Windows 3.1, sorti le 18 mars 1992 et connu en interne sous le nom de code « Janus », a marqué un moment crucial dans l'évolution des systèmes d'exploitation Microsoft et dans l'affirmation du modèle d'ordinateur personnel qui allait dominer toute la décennie suivante. Cette version introduit des graphismes améliorés et une prise en charge des polices plus efficace TrueType et diverses optimisations qui ont rendu l'environnement Windows plus stable et utilisable que son prédécesseur, Windows 3.0. De plus, tout en restant essentiellement une interface au-dessus de MS-DOS, Windows 3.1 offrait un premier aperçu d'un réseau plus avancé, jetant les bases de la future diffusion des services réseau et, par conséquent, des problèmes de sécurité qui allaient émerger dans les années à venir.
À l’époque où Windows 3.1 commençait tout juste à se généraliser, la sécurité informatique était encore un concept largement inexploré pour la plupart des entreprises et des utilisateurs quotidiens. L’accès à Internet n’était pas répandu, la connectivité était souvent limitée aux réseaux locaux (LAN) ou à des connexions à distance très basiques, et de nombreuses cyberattaques se propageaient encore via des disquettes infectées. Parmi les virus les plus connus de ces années-là, on se souvient de « Michelangelo », découvert début 1991 et capable d’infecter les secteurs de démarrage des disques ; Bien qu'il ciblait le système DOS sous-jacent, il pouvait également affecter les ordinateurs exécutant Windows 3.1, car Windows XNUMX ne disposait pas de mécanismes de sécurité capables d'isoler ou d'empêcher l'exécution de code malveillant au niveau du système. D'autres logiciels malveillants tels que « Stoned », « Form » et « Tequila » ont exploité des méthodologies similaires, modifiant le Secteur de démarrage ou des fichiers exécutables DOS et affectant ainsi l'écosystème Windows. Il faut rappeler qu'à cette époque, une grande partie des menaces informatiques ne se concentraient pas sur l'environnement Windows lui-même, mais sur le niveau DOS sous-jacent, ce qui n'empêchait pas ces virus de se propager également sur les PC exécutant Windows 3.1.
L'approche de Windows 3.1 en matière de sécurité était très rudimentaire, en partie parce que les principales préoccupations de l'époque étaient la stabilité du système et la compatibilité avec le vaste parc de logiciels existants. Pour se protéger des virus, les gens s’appuyaient presque exclusivement sur des logiciels antivirus tiers et sur le contrôle physique des machines, réduisant l’utilisation abusive des disquettes et isolant (autant que possible) les réseaux locaux. D’un autre côté, la sensibilisation aux risques d’attaques à distance était encore faible et la plupart des entreprises considéraient la sécurité comme un coût supplémentaire et non essentiel. Les « cyberattaques » à grande échelle, telles que nous les entendons aujourd’hui, étaient rares, souvent limitées à des infections virales et à une forme d’intrusion expérimentale dans des circuits universitaires ou militaires.
Malgré ces limitations, Windows 3.1 a réussi à s’imposer rapidement dans le monde entier grâce à un certain nombre de facteurs combinés. D’un côté, Microsoft avait réussi à conclure des accords de licence avec de nombreux fabricants de matériel, obtenant l’installation par défaut de Windows sur les PC destinés à la vente ; d'autre part, l'interface la plus graphique convivial a convaincu un public plus large d'adopter l'idée d'un ordinateur personnel avec un environnement d'exploitation « pointer-cliquer » plutôt que de rester lié aux commandes textuelles de MS-DOS. Cette combinaison de facilité d'utilisation et de partenariats commerciaux solides a contribué à consolider la position de Microsoft en tant que leader du marché, limitant la concurrence d'autres systèmes d'exploitation de l'époque tels que OS/2 d'IBM et les systèmes propriétaires d'Apple, qui étaient plus chers et moins ouverts aux solutions matérielles tierces.
L’émergence de Windows à l’échelle mondiale a également fourni un terrain fertile aux discussions sur le rôle de Microsoft dans le paysage de la sécurité et, plus tard, dans le cyberespionnage international. Alors que le problème était encore largement occulté dans les années 1990, avec l’avènement d’Internet à grande échelle et l’intégration croissante des systèmes Windows dans les environnements gouvernementaux et d’entreprise, les attaques ciblées sur les vulnérabilités des produits Microsoft et les théories sur d’éventuelles portes dérobées laissées ouvertes à des fins de surveillance ont commencé à se répandre. Microsoft a toujours nié avoir sciemment collaboré pour introduire des failles dans ses logiciels, mais des enquêtes et des débats ont soulevé des questions sur la gestion des vulnérabilités et sur d'éventuelles pressions des agences de renseignement.
Rétrospectivement, Windows 3.1 peut être considéré comme le point de départ d’une ère dans laquelle l’informatique personnelle a commencé à dépasser le cercle des professionnels et des passionnés pour atteindre un public beaucoup plus large. Les préoccupations en matière de sécurité, initialement reléguées au domaine presque « artisanal » des antivirus sur disquette et des contrôles manuels, allaient prendre une importance cruciale avec la diffusion d’Internet dans les années suivantes, conduisant Microsoft à adopter des stratégies de mise à jour plus rapides et à développer des systèmes de protection intégrés de plus en plus sophistiqués. Mais tout cela était enraciné dans une époque où l’informatique domestique faisait à peine ses premiers pas vers la connectivité mondiale, et Windows 3.1 a été le tremplin qui a permis à Microsoft de gagner en leadership, avec toutes les implications de sécurité qui caractériseraient les décennies à venir.
* vice-président de l'Association italienne de sécurité des filiales, responsable national du département Cybersécurité
