Si vous utilisez Windows dans un environnement de travail et que votre poste de travail est connecté au réseau de l’entreprise, vous avez probablement à enfoncer les touches Ctrl, Alt et Del simultanément pour pouvoir entrer votre mot de passe. Vous vous demandez peut-être pourquoi est-ce que Windows vous oblige à cette gymnastique digitale? Eh bien, croyez-le ou pas, cette combinaison de touches est une question de sécurité.

Un peu d’histoire. Sous les systèmes UNIX (mais aussi sur plusieurs autres types d’ordinateurs avec terminaux, comme le VAC) on est invité à entrer son nom d’usager et son mot de passe au clavier afin d’avoir accès au système. Ces systèmes coûtent cher, alors on ne veut pas que n’importe qui gaspille des précieux cycles de processeurs. Le système vous présente une invite du genre : « Username : » et, une fois votre nom d’usager entré, et la touche « Retour » appuyée, « Password : ». Le problème inhérent à cette technique, c’est qu’il est très simple de concevoir un programme qui fait exactement la même chose, et trompe ainsi les usagers, retenant en mémoire tous les mots de passe qu’ils entreront et les transmettant à l’auteur du logiciel. La personne derrière tout ça accumule des mots de passe qu’elle peut par la suite utiliser pour s’infiltrer dans le compte de ses victimes. La technique a des failles, mais a toutefois été utilisée à maintes reprise dans la vraie vie, à l’époque où les systèmes de ce genre étaient populaires dans les collèges et universités. (Et ils le sont encore à bien des endroits; ne vous méprenez pas.)

Mais revenons en 2010. Même si la technologie a évoluée, les ordinateurs contemporains vous demandent eux-aussi de vous identifier à l’aude d’un nom d’usager et d’un mot de passe. Rien n’empêcherait un programme malveillant de vous présenter une fausse fenêtre de connexion de Windows, en tout point identique à l’originale, avec le même objectif que l’autre programme de 1980 énoncé plus tôt. L’interface de programmation de Windows fait en sorte que s’il n’existait pas une combinaison de touches réservées, il serait possible de programmer un logiciel malveillant complètement indétectable, visuellement, à la fenêtre d’identification originale de Windows. C’est là que la combinaison Ctrl-Alt-Del entre en jeu.

Cette combinaison de touches est détectable, oui, mais impossible à « capturer, » c’est-à-dire, impossible à cacher à Windows et aux autres programmes actifs. (Oui, il est possible pour un logiciel de capturer n’importe quelles autres touches ou combinaisons de touches, et ainsi les rendre indétectablse au reste du système.) Puisque Ctrl-Alt-Del est impossible à cacher à Windows, on peut être sûr que la fenêtre affichée par votre poste de travail est bel et bien la fenêtre de connexion originale de Windows, et non celle qu’un logiciel malveillant tentant de vous soutirer votre nom d’usager et votre mot de passe.

Cette fonction de Windows a plusieurs années (depuis Windows NT 4, si je ne m’abuse) mais demeure encore, de nos jours, une façon de s’assurer qu’on est bel et bien en présence de la fenêtre d’identification de Windows, et non d’un logiciel malveillant. C’est pour ça que, même si mon poste de travail me présente désormais un bouton « Se connecter à Windows » et même une petite icône avec mon image de profil, je continue d’utiliser les touches Ctrl-Alt-Del.

Filed under:
Informatique by Alexandre Lemieux