Articles IT et Télécoms

Utiliser Windows XP sans support de Microsoft sera-t-il vraiment dangereux ?

V-XPDepuis plusieurs années, Microsoft met en garde les utilisateurs de Windows XP en leur enjoignant de migrer leurs PCs vers Windows 8 ou à défaut Windows 7 au plus tard d’ici à avril 2014, date à laquelle l’éditeur ne diffusera plus de correctifs de sécurité. Si l’on peut légitimement questionner les motivations de l’éditeur qui a tout intérêt à voir ses clients mettre à jour leurs systèmes, il n’en reste pas moins que les risques découlant d’une absence de migration sont bien réels.

La rhétorique de Microsoft poussant à la mise à jour, déjà ancienne, s’est récemment  accélérée et on peut s’attendre à une montée en puissance de ce message au fur et à mesure où nous nous rapprocherons de l’échéance, présentée comme fatidique, du 8 avril 2014. Ce jour marquera officiellement la date de fin du support d’un système qui accusera alors 12 ans d’âge, une éternité à l’échelle d’Internet.

Microsoft annonce de façon un peu dramatique que les utilisateurs de Windows XP seront exposés à un risque « zero day forever », c’est-à-dire que toute vulnérabilité découverte après la date de la fin du support constituera de fait une attaque « zero day » pour toujours.

En d’autres termes, il s’agira de vulnérabilités pour lesquelles aucun correctif ne sera disponible ni au moment de sa découverte, ni jamais puisque l’éditeur cessera de développer des garde fous pour son ancien système.

Certains experts en sécurité, indépendants de Microsoft, pensent que la menace est réelle pour deux raisons :

Des hackers tentés de temporiser

Il existe un marché noir des vulnérabilités affectant les systèmes d’exploitation. Le prix d’une ces vulnérabilité varie entre 50 000 et 150 000 €, un prix relativement faible qui reflète les capacités de réaction de Microsoft lorsqu’une faille de sécurité affectant Windows est découverte. Dès lors qu’une alerte est donnée, l’éditeur se doit de développer un correctif qui sera diffusé le mois suivant, voire immédiatement si la faille est sévère.

Il est probable que les hackers développant de nouvelles failles affectant Windows XP soient tentés de les conserver pour ne les commercialiser, ou les utiliser eux-mêmes, qu’une fois passée la date de fin du support. En l’absence de correctif développé par Microsoft, ces failles pourraient rester utilisables pendant des mois, voire des années, en fonction de la façon dont les logiciels de sécurité tierces parties seront en mesure de les détecter et de les neutraliser.

Si cette thèse est avérée, il se pourrait que le nombre de nouvelles failles divulguées et exploitées chute sensiblement sur le dernier trimestre 2013 et le premier semestre 2014.

Le « rétro portage » des vulnérabilités de Windows 7 et Windows 8

Passé la date de fin du support de Windows XP, Microsoft continuera à diffuser des correctifs pour Vista, Windows 7 et Windows 8. Il est probable que certains développeurs mal intentionnés se précipiteront pour regarder si les nouvelles vulnérabilités « fonctionnent » sous Windows XP !

Si tel  devait être le cas et l’hypothèse est très vraisemblable, les hackeurs n’auraient plus qu’à développer des outils leur permettant d’attaquer les PCs sous Windows XP sachant qu’aucun correctif ne sera développé par Microsoft.

Le problème est rendu d’autant plus critique qu’il est beaucoup plus facile d’attaquer un poste sous Windows XP, comparativement à ses successeurs dont le développement a été considérablement sécurisé pour prendre en compte les problèmes ayant affecté ce système.

Pour s’en convaincre, il suffit de considérer l’importance de l’écart entre le nombre de vulnérabilités découvertes pour Windows XP par rapport aux versions suivantes de Windows.

 Taux d’infection  par système d’exploitation au quatrième trimestre 2012

XP1

Qui plus est, les utilisateurs de Windows XP utilisant Internet Explorer ne sont pas en mesure d’installer les dernières versions mieux sécurisées de ce navigateur. Dans ce cas de figure, mieux vaut installer Chrome ou Firefox, si tant est que les entreprises concernées ne dépendant pas d’Internet Explorer 6 pour l’exécution d’applications métiers.

La bonne nouvelle pour ceux qui n’auront pu ou voulu migrer est que les éditeurs d’antivirus prévoient de continuer à supporter Windows XP pendant encore quelques années.

A défaut de correctifs de sécurité, cette mesure permettra certainement de bloquer un grand nombre d’attaques mais ce serait pécher par excès de confiance que d’imaginer que ces outils à eux seuls puissent résoudre tous les problèmes.

On estime qu’environ 30 % des PCs sous Windows continueront à utiliser Windows XP le 8 avril 2014. Il reste environ six mois jusqu’à cette échéance, une durée de plus en plus courte pour un processus qui prend aisément de plusieurs semaines à plusieurs mois en fonction de la taille du parc de PC et du nombre d’applications utilisées.

Discussion

Les commentaires sont fermés.

%d blogueurs aiment cette page :