Discussion :

[Anthony]

Microsoft annonce que VBScript sera retiré de Windows afin d'améliorer la sécurité, dans une prochaine version du système d'exploitation

Microsoft a annoncé son intention de supprimer la prise en charge de Visual Basic Script (VBScript) dans son système d'exploitation Windows. La société a introduit VBScript, qui s'inspire de Visual Basic, en 1996. Les développeurs web étaient alors la cible initiale de ce langage de script, mais il a rapidement gagné en popularité auprès des administrateurs Windows qui ont utilisé VBScript pour automatiser différentes tâches sur Windows. Les développeurs de logiciels malveillants ont alors commencé à utiliser le langage de script dans leurs attaques, par exemple pour infecter les systèmes avec le tristement célèbre ver "I Love You".

Microsoft a intégré VBScript dans Internet Explorer (IE), son premier grand navigateur web, mais celui-ci n'étant plus pris en charge dans la plupart des versions de Windows, Microsoft a décidé de désactiver VBScript dans IE depuis quelque temps déjà. VBScript a même été mis de côté dans le framework .NET de Microsoft et n'a été pris en charge que par des corrections de bogues et de sécurité pendant une longue période.

L'annonce des fonctionnalités dépréciées de Windows publiée sur le site web de Microsoft fournit les informations suivantes : "VBScript est obsolète. Dans les prochaines versions de Windows, VBScript sera disponible en tant que fonctionnalité à la demande avant d'être retiré du système d'exploitation."

Microsoft n'a pas indiqué de calendrier précis pour l'instant, mais VBScript deviendra une fonctionnalité optionnelle de Windows dans les "prochaines versions" et continuera d'être activé par défaut au début. Microsoft finira par faire de VBScript un composant optionnel qui ne sera plus activé par défaut avant de supprimer entièrement la fonctionnalité de Windows.

Les administrateurs de Windows pourront dresser la liste des fonctionnalités optionnelles dans l'application Paramètres. Pour y accéder, il suffit d'ouvrir le menu Démarrer, de taper fonctionnalités optionnelles et de sélectionner l'élément "Gérer les fonctionnalités optionnelles". Windows dressera alors la liste de toutes les fonctionnalités optionnelles installées sur la page. Le bouton "Ajouter une fonctionnalité" affiche quant à lui toutes les fonctionnalités disponibles qui ne sont pas encore installées.

Désactiver VBScript permettra d'éliminer le vecteur d'attaque

Microsoft n'a donné aucune raison officielle pour désactiver VBScript, mais il est clair que la dépréciation de VBScript améliorera la sécurité, car les attaquants ne pourront plus utiliser les scripts .vbs dans leurs attaques. Bien qu'il existe d'autres alternatives, il est toujours préférable d'éliminer un vecteur d'attaque que de ne rien faire du tout.

Bleeping Computer, qui a découvert l'information, pense également que Microsoft a fait cela principalement pour améliorer la sécurité. En effet, VBScript est toujours utilisé dans les attaques de malwares jusqu'à aujourd'hui.

Une fois que VBScript est ajouté aux fonctions optionnelles, les utilisateurs de Windows auront la possibilité de désactiver la fonction dans l'application Paramètres. Une option permettant de désactiver le Windows Scripting Host pour bloquer les logiciels malveillants .vbs est également déjà disponible.

Source : Microsoft

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi

L'auteur de la pandémie de virus informatique « I Love You » de l'année 2000 reconnaît enfin sa culpabilité, 20 ans après l'infection de millions de machines à travers le monde par son logiciel

Microsoft Edge : ActiveX et VBScript abandonnés, et pas non plus de support d'extensions HTML et JavaScript pour sa première sortie

[chrtophe]

Vu qu'il y a PowerShell, c'est cohérent.

[GLDavid]

Une très bonne chose !
Vous pouvez pas vous imaginer le code existant qu'on se traîne en VBS et qui date de vieux "parce que ça marche".
Mouais, du code fait à la va-vite pour répondre à une question, qui est ensuite réutilisé ailleurs et on se pose la question maintenant de la maintenance et de l'évolution.

@++

[vanquish]

Vu qu'il y a PowerShell, c'est cohérent.

Oui. Maintenir les 2 langages de script n'a pas de sens sur le long terme.

Mais concernant la sécurité - et c'est une vrai question - , un .ps vaut-il vraiment mieux qu'un .vbs ?
Un script cela reste un script. Non ?

[chrtophe]

Mais concernant la sécurité - et c'est une vrai question - , un .ps vaut-il vraiment mieux qu'un .vbs ?

Question pertinente. Je répondrais oui car vbs est obsolète. Pour la sécurité pas de .ps sera encore mieux mais avec du coup l'impossibilité de scripter. Il reste cmd qui va moins profond dans le système.