En réponse aux retours des utilisateurs de Windows Vista, Microsoft a rendu plus discret le contrôle des comptes d'utilisateurs de Windows 7. Ce
remaniement bienvenu de l'UAC a néanmoins pour conséquence de permettre à des logiciels malveillants de le désactiver et de s'installer aisément. Un développeur en a fait la preuve par l'exemple en publiant un script de quelques lignes capable de désactiver l'UAC en toute impunité.
Microsoft a beau
estimer que cette conception n'est pas une vulnérabilité, indiquant dans un premier temps que ce comportement permissif était volontaire et qu'il resterait en l'état, il revient sur sa position et annonce aujourd'hui que l'
user account control subirait deux changements dès la Release Candidate, dont la date de disponibilité n'a pas été précisée.
Le panneau de contrôle de l'UAC fonctionnera désormais dans un
« processus à haute intégrité », de quoi le prémunir de la plupart des attaques. Des droits élevés accordés à certaines applications certifiées seront nécessaires pour pouvoir accéder à ces paramètres.
Le changement du paramétrage de l'UAC nécessitera quant à lui une intervention humaine, comme c'était le cas sous Windows Vista. Le changement des autres paramètres de Windows sera en revanche dispensé par défaut de demande de confirmation, comme prévu. Petit bémol toutefois, un logiciel malveillant pourra toujours utiliser à bon escient une application certifiée (en s'installant en tant qu'extension par exemple) pour contourner la protection.
Les ingénieurs de la firme de Redmond rappellent enfin que Windows 7 a été conçu pour être plus sécurisé que Vista.
« C'est notre priorité. »
