A la suite d’un premier article diffusé par Vnunet.com, Microsoft a répondu à une critique publique concernant son composant de sécurité User Account Control (UAC.) Un porte-parole a confirmé à nos confrères que le problème signalé n’était pas considéré comme une vulnérabilité du logiciel du point de vue de l’éditeur.
« L’UAC est configuré par défaut de sorte que les utilisateurs ne soient pas notifiés en cas de modification des paramètres Windows », a déclaré le porte-parole. « Ceci inclut également le changement du niveau de notification de l’UAC. »
Ces déclarations font suite à la publication d’une note rédigée par le chercheur Long Zheng, qui suggère que les fonctions d’avertissement de l’UAC peuvent être contournées et même désactivées par du code malveillant.
Mais selon Microsoft, pour qu’un tel cas de figure se présente, il faudrait que le pirate se soit déjà introduit dans le système. « Il n’y a qu’un seul moyen de modifier ce niveau sans en informer l’utilisateur, et ceci passe par un code malveillant déjà introduit dans le système », explique le porte-parole. « Et pour qu’un code malveillant se soit introduit, il faut une autre faille (ou que l’utilisateur donne explicitement son consentement). »
Dans sa note originale, Long Zheng reprochait à Microsoft d’ignorer le problème. Dimanche, le chercheur a publié une autre note pour répondre à des déclarations faites par l’éditeur.
« L’argument de Microsoft est entièrement fondé sur l’utilisateur, ce que j’accepte dans une certaine mesure : ils doivent au préalable télécharger et exécuter une application malveillante. Mais n’oublions pas que dans le cas d’une application avec des privilèges faibles, l’utilisateur ne reçoit aucun avertissement d’aucune sorte », écrit-il. « Comment une application avec des privilèges faibles pourrait-elle désactiver la totalité de la couche de sécurité s’il ne s’agit pas d’une faille de sécurité ?
L’éditeur n’a pas précisé si les suggestions de Long Zheng seront prises en compte ou non, mais le porte-parole a déclaré que « Microsoft a reçu des commentaires sur le comportement de notification de l’UAC et a apporté des changements compte tenu de ces informations. »
A la suite d’un premier article diffusé par Vnunet.com, Microsoft a répondu à une critique publique concernant son composant de sécurité User Account Control (UAC.) Un porte-parole a confirmé à nos confrères que le problème signalé n’était pas considéré comme une vulnérabilité du logiciel du point de vue de l’éditeur.
« L’UAC est configuré par défaut de sorte que les utilisateurs ne soient pas notifiés en cas de modification des paramètres Windows », a déclaré le porte-parole. « Ceci inclut également le changement du niveau de notification de l’UAC. »
Ces déclarations font suite à la publication d’une note rédigée par le chercheur Long Zheng, qui suggère que les fonctions d’avertissement de l’UAC peuvent être contournées et même désactivées par du code malveillant.
Mais selon Microsoft, pour qu’un tel cas de figure se présente, il faudrait que le pirate se soit déjà introduit dans le système. « Il n’y a qu’un seul moyen de modifier ce niveau sans en informer l’utilisateur, et ceci passe par un code malveillant déjà introduit dans le système », explique le porte-parole. « Et pour qu’un code malveillant se soit introduit, il faut une autre faille (ou que l’utilisateur donne explicitement son consentement). »
Dans sa note originale, Long Zheng reprochait à Microsoft d’ignorer le problème. Dimanche, le chercheur a publié une autre note pour répondre à des déclarations faites par l’éditeur.
« L’argument de Microsoft est entièrement fondé sur l’utilisateur, ce que j’accepte dans une certaine mesure : ils doivent au préalable télécharger et exécuter une application malveillante. Mais n’oublions pas que dans le cas d’une application avec des privilèges faibles, l’utilisateur ne reçoit aucun avertissement d’aucune sorte », écrit-il. « Comment une application avec des privilèges faibles pourrait-elle désactiver la totalité de la couche de sécurité s’il ne s’agit pas d’une faille de sécurité ?
L’éditeur n’a pas précisé si les suggestions de Long Zheng seront prises en compte ou non, mais le porte-parole a déclaré que « Microsoft a reçu des commentaires sur le comportement de notification de l’UAC et a apporté des changements compte tenu de ces informations. »
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…