Après de nombreuses bêtas et rumeurs sur la date de disponibilité du Service Pack 2 pour Windows XP, la version finale du Service Pack 2 est disponible depuis début août 2004. Nous avons déjà examiné la version finale et présentons les nouveautés.
Table des matières
Historique
Jusqu’à présent, Microsoft s’est contenté de corriger les failles de sécurité et les erreurs système connues (ou inconnues) dans ses Service Packs. Suite à de nombreux incidents survenus l’année dernière et cette année, Windows XP a toutefois la réputation d’être un système d’exploitation peu sûr. Microsoft avait donc annoncé que le prochain Service Pack comporterait de nombreuses fonctions destinées à rendre le système d’exploitation beaucoup plus sûr. Le Service Pack 2 de Windows XP est donc plutôt une 2e édition de Windows XP.
Les modifications fondamentales – outre de nombreux patchs et corrections, plus de 870 selon Microsoft – concernent d’une part le pare-feu, Internet Explorer et la fonction de mise à jour, et d’autre part la fonction « NX », qui doit protéger contre les Buffer Overflows. Pour Windows XP Media-Center Edition 2002, il y a une nouvelle interface utilisateur ainsi que des améliorations dans la lecture des CD de musique. Le Service Pack 2 apporte également des améliorations aux utilisateurs de tablettes PC, comme la reconnaissance de caractères individuels ou la proposition de mots alternatifs lors de la reconnaissance de l’écriture. Faute de matériel, nous n’avons pas pu tester ces fonctionnalités.
Installation
Le téléchargement complet du Service Pack 2 s’élève à 265 MB.
La durée d’installation est de 15 à 30 minutes, selon le système. Pour ceux qui ont utilisé un « numéro de série détourné », l’astuce « Remplacer un mauvais numéro de série » permet de saisir un numéro valide. Sinon, le SP2 risque de refuser l’installation.
Bien entendu, il y a à nouveau des boutons de commande pour le fichier EXE, qui peuvent également être affichés avec Nom du fichier.exe / ?
 |
|
Paramètres de configuration |
Les plus importants sont
- /Uninstall
Supprime la mise à jour ou le Service Pack - / ? ou /Help
Affiche le texte d’aide - /D:Nom du dossier
Sauvegarde les fichiers d’installation du Service Pack dans le dossier spécifié. - /N
Les fichiers nécessaires à la suppression du Service Pack ou du hotfix ne sont pas sauvegardés. Il n’y a pas de bouton de suppression sous l’option Ajout/Suppression de programmes du Panneau de configuration – le Service Pack ou le Hotfix ne peuvent donc pas être désinstallés. - /Quiet
Utilise le mode silencieux – qui correspond au mode sans surveillance (mais l’interface utilisateur n’est pas affichée). Aucune information n’est affichée pendant l’installation - /integrate nom de dossier
Combine les fichiers Service Pack avec les fichiers d’installation originaux d’un CD Windows XP sur le disque dur (installation dite « slipstream » ; voir à ce sujet l’article séparé sur WinTotal).
L’installation offre une fonction « undo » qui permet de désinstaller le Service Pack en cas de problème.
 |
|
Fonction Undo |
Après l’installation, la commande winver affiche le numéro de version suivant du système d’exploitation :
 |
|
winver |
Je suppose que cela sera encore adapté dans la version « client final ».
Centre de sécurité
Après la première connexion, le centre de sécurité s’affiche directement si un problème a été détecté. Le centre de sécurité, qui est également accessible via le « Panneau de configuration », regroupe toutes les informations relatives à la sécurité : Protection antivirus, pare-feu et mises à jour automatiques. Celles-ci sont surveillées ici (par ex. si l’antivirus est en cours d’exécution ou s’il a été désactivé) et peuvent également être configurées via des raccourcis.
 |
|
Centre de sécurité |
En outre, une icône rouge dans la barre d’état système rappelle que le PC n’est pas sécurisé de manière optimale.
Problèmes mineurs avec les antivirus
Dans notre cas, il manque un scanner de virus sur le système de test. Mais même si un scanner de virus est présent, le centre de sécurité ne le remarque pas forcément. Il reste à voir si tous les scanners de virus sont déjà« Service Pack 2 ready » et s’ils se connectent correctement au système via une API spécialement mise à disposition. Il est donc possible d’indiquer au Centre de sécurité que l’on dispose d’un antivirus et de ne pas devoir en acheter un nouveau, comme le recommande le Centre de sécurité (case à cocher ci-dessous).
 |
|
Désactiver le contrôle du scanner de virus |
Le Centre de sécurité indique alors qu’il ne surveille pas cette fonction.
 |
|
Contrôle du scanner de virus désactivé |
Mises à jour automatiques
Les paramètres de mise à jour automatique de Windows, auparavant ancrés dans le « Panneau de configuration » sous « Système », ont désormais leur propre icône dans le « Panneau de configuration » et peuvent être configurés à partir de là.
 |
|
Mises à jour automatiques |
La nouveauté ici est le réglage par défaut pour installer automatiquement les mises à jour téléchargées. Dans le passé, de nombreux utilisateurs avaient certes laissé les mises à jour se télécharger automatiquement, mais ne les avaient pas installées via l’icône de la barre d’état système. Avec le Service Pack 2, cela devrait désormais se faire automatiquement.
Pare-feu Windows
La nouveauté la plus frappante est le pare-feu amélioré (également appelé pare-feu de connexion Internet – ICF) dans Windows XP. Dans sa version originale, Windows XP disposait déjà d’un pare-feu qui pouvait être activé et configuré dans les propriétés de chaque connexion. Malheureusement, peu d’utilisateurs en ont fait usage. La raison en est probablement une mauvaise utilisation ainsi qu’une possibilité d’activation cachée.
Avec le Service Pack 2, cela change. Le pare-feu aura tout d’abord sa propre icône dans le panneau de configuration et sera ainsi plus facilement accessible.
 |
|
Pare-feu Windows |
Dans cette boîte de dialogue, il est possible de personnaliser le pare-feu. Si l’ordinateur se trouve dans un domaine, les paramètres peuvent également être définis par des stratégies de groupe (voir liens supplémentaires).
Ce qui n’est pas immédiatement visible, c’est le fait que le pare-feu utilise des paramètres de filtrage différents pour le fonctionnement avec et sans domaine. Ainsi, il est possible de laisser l’ordinateur relativement ouvert au sein du domaine (par ex. avec un pare-feu matériel) et de mieux le sécuriser en cas d’utilisation autonome (par ex. via WLAN depuis des hotspots publics).
Protection principalement de l’extérieur
Le pare-feu protège Windows de tous les accès extérieurs. Les paquets qui n’ont pas été demandés sont rejetés par le système. Si l’on souhaite faire des exceptions, on peut les définir dans le deuxième onglet.
 |
|
Pare-feu Windows |
L’exception peut être un port ou un programme qui souhaite ouvrir des ports pour des services de serveur. Par défaut, même le partage de fichiers et d’imprimantes est désactivé, c’est-à-dire que les partages sur le réseau local ne sont initialement accessibles à personne.
Si l’on définit par exemple le partage de fichiers et d’imprimantes comme exception, on peut en outre indiquer la zone à laquelle l’exception s’applique. Normalement, les partages de fichiers et d’imprimantes ne devraient être valables que pour un sous-réseau local et non pour l’ensemble de l’Internet.
 |
|
Pare-feu Windows |
Il est également possible de partager des programmes qui ont alors un accès complet au pare-feu et qui déterminent ainsi eux-mêmes quels ports doivent être ouverts. Une API spécifique est utilisée à cet effet dans Windows. Il n’est pas possible de spécifier le port d’un programme.
Si une application veut ouvrir un port sans que celui-ci ou l’application n’ait été libéré, une demande de confirmation du système apparaît et on peut autoriser l’exception.
 |
|
Pare-feu Windows |
Si l’on refuse, le programme apparaît tout de même dans la liste des exceptions, mais sans être coché.
 |
|
Pare-feu Windows |
Si l’on regarde dans l’onglet sous « Avancé« , on remarquera peut-être que le pare-feu s’applique désormais en principe à tous les types de connexion :
 |
|
Pare-feu Windows |
Il est possible de définir ici des exceptions pour chaque type de connexion. Le grand avantage de cette méthode est que les connexions d’accès à distance, par exemple, sont toujours protégées. Auparavant, il fallait activer la protection séparément pour chaque connexion.
Pas de fonctions comme ZoneAlarm et Co.
Contrairement à d’autres suppositions, le pare-feu Windows n’est pas un pare-feu d’application comme ZoneAlarm, car seuls les programmes qui souhaitent ouvrir des services de serveur sont bloqués. Le pare-feu ne protège donc pas contre les programmes qui s’installent sur le système et envoient leurs données via des ports courants (pour la messagerie, le navigateur web, etc.). Si l’on veut savoir quelles applications souhaitent entrer en contact avec Internet, il faut donc continuer à dépendre d’un « vrai » pare-feu d’application.
De plus, les programmes autorisés ne sont pas dotés d’une clé de somme de contrôle dans les exceptions. Un cheval de Troie ingénieux pourrait ainsi simplement faire muter une application existante (à condition d’avoir les droits d’administrateur). Si celle-ci était déjà « autorisée », la version modifiée continuerait à fonctionner sans qu’aucune question ne soit posée.
Installation du réseau sans fil
Ce qui semble particulièrement nouveau ne l’est guère : l’assistant derrière l’icône demande tous les paramètres nécessaires à l’accès au réseau sans fil.
 |
|
Installation du réseau sans fil |
Il est ensuite possible de sauvegarder la configuration sur un lecteur amovible afin de pouvoir transmettre les informations à d’autres PC. Cette fonction est particulièrement utile pour les mots de passe, qui constituent une source d’erreur fréquente pour les réseaux WLAN qui ne fonctionnent pas.
 |
|
Installation du réseau sans fil |
Nouveautés d’Internet Explorer
L’enfant terrible de Microsoft – de nouvelles failles de sécurité sont révélées presque chaque semaine – devrait également bénéficier de plus de « sécurité ». Même si le problème de conception « étroitement lié au système d’exploitation » n’a pas été supprimé, Microsoft a tout de même apporté des améliorations à certains endroits.
Bloqueur de fenêtres pop-up
Rien n’est plus énervant que les PopUps sur Internet. Même si ces nuisances peuvent être utilisées à bon escient, les webmasters en demandent trop à leurs visiteurs et les énervent avec des popups publicitaires. Les bloqueurs de fenêtres pop-up font donc depuis longtemps partie de l’équipement standard des navigateurs concurrents. Microsoft a également réagi et propose avec le SP2 des fonctions correspondantes pour Internet Explorer. Le bloqueur de fenêtres publicitaires intempestives est caché dans les « Options Internet » sous « Confidentialité ».
 |
|
Bloqueur de fenêtres publicitaires intempestives |
Derrière le bouton « Paramètres », on définit le comportement ultérieur du bloqueur ainsi que les exceptions.
 |
|
Bloqueur de pop-up |
Lors du premier PopUp, une indication sur des informations supplémentaires apparaît dans la barre d’état du navigateur.
 |
|
Bloqueur de pop-up |
On y trouve également une icône indiquant que le bloqueur de fenêtres publicitaires intempestives a été activé.
Le menu contextuel de l’icône permet de définir la marche à suivre :
Si l’on souhaite autoriser des PopUps sur des pages Web spécifiques, il n’est pas nécessaire de saisir manuellement les pages, mais on peut le faire via le menu contextuel.
Comme WinTotal doit ouvrir sa propre fenêtre PopUp avec le lien de téléchargement pour les téléchargements, le domaine WinTotal.de devrait donc figurer dans la liste des « exceptions ».
Gérer les modules complémentaires
Sous Options Internet -> Programmes -> Gérer les modules complémentaires, on trouve une nouvelle fonction qui affiche les Browser Helper Objects, les Browser Plugins et les ActiveX-Controls installés.
C’est ici que se nichent des programmes comme la barre d’outils Google, Acrobat PDF ou les extensions de Macromedia, mais aussi des méchants qui détournent les appels de pages ou espionnent les données. Le nouveau bouton permet d’avoir un aperçu de toutes les extensions et de les activer ou de les désactiver de manière sélective. Jusqu’à présent, il fallait ici laisser IE se débrouiller avec d’autres produits. En outre, il n’est pas rare que des modules complémentaires de fournisseurs tiers soient responsables de plantages d’Internet Explorer. En désactivant tous les modules complémentaires et en les réactivant ensuite jusqu’à ce que l’erreur se produise, il est plus facile de trouver le coupable. En complément, Internet Explorer lui-même peut aider. En cas de plantage, un programme d’analyse des erreurs vérifie si un module complémentaire est responsable dans certaines circonstances et désigne le coupable. Il est alors possible de le désactiver à titre de test via la gestion des modules complémentaires.
 |
|
Gérer les modules complémentaires |
Plus de téléchargements automatiques
Lorsque l’on clique sur un téléchargement, de nombreux sites web redirigent d’abord vers un serveur miroir et le lancent ensuite. Cela ne fonctionne plus avec Internet Explorer sous le Service Pack 2. À la place, une fenêtre d’information apparaît en haut de l’écran du navigateur.
 |
|
Téléchargements |
Pour pouvoir tout de même démarrer le téléchargement, il faut cliquer dans la zone de remarque et cliquer spécialement sur« Télécharger le fichier« . L’astuce dans les archives des astuces WinTotal décrit comment réactiver le téléchargement.
Comme WinTotal transmet également les téléchargements au navigateur par redirection, il faudra à l’avenir déclencher le téléchargement de cette manière.
Ce qui vaut pour les téléchargements, Microsoft l’a également mis en œuvre de la même manière pour les contrôles ActiveX.
 |
|
Pas de téléchargements automatiques d’ActiveX |
Si une page veut installer un contrôle ActiveX (p. ex. mise à jour d’Office), un message jaune apparaît en haut du navigateur pour indiquer si le contrôle doit être installé ou non après confirmation.
Téléchargements à partir du réseau
La boîte de dialogue de téléchargement elle-même a également été remaniée :
 |
|
Téléchargements |
Si l’on enregistre le fichier sur un support de données NTFS et que l’on démarre ensuite le fichier téléchargé, un message d’avertissement apparaît depuis peu :
 |
|
Téléchargements |
La boîte de dialogue apparaît également si le fichier a été décompacté au préalable avec le logiciel de décompactage de Windows. En revanche, si l’on utilise des produits tiers, le drapeau« Depuis Internet » est perdu.
Mise à jour Windows V5
En même temps que le SP2, le nouveau système utilise également la version 5 de la page web Windows-Update de Microsoft. La nouveauté la plus frappante est ici le fait que l’on peut choisir entre« Installation rapide » et« Installation personnalisée« .
 |
|
Mise à jour de Windows V5 |
Dans le premier mode« Installation rapide« , seules les mises à jour de sécurité importantes pour le système concerné sont installées.
En revanche, le mode« personnalisé » propose également d’autres fichiers d’installation et pilotes qui n’ont pas été classés comme importants.
Courriers électroniques sécurisés avec Outlook Express
Outlook Express a largement contribué à la propagation des vers de messagerie, car les fonctions de protection correspondantes faisaient défaut. Microsoft les a désormais fournies. Deux nouvelles options ont été ajoutées à l’onglet « Sécurité » sous « Options » :
La fonction« Afficher un avertissement si d’autres applications tentent d’envoyer un e-mail sous mon nom » doit protéger contre les virus de messagerie qui utilisent Outlook Express comme bombe à courrier via un script.
La fonction« Bloquer les images et autres contenus externes dans les e-mails HTML » offre ce que d’autres clients de messagerie peuvent déjà faire depuis longtemps. Les images et autres objets dans les e-mails HTML ne sont désormais plus chargés lorsque cette option est activée.
 |
|
Outlook Express |
Lorsque l’on tente de lancer des fichiers reçus par mail, un message d’avertissement apparaît désormais également pour l’utilisateur.
Gestion optimisée de la mémoire
La nouvelle protection de la mémoire de Windows XP avec SP2 s’appelle « Data Execution Prevention (DEP) ». Microsoft veut ainsi empêcher l’exécution de codes de programmes introduits par Buffer Overflow. En revanche, la nouvelle fonction ne peut pas supprimer le Buffer Overflow proprement dit.
L’article Buffer Overflows et autres points de rupture de Heise.de décrit très bien le problème des Buffer Overflows.
Microsoft a recompilé son propre code de programme avec des modifications afin d’empêcher les débordements de mémoire tampon des programmes 32 bits. Sous le lien (anglais), Microsoft a expliqué plus en détail la nouvelle gestion de la mémoire.
Sous Windows XP dans le Service Pack 2, le tout est appelé prévention de l’exécution des données. Si le système est équipé d’une unité centrale qui offre de tels systèmes de protection au niveau matériel (par ex. Athlon 64 avec la fonction NX), cela est également activé. Sinon, Windows XP avec SP2 émule cette fonction.
La fonction de protection est accessible via le Panneau de configuration -> Système -> Avancé -> Performances système -> Paramètres sous l’onglet « Prévention de l’exécution des données ».
Par défaut, la prévention de l’exécution des données n’est activée que pour les programmes et services importants du système d’exploitation Windows. Toutefois, la protection peut être étendue à tous les programmes, avec des exceptions possibles : Tous les programmes ne doivent pas nécessairement fonctionner sans erreur. Si une application pose problème après le SP2, cela pourrait donc être dû à la nouvelle fonction. Dans ce cas, il convient d’ajouter l’application à la liste des exceptions.
 |
|
Protection de la mémoire |
Il est également possible de travailler avec l’Application Compatibility Toolkit et de définir ici« DisableNX » pour l’application concernée – > Details » href= »http://www.microsoft.com/en-us/download/details.aspx?id=7352″ target= »_blank » rel= »noopener »>Détails des téléchargements Microsoft. Ceux-ci sont ensuite enregistrés dans le registre sous HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionAppCompatFlags, à condition que la nouvelle base de données créée ait été sauvegardée et inscrite dans le registre avec« Install« .
 |
|
Protection de la mémoire |
Les pilotes qui peuvent être perturbés par le mode PAE (Physical Address Extension) sont bien plus problématiques que les programmes individuels. En règle générale, il ne devrait pas y avoir de problèmes si les fabricants de pilotes ont respecté les spécifications. Mais le passé montre que de nombreux pilotes sont encore mal programmés et peuvent dérégler un système, même si la situation s’est nettement améliorée depuis Windows XP.
Il est possible de désactiver complètement la nouvelle protection de la mémoire via le boot.ini(Panneau de configuration -> Système -> Avancé -> Démarrer et restaurer -> Modifier) si l’entrée« /NoExecute » est réglée sur« /Execute« . Avec le commutateur /Execute, la protection contre l’exécution est désactivée pour l’ensemble du système.
Plus de nouveautés
Outre de nombreuses corrections de bugs (voir liens complémentaires), il y a encore des petites choses à observer en marge (sans prétendre à l’exhaustivité, voir à ce sujet les liens complémentaires ci-dessous).
- Le service de messages et le service d’alerte seront désactivés. Par le passé, ces derniers ont toujours inquiété et irrité les utilisateurs en ouvrant des fenêtres contenant des textes provenant d’Internet.
- Avec le Service Pack 2, Windows XP prend lui-même en charge le Bluetooth et n’est donc plus tributaire des suites étrangères des fabricants pour les fonctions de base.
- Le nombre de connexions TCP/IP simultanées que le client XP établit vers l’extérieur a été limité de manière fixe à 10 avec le SP2 (voir aussi Heise Security). Jusqu’à présent, cette valeur était fixée dans le registre, mais elle est désormais bien ancrée dans le fichier TCPIP.SYS. Si l’on dépasse cette valeur, on obtient le message d’erreur suivant dans le protocole d’erreurs : EventID 4226 : TCP/IP a atteint la limite de sécurité fixée pour le nombre de tentatives de connexion TCP simultanées. Les utilisateurs de bourses d’échange se sont plaints dès le début et ont une solution de patch qui ne provient toutefois pas de Microsoft lui-même – mais de milieux plutôt inconnus. Un patch devrait être disponible sur http://www.lvllord.de/ – également pour la version finale du Service Pack 2-, qui permettrait de lever les restrictions.
- Quelques modifications ont été apportées au service RPC pour Windows XP SP2 afin de sécuriser les interfaces RPC par défaut et de réduire la surface d’attaque de Windows XP.
- Windows Media Player 9 sera installé dans le cadre de Windows XP SP2. Microsoft justifie cette mesure par les problèmes de sécurité connus des anciennes éditions de Media Player.
- Windows Movie Maker sera installé dans sa version 2.1.
- DirectX est installé dans la version 9.0c.
- Le nouveau Windows Installer 3.0 doit mieux reconnaître les dépendances des patchs entre eux et simplifier la gestion des patchs en général.
Conclusion
Microsoft a intégré beaucoup de choses dans le Service Pack 2 et continuera néanmoins à essuyer des critiques.
Le pare-feu offre une bonne protection de base, mais l’absence de sommes de contrôle et le fait que presque tous les utilisateurs soient connectés en tant qu’administrateurs le rendent inutilement facile à contourner pour les pirates avertis. De plus, un véritable pare-feu applicatif pour toutes les connexions à Internet fait cruellement défaut.
Les extensions d’Internet Explorer sont certes sympathiques, mais elles sont depuis longtemps la norme pour les autres navigateurs. Microsoft a au moins verrouillé la porte à la vie autonome d’Internet Explorer. Sans action du surfeur, plus rien ne fonctionne désormais, même pas un téléchargement.
Reste à savoir si la gestion optimisée de la mémoire sous sa forme actuelle protège vraiment durablement contre les problèmes de sécurité dus aux Buffer Overflows. Il est bien plus urgent de se demander si les pilotes et les applications d’autres fabricants s’accommodent ainsi des nouvelles données de la gestion de la mémoire.
Liens complémentaires
- Le lien en anglais 835935 contient toutes les notes de mise à jour du Service Pack 2 en anglais.
- Le SP2 peut être téléchargé dans l’archive des logiciels.
- Les outils de support Windows XP Service Pack pour le Service Pack 2 peuvent être téléchargés ici.
- Microsoft a regroupé toutes les corrections contenues dans le Service Pack 2 sous l’ID 811113. Comme tous les Service Packs sont cumulatifs, le Service Pack 2 contient également toutes les corrections qui étaient déjà proposées avec le Service Pack 1a.
- Le centre de support du Service Pack 2 se trouve à l’adresse https://support.microsoft.com/en-us/help/14223/windows-xp-end-of-support et contient de plus amples informations. Le support pour Windows XP a expiré le 8 avril 2014.
- Microsoft a regroupé toutes les erreurs qui ont été corrigées avec le Service Pack 2 sous l’ID 811113.
- Sous l’ID 842242, on trouve une liste des programmes qui posent problème à cause du pare-feu après l’installation du Service Pack 2 et comment y remédier.
- Un outil de blocage du SP2, qui empêche la livraison du Service Pack 2 via WindowsUpdate jusqu’en décembre 2004,
peut être téléchargé ici(n’est plus disponible). Cet outil est surtout intéressant si l’on souhaite maintenir Windows-Update actif et automatique, mais que l’on ne veut ou ne peut pas encore passer au SP2.