Dans uncommit au projet Chromium, Microsoft a proposé qu’un mécanisme spécifique soit mis en place pour que les navigateurs soient automatiquement relancés en mode utilisateur si des droits administrateurs sont détectés.
L’idée, repérée par WindowsLatest, n’est pas nouvelle, la firme ayant testé une boite de dialogue l’année dernière dans le canal Canary de son Edge. Elle informait l’utilisateur que son navigateur était en mode administrateur et proposait de redémarrer avec moins de privilèges.
En termes de navigation, il n’y a aucune différence. En revanche, les données téléchargées bénéficient du même niveau de privilèges que le navigateur. Il y a donc plus de risques à exécuter un navigateur avec des droits administrateurs. Constat que l’on peut faire de toute façon avec n’importe quelle application.
Les ingénieurs de Google ne semblent pour l’instant guère emballés par l’idée. Selon eux, il faut que l’utilisateur ait le choix. Ils ont donc proposé… qu’une boite de dialogue intervienne. Côté Microsoft, on a répondu que l’expérience avait déjà été tentée et n’avait pas plu.
Un consensus semble actuellement s’établir sur une solution à mi-chemin : abaisser automatiquement les privilèges des téléchargements et de tout exécutable lancé par le navigateur. Une solution logique, presque évidente.
Commentaires (14)
#1
Microsoft qui donne des leçons de sécurité
#2
Et pourquoi ne pas lancer directement Windows dans une VM sous Linux ?
#2.1
Pour utiliser WLS2 et y lancer un docker ?
#3
Sinon il y a une solution plus simple : que le navigateur se contente de faire ce qu’il est censé faire avec les fichiers : les télécharger. Le navigateur n’est là ni pour faire le café, ni pour lancer des programmes.
#3.1
Hum le navigateur est quand même bien pratique pour télécharger des fichiers sur le World Wide Web
Et oui la vision actuelle invite à un navigateur “qui fait le café”, à tord ou à raison ça ne change pas le problème qu’actuellement les navigateurs grand public font beaucoup de chose et qu’il faut gérer ces impacts de sécurité.
#4
bah disons surtout que ca fout en l’air leur UAC, car vu que le navigateur est en mode admin tous ce qu’il lance est d’office en admin, du coup pas d’uac :/.
Perso je préfère la solution de Microsoft interdire le mode admin par défaut (car inutile pour mr tous le monde) et proposé une police d’entreprise (GPO) pour l’autorisé.
#5
J’ai pas compris. Quel intérêt de lancer un navigateur en admin ?
Mais, pour moi ce n’est pas au navigateur de gérer ce genre de choses, ou alors comme indiqué dans l’article, la proposition des ingés de Google, afficher une mise en garde au démarrage quand il le détecte.
Accepter un truc de la part de l’utilisateur, et le faire à moitié, complètement, ou pas du tout en fonction de critères obscurs semble complètement stupide. A la rigueur si c’est très explicitement indiqué à l’utilisateur Mais connaissant Microsoft rien ne sera clair
#6
le navigateur, comme tout autre programme, devrait se lancer par défaut en non-admin.
le lancer en admin devrait être une action explicite de l’utilisateur.
Même Visual Studio se lance en non-admin par défaut (alors que ça pose facilement des soucis de debug)
#7
C’est clairement ça le problème, pour la plupart des applis peut importe l’OS les fichiers qu’elles produisent héritent logiquement des droits de l’utilisateur qui les a généré.
Si celui ci est assez con pour utiliser ses applis (hors taches d’administration système bien sur) en mode admin c’est clairement pas du coté de la machine qu’il y a un problème à corriger.
Ca fait un moment que je ne l’ai pas utilisé mais il me semble que sous Linux KDE refuse purement et simplement de se lancer si on est loggé en root (sauf à aller bidouiller à la main un fichier de config), c’est assez radical mais ça a le mérite d’être efficace pour protéger les inconscients d’eux mêmes.
#7.1
Mode des webapp oblige, le navigateur sert de plus en plus d’hôte aux applications, et en ce sens ressemble de plus en plus à un gestionnaire de bureau. Ce qui est une bonne idée pour KDE est donc aussi une bonne idée pour l’explorateur.
#8
Faut quand même être vicieux pour lancer un navigateur en mode admin ? (désactiver l’UAC, cocher la case lancer en mode admin pour le raccourci).
Si un utilisateur est assez c* pour faire ça c’est pas la peine d’ajouter autre chose qui sera de toute manière contournée !
Si franchement y’a un besoin (honnêtement je ne vois pas), là aussi ça sert à rien d’ajouter un contrôle
#8.1
Si tu utilises ta machine non pas avec un compte standard mais directement avec le compte admin il ne doit pas y avoir besoin de cocher quoi que ce soit. (j’ai pas testé mais j’imagine)
Après effectivement sur les Windows “récents”(depuis Vista ou Seven je sais plus) faut quand même avoir été activer explicitement le compte admin et s’y loguer donc déja à la base c’est une action volontaire de l’utilisateur, partant de là effectivement on peut rajouter tout ce qu’on veux en plus ce sera également désactivé ou contourné de la même façon.
Du coup pour protéger les utilisateurs de leur bêtise l’idéal serait donc effectivement d’interdire le lancement des applis “classiques” en mode administrateur comme c’est le cas de pas mal sous Linux
#9
Non je suis admin sur le windows du boulot : Il faut bien faire exécuter en mode admin à chaque fois que nécessaire : c’est juste que tu peux tapper ton user pour débloquer l’action.
Donc même en mode admin tu as les popups de l’UAC à chaque fois que les droits admins sont réclamés.
Au final c’est un peu le principe de sudo sous linux : ton user est std, mais à chaque fois que nécessaire tu peux débloquer le mode admin.
#9.1
Ah ok, je t’avoue que je n’avais pas trop regardé ça depuis XP où là si tu utilisais ta machine directement avec le compte administrateur c’était open bar sans la moindre sécurité, de même d’ailleurs que si tu accordais les droits admin à ton compte utilisateur. (ce qui est quelquepart aussi le fonctionnement de Linux où si tu es logué en root tu peut tout défoncer sans le moindre garde fou puisque root est censé être toujours conscient de ce qu’il fait, à la différence que sous Linux ça reste très exceptionnel de se loguer avec cet user spécifique alors que sous Windows ça a longtemps été la norme)