Le 8 avril 2014 n’est pas la nouvelle date de la fin du monde prédite par les aztèques, les incas ou les esquimaux. Il s’agit simplement de la fin du support de XP par Microsoft. Concrètement, à partir de cette date, Microsoft ne publiera plus de patch de sécurité ou de corrections de bugs pour ce système d’exploitation et certains autres produits phares. Faut-il s’inquiéter de cette fin de support ? Sans aucun doute !
Windows XP a déjà battu un record à ce jour : celui de l’OS dont la durée de vie a été la plus longue. Souvenez-vous : il a été lancé fin 2001 ! Hé oui, plus de 10 ans et trois services packs plus tard, il est toujours là ! Selon Netmarketshare, Windows XP équipe à ce jour plus de 28% des ordinateurs même si ce pourcentage est en baisse de 10 points sur un an. Il y a six mois, en Chine, Windows XP était encore l’OS d’un PC sur trois (données août 2013) ! A l’échelle du pays le plus peuplé du monde, cela en fait des machines ! Certains comptent en centaines de millions à l’échelle mondiale…
une menace directe pour les postes encore en fonctionnement
Comme je l’indiquais dans cet article, plusieurs éditeurs de sécurité estiment que des vulnérabilités 0 day ont déjà été découvertes et qu’elles ne sont pas publiées dans l’espoir d’être monnayées au-delà du 8 avril 2014. Ces vulnérabilités permettraient soit d’attaquer les machines encore équipées d’XP dans le but de voler ou détruire des données (menace directe) mais aussi sans doute la constitution de réseaux de botnets (menace indirecte).
Imaginez le désastre si une faille quelconque permet l’infection de plusieurs centaines de milliers de machines sans que l’éditeur ne propose aucun correctif… La guerre aux botnets serait d’autant plus compliquée que les utilisateurs ou les entreprises infectées ne pourraient pas se retourner vers l’éditeur de l’OS mais uniquement vers des prestataires externes pour un coût sans doute supérieur et pour un résultat impossible à évaluer à ce jour.
XP ne mourra pas seul
Le 4 avril Office 2003 sera aussi End of Support. Pour ce qui est de Security Essentials initialement annoncé comme en fin de vie le même jour, on voit apparaitre des informations contradictoires. Ce qui est sûr, c’est qu’on ne pourra plus télécharger Security Essential après le 4 avril. Donc concrètement un PC équipé de son système phare et de sa suite bureautique d’il y a dix ans sera doublement exposé : les pirates pourront utiliser les failles de deux grands produits pour s’introduire dans votre PC.
Pour le particulier, la seule protection réside dans la mise à jour des signatures pour Security Essentials jusqu’au 14 juillet 2015 et sans doute dans la mise à jour des signatures des éditeurs d’antimalware même si la situation est assez floue. Les signatures devraient être actualisées mais celle du moteur pourraient ne plus fonctionner. C'est pour cela que plusieurs éditeurs ont développé des produits ciblant spécifiquement Windows XP en proposant des solutions de sécurité basées sur une analyse comportementale du poste de travail. Quel sera alors le niveau de protection, l'efficacité de ses solutions et leur support sur le long terme, mystère?
migrer oui mais vers quoi ?
Si Microsoft développe de nombreux arguments rationnels et plus que pertinents sur le plan de la sécurité, il y a encore des réfractaires ou des impossibilités à migrer. Pour la plupart des entreprises les migrations sont déjà faites même si le mouvement a été lent. L’explication tient peut-être dans le fait que les grandes migrations de postes de travail ne sont plus d’actualité. Vous souvenez-vous quand vous êtes passé de Windows NT ou 2000 vers XP ? Non ? Moi non plus à vrai dire !
Il faut s’assurer que tous les PCs et les applications vont pouvoir migrer, ce qui n’est pas trivial ! De plus la migration des applications n'est pas toujours évidente car des développements spécifiques ne peuvent pas toujours migrer facilement vers un OS plus récent. L'analyse du parc et des risques associés à une non-migration est alors essentielle. Enfin, il faut répondre à une question essentielle : vers quel OS migrer ? Windows 8 et son interface façon tablette rebute énormément. Alors migrer vers Windows 7 ? Un système plus traditionnel mais qui a déjà été remplacé ? Et il a le prix... Je peux comprendre que certains fassent le pari de ne rien toucher même si cela n’est guère raisonnable. Nous avons assez insisté sur le blog sur la nécessité de garder un système le plus à jour possible. Ce n’est pas pour vous recommander d’utiliser des rossignols ! Quand c'est possible bien évidemment...
l’espoir se lève à l’Est ?
Un espoir tout de même : la Chine aurait demandé à Microsoft de maintenir XP encore en vie pour des raisons de sécurité mais aussi de lutte contre les logiciels piratés. Beijing aurait aussi dépensé plus d’un milliard de dollars pour remplacer des OS piratés par des copies officielles et verrait d’un mauvais œil la nécessité d’investir dans des logiciels plus coûteux…
Alors oui il y a des raisons de s’inquiéter car XP ne mourra pas seul. Alors tremblement de terre ou pétard mouillé comme le bug de l’an 2000, difficile à dire pour l’instant mais il vaut mieux prendre les devants. Il reste moins de 2 mois. Je ne peux que vous conseiller de migrer au plus vite vos PCs et ceux de votre entreprise vers un système supporté au-delà du 4 avril 2014. En attendant la date fatidique, un œil sur le compte à rebours, je vais aller sauvegarder un vieux PC qui traine dans mon bureau et voir par quoi je vais bien pouvoir remplacer mon Windows XP SP3 déjà collector…
Philippe
Crédit photo : © FiCo74 - Fotolia.com
Après un passé de formateur, d’opérationnel IT, d’avant-vente technique et de responsable service client, j’ai rejoint l’équipe sécurité d’Orange Business en tant que chef de produit. Je suis très attaché à l’expérience utilisateur et à la simplicité d’administration des solutions que nous créons. Mes maîtres mots : partage du savoir, logique, pragmatisme et simplicité.