Depuis les attaques de Blaster et de Sasser, beaucoup se sont laissés séduire par l'installation automatique des correctifs de sécurité. Grave erreur. Car laisser le Service Pack 2 de XP s'installer tout seul peut coûter très cher en assistance aux utilisateurs.

Les retours de vacances se suivent et, malheureusement, se ressemblent. Les directions informatiques sont à peine rentrées qu'il faut déjà régler des problèmes de sécurité de Windows. L'an dernier, c'étaient la canicule et le ver Blaster. Cette année, ce sont les orages et le Service Pack 2 de Windows XP. La plus ambitieuse mise à jour depuis le lancement du système est, en effet, diffusée depuis le début du mois d'août. Elle représente, de l'avis des experts, une avancée notable en matière de sécurité. Flatté, Microsoft recommande donc de l'installer au plus vite.

Seulement voilà. Le Service Pack 2 n'est pas qu'une banale compilation de correctifs. Il inclut des mécanismes antipiratage, antivers, antipub, et un nouveau pare-feu qui ferme toutes les portes par défaut. Il en résulte une meilleure sécurité, mais aussi pas mal de dommages collatéraux. Microsoft a ainsi recensé plus de deux cents programmes du commerce « dont le comportement est légèrement affecté ». Une trentaine plantent ou se bloquent à l'installation. Et, pour fonctionner, une cinquantaine nécessitent une bidouille manuelle ou une mise à jour. Tout cela sans compter les développements maison, qui risquent de soulever tout autant de difficultés, vu l'intransigeance du pare-feu.

Pas étonnant, donc, qu'aucun DSI ne se précipite. « Ce Service Pack est un peu comme un Windows XP 2.0. L'installer n'a rien d'anodin, insiste Michel Antoine, des Ciments La Grange. J'ai fait mon petit calcul : nous devons requalifier près de quarante applications et trois configurations. Cela va nous mobiliser pendant plusieurs semaines. Il n'est pas question d'installer quoi que ce soit entre-temps. » Les Ciments La Grange ne sont pas seuls. La majorité des directions informatiques préfère attendre et tester sagement avant de déployer en nombre.

Aux Etats-Unis, une étude Web d'InsightExpress révèle que 63 % des DSI américains considèrent la mise à jour comme la plus complexe jamais réalisée, et 66 % s'attendent d'ailleurs à une recrudescence des appels à l'assistance. Quelques jours après le lancement du correctif, la DSI d'IBM avait déjà relevé des incompatibilités avec les logiciels utilisés sur ses stations de travail. Les employés sont donc invités à ne surtout pas installer le Service Pack avant d'en avoir reçu une version personnalisée.

Personne ne s'oppose à davantage de sécurité. excepté quand elle vient perturber les processus internes. Or, certains nouveaux partis pris sécuritaires, en apparence banals, peuvent finir par bloquer des applications critiques. Un exemple : la nouvelle version d'Internet Explorer, qui active par défaut un filtre antifenêtres publicitaires (pop up). Certains intranets ou extranets utilisent ce principe de fenêtre jaillissante pour demander l'identification ou présenter le résultat d'une requête. Avec le Service Pack 2, ces fenêtres sont considérées comme des publicités et automatiquement masquées. L'utilisateur peut, bien entendu, les débloquer au coup par coup. Mais si l'entreprise veut éviter d'engorger son service d'assistance, elle devra préalablement paramétrer ses machines.

Sur les forums, les réactions oscillent entre défiance et volonté d'y croire. « Ce n'est pas croyable. SMS 2003 ne fonctionne pas avec le Service Pack 2. C'est pourtant un produit Microsoft. Et, de surcroît, recommandé pour déployer les correctifs », s'étonne Norbert, avant de se réjouir d'être resté sous Windows 2000. Pour Dieng, administrateur réseaux en région parisienne, « Windows a toujours été une passoire et un nid à bogues. Ce n'est qu'en comptant le nombre de correctifs du correctif qui seront livrés ces prochaines semaines que l'on saura s'il est vraiment sécurisé. »

De fait, plusieurs utilisateurs, estiment leurs premiers tests suffisamment encourageants pour envisager une migration. « Il faut poursuivre les tests, reconnaît Paul, responsable micro à Paris. Mais si la tendance se confirme, je pense qu'il sera enfin temps de basculer nos postes Windows 2000. »

Si un consensus se dessine sur l'importance des tests et les précautions de déploiement, beaucoup s'inquiètent, en revanche, des mises à jour automatiques sauvages. C'est le cas de Laurent Chevalier, responsable informatique du groupe Villa Beausoleil à Montrouge. L'entreprise avait basculé sous Windows XP l'an dernier, après la livraison du premier Service Pack. L'expérience fâcheuse du ver Blaster et le manque de temps l'ont conduit à opter pour une mise à jour automatique des postes sous XP. Aujourd'hui, il le regrette. Car les premiers tests sur le Service Pack 2 ont révélé des petits problèmes avec l'extranet. « Comme les tests et la qualification ne sont pas terminés, ma plus grande crainte est de voir le Service Pack s'installer tout seul sur le portable d'un collaborateur, dès qu'il se connecte à Internet. Ce serait terrible, car il ne pourrait plus se connecter à distance. »

Néanmoins, Microsoft a écouté les utilisateurs. Il a commencé par tambouriner que le Service Pack serait prêt dès le 6 août. Pour forcer un déploiement rapide, il a même annoncé que la mise à jour automatique serait disponible quelques jours plus tard. Mais, très vite, les professionnels de la sécurité et les grands comptes se sont alarmés de la diffusion automatique et sauvage d'une actualisation de cette ampleur. La nouvelle approche de sécurité du Service Pack nécessite, en effet, un paramétrage centralisé. Or, tout devient incontrôlable si les postes se mettent à jour seuls.

Alors, pour laisser aux directions informatiques le temps d'effectuer leurs tests, Microsoft a revu son calendrier de diffusion : au départ, la mise à jour automatique devait être opérationnelle le 16 août pour les versions anglaises et allemandes. Et repoussée au 25 août pour laisser plus de temps aux tests. La version française du correctif sera, elle, proposée sur Windows Update le 2 septembre, la mise à jour automatique n'arrivant que le 21 septembre - elle est disponible en téléchargement depuis le 16 août. Pour éviter les actualisations sauvages, Microsoft est même allé jusqu'à mettre au point, en catastrophe, un utilitaire qui désactive la mise à jour automatique du Service Pack pendant cent vingt jours. Tous les autres correctifs critiques sont téléchargeables, mais pas le Service Pack. « C'est rassurant, confie Laurent Chevalier. Mais cent vingt jours, ce ne sera peut-être pas assez. La rentrée repart très fort. Et on ne peut pas mettre toutes les équipes sur le Service Pack. »

Certains ont beau faire la fine bouche, le Service Pack 2 reste une étape importante pour les utilisateurs de systèmes Microsoft. Il pourrait convaincre les utilisateurs de Windows 2000 de basculer sur XP. Par défaut, le système devient moins perméable aux attaques. Il prépare mieux l'avenir et introduit un nouveau degré de sécurité. Et vu les ravages qu'ont fait Sasser, MyDoom et consorts, ce Service Pack apparaît plutôt comme un mal nécessaire.