Rétro-scoop

Nouvelles du passé, compréhensions nouvelles :
Service Pack 2, un Windows XP plus sûr

Le Service Pack 2 doit rendre Windows plus sûr. Les efforts ont surtout été concentrés sur la sécurité du système d’exploitation, notamment la présence d’un véritable pare-feu activé par défaut.

Le premier Service Pack d’environ 130 Mo (compressé) avait permis à Microsoft de corriger 324 erreurs liées au système d’exploitation. Avec ce Service Pack 2 (Build 2082), les efforts ont certes été concentrés sur la correction de problèmes connus, mais aussi et surtout sur l’amélioration de la protection réseau, la protection contre le dépassement de mémoire et celle de la messagerie électronique contre les pièces jointes, la sécurité du système d’exploitation. Sans oublier une plus grande sécurité pour naviguer sur le web. Le nombre de processus et descripteurs correspondants suffisent pour voir que le Service Pack 2 consomme nettement plus de ressources. Le pare-feu et le centre de sécurité qui vérifie tous les réglages pertinents de sécurité, tous deux activés par défaut, nécessitent également plus de mémoire.

Amélioration de la protection réseau grâce au pare-feu Windows

Dans la mise à jour de Windows XP, le pare-feu de Windows (jusqu’à présent pare-feu de connexion internet) est désormais actif par défaut et mieux configurable. Par ailleurs, une nouvelle fonctionnalité permet de protéger le PC dès son démarrage. Le pilote réseau n’est chargé qu’une fois le pare-feu activé. Même lorsque l’ordinateur est arrêté, ce dernier offre désormais une protection efficace en procédant d’abord à l’extinction du pilote réseau.
Le pare-feu Windows est donc désormais toujours actif, et ce, pour toutes les connexions réseau. Si l’utilisateur peut configurer le pare-feu, il est également possible à un administrateur de régler les paramètres au niveau du réseau grâce à l’Éditeur de profils. Dans ce cas, l’utilisateur perd la possibilité de le configurer lui-même.

En matière de configuration l’utilisateur n’est plus obligé de chercher longuement les fonctions du pare-feu comme cela a été le cas jusqu’à présent, mais trouve l’icône correspondant dès qu’il visualise la connexion réseau. Tous les réglages de sécurité peuvent également être effectués et affichés dans l’écran du nouveau centre de sécurité.
La configuration du pare-feu propose trois options: activé, activé avec liste d’exceptions et désactivé. Les exceptions sont en général des applications comme des logiciels de partage de fichiers, des programmes de messagerie, ainsi que des ports individuels.
Ces exceptions peuvent être paramétrées localement ou globalement. L’activation locale signifie que les ports ne disposent d’un accès correspondant aux applications respectives qu’au sein d’un même réseau. L’option globale permet quant à elle d’étendre l’accès aux applications à partir de l’extérieur (partage de fichiers, messagerie). Par ailleurs, dans le cas où un programme voudrait établir une connexion à internet peu après le démarrage, Microsoft a intégré un mécanisme consistant à en demander l’autorisation à l’utilisateur.

La sécurité de la connexion réseau est également renforcée par une protection améliorée du service d’appel de procédures à distance (RPC) et du modèle DCOM (Distributed Component Object Model). En outre, certains services (services d’alerte et de messagerie) qui ne sont pas absolument indispensables mais qui comportent des risques en termes de sécurité sont désactivés.

Protection contre le dépassement de mémoire

Désormais, la protection contre le dépassement de mémoire (buffer overflow) est rendue possible grâce à l’utilisation de processeurs offrant la fonctionnalité NX (AMD Athlon 64, AMD Opteron, Intel Itanium). La technologie NX pour « No Execute » fait en sorte que certaines parties de la mémoire ne soient pas exécutables.
Il faut savoir que les utilisateurs dont le PC est équipé d’un processeur Athlon 64 d’AMD bénéficient d’une meilleure protection que ceux avec des systèmes équivalents dotés d’un processeur Intel. Le Service Pack 2 active la fonction présente dans le processeur AMD qui empêche tout dépassement de mémoire lors de l’exécution de code dangereux. Intel ne propose cette option qu’à partir de son processeur haut de gamme Itanium. Il ne devrait toutefois pas s’écouler beaucoup de temps avant qu’Intel n’intègre également cette importante fonctionnalité de sécurité dans ses autres processeurs.
La mémoire des PC équipés de P4 et autres processeurs qui n’offrent pas cette possibilité est également protégée, grâce à l’adaptation de tous les programmes exécutables du système d’exploitation. Ce procédé (mise en bac à sable, ou « sandbox ») n’est en revanche pas aussi efficace que l’implémentation matérielle dans les processeurs.

Protection de la messagerie électronique contre des pièces jointes dangereuses

De nombreux vers, virus et chevaux de Troie parviennent à pénétrer dans l’ordinateur sous forme de pièces jointes dans les messages électroniques. Outlook Express sait désormais faire beaucoup de choses que sa variante professionnelle Outlook maîtrise depuis longtemps déjà.
Le blocage d’images et autres contenus HTML tout comme celui des pièces jointes potentiellement dangereuses font désormais partie intégrante des capacités d’Outlook Express.

Plus de sécurité pour naviguer

Internet Explorer contient enfin un système de blocage efficace des fenêtres pop-up. Cette fonctionnalité est exploitée depuis longtemps par bon nombre d’utilisateurs, par exemple grâce à l’installation d’un module compagnon de navigation, comme Crazy Browser disponible depuis 2002. Alors que Microsoft ne sera parvenu à l’intégrer qu’en 2004.


Ce système de blocage ne rend cependant pas le navigateur plus sûr. Cette tâche relève notamment du contrôle sur les modules compagnons installés. En outre, le nouvel Internet Explorer interdit l’exécution de code HTML dangereux sur le PC en local. Néanmoins, s’il détecte du code jugé dangereux, cela ne signifie pas pour autant qu’il y a danger. L’utilisateur peut ignorer l’alerte et autoriser Explorer à exécuter le code. Lors de notre test, Internet Explorer nous a mis en garde contre l’exécution de certaines pages du test de performances internet ibench, alors que celui-ci ne contient pas de code dangereux. Si cette erreur est encore présente dans la version définitive du SP2, bien des applications intranet d’entreprise seront également concernées par ce problème. Cette alerte effrayera certainement de nombreux utilisateurs qui appelleront alors le support informatique, ce qui n’est sans doute pas le but.


Meilleur service de mise à jour


Désormais, il est possible de supprimer certains composants installés via le service de mise à jour automatique Windows Update lorsque des problèmes apparaissent suite à leur installation. Les administrateurs de grands réseaux devraient d’abord tester cette fonctionnalité sur un ordinateur. Si elle s’avère parfaitement satisfaisante, il est possible de l’activer sur tous les autres ordinateurs du réseau.

Windows XP offre dès lors la meilleure protection qu’un système d’exploitation Windows ait jamais offerte. Avec un pare-feu installé en standard sur le Service Pack 2 et un programme anti-virus, non fourni avec Windows, la plupart des attaques de pirates pourront être contrées efficacement. Néanmoins, même ces mesures ne pourront pas offrir une protection à 100% contre l’ouverture de pièces jointes dont on ne connaît pas les expéditeurs.


Performances et exigences en mémoire de Windows XP selon le Service Pack installé

Installation XP

Windows XP Sp1 DX9b

Windows XP Sp1
(mises à jour 11.3)

Windows XP SP2 (2082)

Fichiers/répertoires

9780/710

10104/738

11596/830

Place

1212,9 Mo

1286,8 Mo

1856,7 Mo

Descripteurs

3178

3277

4512

Threads

252

242

302

Processus

15

15

19

Mémoire

522,99 Mo

522,99 Mo

522,99 Mo

Disponible

419,4 Mo

415,7 Mo

391,5 Mo

Cache système

62,9 Mo

83,8 Mo

130,3 Mo

Mémoire noyau

12,6 Mo

12,6 Mo

16,8 Mo

Paginée

7,7 Mo

7,8 Mo

11,4 Mo

Non paginée

4,9 Mo

4,9 Mo

5,3 Mo

Démarrage de Windows XP

20 secondes

19 secondes

25 secondes

Comanche4

70,6 images/s

70,9 images/s

70,0 images/s

Business Diskwinmark

10,3 Mo/s

9,9 Mo/s

9,4 Mo/s

Sollicitation du processeur

7,2 %

7,6 %

7,6 %

Highend Diskwinmark

24,9 Mo/s

25,0 Mo/s

26,1 Mo/s

Sollicitation du processeur

2,96 %

3,2 %

3,4 %

Business Winstone 2004

25,9 points

25,7 points

23,9 points

Business Winstone 2004
(processeur)

55,1 %

54,9 %

53,7 %


Newsletter

Abonnez-vous pour suivre nos actualités :