Mode de compatibilité XP : le talon d’Achille de Windows 7
Par billets de blogs interposés, Microsoft et Sophos polémiquent ardemment autour des risques de sécurité liés au mode compatibilité XP de Windows 7. Pour l’éditeur de logiciels de sécurité finlandais, ce mode – et surtout son isolement total des outils et politiques de sécurité mises en œuvre sous Windows 7, virtualisation oblige – « créent le potentiel pour un désastre de sécurité ».
C’est Richard Jacobs, directeur technique de l’éditeur de solutions de sécurité finlandais Sophos, qui a allumé la mèche, mi-juillet dernier. Selon lui, le mode de compatibilité XP intégré à Windows 7, sur la base d’une machine virtuelle, « crée le potentiel pour un désastre de sécurité". En fait, Richard Jacobs fustige le fait que « Microsoft ne fournit pas de solution d’administration pour la machine virtuelle du mode XP. […] Le mode XP est une instance Windows indépendante, qui partage les dossiers et les périphériques de Windows 7 installé sur l’hôte. Ce qu’il ne partage pas, ce sont les processus et la mémoire. Ainsi, il ne partage pas les réglages de sécurité, les logiciels de sécurité, les correctifs, etc. Il n’hérite d’aucune sécurité venant de l’hôte. »
Des besoins d’administration doublés
En fait, il n’y a pas là de quoi étonner quelque habitué de la virtualisation… Mais Richard Jacobs pointe une conséquence que certains sont susceptibles d’oublier : « quand vous utilisez le mode XP, vous avez besoin d’appliquer les correctifs à la copie de XP comme à l’hôte sous Windows 7. Vous avez besoin de gérer les réglages séparément, de configurer deux pare-feux personnels et d’installer et administrer deux copies de votre logiciel anti-malware. » Une évidence pour beaucoup. Mais pas pour tous… et encore moins pour les PME – voire TPE. Un point que relève, un peu à un son insu, James O’Neill, évangéliste de Microsoft, sur son blog de TechNet : il rappelle notamment que le mode XP de Windows 7 est avant tout conçu pour aider les PME à migrer vers Windows 7 et qu’il ne saurait donc être autre chose qu’un palliatif temporaire. Un point sur lequel Roger Halbheer, conseiller sécurité en chef de Microsoft pour l’Europe, ne le contredit pas. Mais, lui aussi, soulève un autre élément de risque pour les structures ne disposant pas de personnels d’administration des postes de travail à temps plein : le mode de compatibilité XP de Windows 7 se veut aussi transparent que possible ; une transparence qui risque de renforcer la propension de certains à l’oubli des impératifs d’administration liés à cette machine virtuelle.
Un accès encore limité aux outils
Qui plus est, James O’Neill répond à Richard Jacobs en soulignant qu’il existe bien une solution d’administration adaptée au mode de compatibilité XP : MED-V. Quitte à oublier au passage le fil de son argumentaire en soulignant lui-même que cette solution s’adresse principalement aux entreprises d’une taille conséquente – « MED-V est conçu pour les plus grandes entreprises disposant d’une infrastructure d’administration adaptée et ayant besoin de déployer un environnement virtuel Windows XP administré de façon centralisée sur des postes de travail Windows Vista ou Windows 7. »
Autre oubli, touchant cette fois-ci ces mêmes entreprises de taille importante : la solution qui devra permettre d’industrialiser le provisionnement, le déploiement et le support des environnements XP virtualisés des postes de travail sous Windows 7, MED-V v2 (issu du rachat de Kidaro), ne sera pas immédiatement disponible à la sortie générale de Windows 7, le 22 octobre prochain.
Il faudra attendre 90 jours supplémentaires pour accéder à une version bêta, comme l’indiquait récemment Scott Woodtgate, directeur chez Microsoft pour la virtualisation et l’administration du poste de travail.