.0c contient également la mise à jour KB839643 qui corrige un problème de sécurité dans le module
réseau DirectPlay.
Installation des drivers:
Lors de l'ajout d'un nouveau périphérique, l'assistant d'ajout de matériel se lance et si Windows ne connaît pas ce
périphérique, il est demandé à l'utilisateur d'indiquer le lecteur et le répertoire où se trouvent les drivers: CDROM, disquette, disque dur... Il était jusqu'à présent également possible de demander à Windows d'aller chercher
les drivers sur le site Windows Update de Microsoft. Dans le Service Pack 2 de Windows XP, cette recherche des
drivers sur Internet est bien sûr toujours possible et a même été quelques peu améliorée afin que Windows
puisse aller chercher automatiquement les drivers correspondants sur Windows Update sans que l'utilisateur n'ait
rien à faire. Il est possible de modifier le comportement de ce mécanisme via l'onglet "Matériel" du module
"Système" du panneau de configuration comme indiqué ci-dessous. Cette fonctionnalité nécessite évidemment
d'être connecté à Internet au moment de l'ajout du périphérique et de préfèrence avec une connexion haut débit.
Cela fonctionne donc lors de l'ajout d'un nouveau périphérique et de la première installation des drivers mais
également pour la mise à jour des drivers comme ci-dessous dans le gestionnaire de périphériques.
Windows recherche alors si des nouveaux drivers sont disponibles ce qui prend quelques minutes.
Divers:
Dans les pages précédentes, nous avons détaillé les principales améliorations apportées par le Service Pack 2
de Windows XP. La majorité d'entre elles concernent la sécurité comme on pouvait s'y attendre mais d'autres
améliorations de moindre importance ont également été développées par Microsoft. En voici quelques unes.
Gestionnaire de périphériques:
Un nouvel onglet fait son apparition dans les propriétés de chaque matériel du gestionnaire de périphériques. Cet
onglet "Détails" donne plusieurs informations sur le matériel comme sa chaîne d'identification Plug & Play (cidessous), les types de mise en veille supportés, la version du firmware, le nom du service correspondant aux
drivers...
Ajout/Suppression de programmes:
Dans le module "Ajout/Suppression de programmes", une case à cocher "Show updates" fait son apparition,
celle-ci permet d'afficher ou non les mises à jour de Windows. Si plusieurs patchs sont installés, cela met en effet
vite le fouilli dans la liste des logiciels du coup, il peut être utile de cacher les patchs Microsoft avec cette option.
Windows Media Player:
Le Service Pack 2 met à jour le lecteur multimédia de Microsoft, Windows Media Player, en version 9.0 alors que
le Service Pack 1a contient la version 8.0. Cette version 9.0 apporte quelques nouvelles fonctionnalités et surtout
corrige plusieurs failles de sécurité.
Windows Messenger:
Le logiciel de messagerie instantanée, Windows Messenger, inclus dans Windows XP a été mis à jour en version
4.7.3000. Désormais si quelqu'un qui n'est pas dans votre liste de contacts essaye de vous envoyer un fichier, le
transfert du fichier est bloqué. De plus, un nom d'utilisateur différent de l'adresse e-mail est désormais
indispensable pour se connecter. Certains virus et spywares récupéraient en effet les adresses e-mails
contenues dans les fichiers de logs de Windows Messenger afin de se propager ou d'envoyer du SPAM.
Windows Installer:
Le service Windows Installer gère les installations, les mises à jour et les suppressions de nombreux logiciels et
programmes Windows. La version 3.0 de Windows Installer est inclus dans le Service Pack 2 et améliore
notamment la gestion des patchs, leur développement et leur déploiement.
Service "Affichage des messages":
Le service "Affichage des messages" qui est utilisé par certaines personnes peu scrupuleuses pour envoyer du
SPAM directement sous la forme de fenêtres Windows est désormais désactivé par défaut.
DCOM, RPC et WebDAV:
Les composants DCOM, RPC et WebDAV ont très souvent été mis en cause dans les failles de sécurité de
Windows c'est pourquoi dans le Service Pack 2, leur sécurité a été largement revue afin de limiter les problèmes
de sécurité qu'ils pourraient à nouveau générer.
Support de Bluetooth:
Le support du protocole réseau sans fil Bluetooth est désormais inclus dans Windows XP et cela permet de gérer
en natif plusieurs types de périphériques Bluetooth: claviers, souris, imprimantes, téléphones portables (pour
créer une connexion à Internet)...
Windows XP Tablet PC Edition:
Des améliorations spécifiques à la version Tablet PC Edition de Windows XP ont été réalisées comme un
nouveau panneau de saisi et une meilleure détection des saisies manuelles.
Correction de bugs:
Comme on pouvait s'y attendre, le Service Pack 2 corrige aussi son lot de bugs. Selon le site de Microsoft, il
contiendrait ainsi près de 200 patchs et correctifs en tous genres publiés depuis le Service Pack 1a. Liste de tous
les correctifs inclus dans le Service Pack 2.
Conclusion:
Nous avons vu tout au long de ce dossier que le Service Pack 2 de Windows XP ne se contente pas comme son
prédécesseur de simplement corriger des bugs mais on pourrait presque dire qu'il s'agit d'un nouveau système
d'exploitation tant le nombre de nouveautés est impressionnant et tant elles changent sa physionnomie. Ce
système a désormais en effet beaucoup plus d'atouts pour faire déjouer les virus et les attaques en tous genres
qui ont fait l'actualité depuis sa sortie en Octobre 2001. Microsoft s'est de plus attaché à faciliter la configuration
et l'accès aux différents modules de sécurité pour faciliter leur utilisation par le grand public.
On ne peut cependant pas s'empêcher de penser que plusieurs de ces fonctionnalités auraient absolument dûes
être intégrées par Microsoft dans la version originale de Windows XP quitte à repousser sa sortie de quelques
mois. Par exemple, la simple activation par défaut du pare-feu aurait évité la majorité des problèmes de sécurité
comme ceux causés par Blaster ou encore par Sasser qui ont grandement nui à la réputation de Microsoft et à la
qualité de ses produits.
Le nouveau pare-feu, Windows Firewall, m'a réellement laissé une très bonne impression et semble être une
réussite en terme de fonctionnalités, d'efficacité et de simplicité d'utilisation, il n'a en somme plus grand chose à
envier à certains pare-feu que l'on peut trouver gratuitement sur Internet.
Qu'en est-il d'Internet Explorer? Après avoir été majoritairement adopté ces dernières années par quasiment la
totalité des internautes, il est aujourd'hui le logiciel de Microsoft le plus remis en cause en raison de nombreuses
failles de sécurité inadmissibles pour un logiciel de ce type. Le Service Pack 2 de Windows XP semble bien
améliorer les choses en terme de sécurité mais cela sera-t-il suffisant pour empêcher la découverte de nouvelles
failles de sécurité dans Internet Explorer et donc pour empêcher la perte de parts de marché sur ce terrain par
exemple au profit de Mozilla? Par ailleurs, les versions d'Internet Explorer utilisées sur d'autres systèmes que
Windows XP comme Windows 2000 bénéficieront-elles d'une mise à jour? Rien n'est encore sûr.
Outlook Express de son côté devrait permettre de limiter l'intrusion des virus et la réception de courriers non
désirés mais ce n'est bien sûr pas encore la solution miracle pour mettre définitivement un terme au SPAM.
Toutes ces nouveautés ont bien sûr demandées de la part des développeurs de Microsoft de réaliser des
modifications en profondeur dans Windows XP ce qui risque d'avoir un impact assez élevé sur la compatibilité
avec les applications et logiciels existants. De nombreux sites webs quelques peu exotiques risquent également
d'être touchés par les nouvelles limitations techniques d'Internet Explorer. Le Service Pack 2 devrait donc donner
pas mal de travail aux développeurs pour mettre à jour leurs logiciels et drivers mais également aux
administrateurs réseaux pour le déploiement et la configuration de ce dernier. Microsoft communique d'ailleurs
énormément sur ces changements afin que tout le monde puisse faire la migration dans les meilleures conditions
possibles et surtout le plus rapidement possible car ce Service Pack 2 est un réel enjeu financier pour Microsoft.
Enfin, on peut se dire qu'il ne manque plus qu'une chose au système grand public de Microsoft du point de vue
de la sécurité, il s'agit d'un antivirus intégré. Cela est d'ailleurs peut-être déjà prévu pour les années à venir et
cela semble même inévitable à la vue des récentes acquisitions de sociétés faites par Microsoft.
Pour ce qui est de la date de sortie de la version finale du Service Pack 2, rien n'est encore sûr à l'heure où j'écris
ces lignes. Certains parlent d'une disponibilité vers la fin du mois de Juillet, d'autres parlent d'une disponibilité
pour début Septembre, dans tous les cas ça ne saurait tarder, soyez patients. A noter que Windows Server 2003
devrait dans son Service Pack 1 lui aussi bénéficier d'une grande partie de ces améliorations liées à la sécurité