Les fournisseurs de solutions de sécurité ont beaucoup œuvré pour faire du 8 avril, jour de la fin du support de Windows XP, la fête des hackers, supposée bonne pour le business. Mais tiendra-t-elle ses promesses ?
Plus personne ne peut plus l’ignorer, le 8 avril a été rebaptisé jour de la Saint-hacker. Car ce jour-là, Microsoft publiera la dernière fournée de correctifs pour son OS vétéran Windows XP. Après cette date, il faudra débourser 200 € par poste pour continuer à bénéficier un an de correctifs dans le cadre du support dit personnalisé. Un tarif qui devrait passer à 400 € par poste la seconde année. Autant dire qu’il faudra vraiment ne pas avoir le choix pour s’offrir un service aussi onéreux.
Or il resterait encore 500 millions de postes sous Windows XP encore en activité. Soit 30% du parc mondial de PC. À partir du 8 avril donc, la plupart de ces postes seront désormais sans défense. C’est du moins l’idée que tentent d’accréditer nombre de marques qui tentent de placer leurs technologies en jouant sur la peur. L’avalanche de tribunes d’experts et de communication sur le sujet ces dernières semaines rappelle les derniers mois de 1999 lorsque les marques exhortaient les entreprises à investir lourdement pour se prémunir des conséquences supposées du passage de leur informatique à l’an 2000.
Un risque avéré
Le risque est réel. Jamais dans l’histoire de l’informatique, on s’est retrouvé avec un système d’exploitation aussi déployé et en même temps aussi vulnérable. « En cycle normal, Windows XP faisait l’objet de la publication de plusieurs failles zéro day chaque trimestre », souligne Chadi Hantouche, manager de practice sécurité chez Solucom.
Un rythme qui s’est fort logiquement un peu calmé ces derniers mois. À l’approche de la fin du support, les pirates retiennent leurs attaques car ils savent que les nouvelles failles zéro seront efficaces plus longtemps après le 8 avril. Il n’y a donc aucune raison que le rythme de découverte de nouvelles failles ralentisse dans les prochains mois.
« Lorsqu’un hacker détecte un poste Windows XP dans un réseau, c’est celui qu’il va attaquer en premier, poursuit Chadi Hantouche. C’est le maillon faible qui va lui permettre de rebondir dans le reste du système d’information de sa victime. » Dont acte. Les postes de travail sous XP devraient faire l’objet d’un nombre grandissant d’attaques ciblées faisant courir des risques accus aux entreprises qui les détiennent, explique en substance, Adrien Wiatrovski, consultant sécurité chez Lexsi, cabinet de conseil en cybersécurité.
Risques doublés de risques de conformité. Le simple fait d’avoir encore du Windows XP dans son système d’information pourrait être interprété à terme comme une négligence et exposer les entreprises soumises à des protocoles de sécurité normalisés tels que PCI-DSS (régissant les transmissions d’informations de cartes bancaires) à la perte de leur certification.
Quelle est l’ampleur du problème ?
« Dans la majorité des entreprises, on trouve encore 15% à 20% des postes sous Windows XP », estime Chadi Hantouche. Bien souvent, ce n’est pas par négligence ou attentisme mais pour des raisons techniques que XP résiste encore. Beaucoup d’entreprises font encore tourner des applications spécifiques impossibles à éliminer car ne fonctionnant que sous Windows XP et pour lesquelles l’effort de redéveloppement à fournir pour les porter sur une plateforme plus récente a été jugé trop important.
Des postes dont elles vont devoir continuer à s’accommoder tant qu’elles n’auront pas d’alternative. C’est ce marché qu’ont flairé les éditeurs de logiciels de sécurité. La plupart aimeraient bien profiter des circonstances pour placer quelques-unes de leurs solutions phares et exhortent leurs partenaires à les mettre en avant.
Arkoon par exemple a beaucoup communiqué sur une version spécialement paramétrée pour Windows XP de solution de prévention d’intrusion Host IPS. Une solution couplée à un service de veille active sur les nouvelles failles détectées pour Windows XP et qui permettra d’adapter les règles de détection du produit aux nouvelles menaces. Chez l’intégrateur spécialisé sécurité Nomios, on défend également l’approche de type sandbox de FireEye qui permet de jouer à blanc les flux réseaux suspects dans un environnement jetable.
Des cautères sur une jambe de bois
Mais, chacun le reconnaît, cela reste des cautères sur une jambe de bois. En pratique les mesures de protection à prendre sont relativement basiques et ne nécessitent pas vraiment de réinvestir. Il suffit de s’assurer que les logiciels anti-malware sous XP continuent d’être supportés, d’opter pour un navigateur supporté – le navigateur étant le vecteur principal d’infection avec la messagerie, de verrouiller le poste de travail pour qu’il n’exécute que des logiciels autorisés (principe des listes blanches), et de supprimer le cas échéant les droits d’administrateur des utilisateurs, rappelle ainsi ZDnet dans un dossier consacré à ce sujet.
Pas de quoi booster durablement le chiffre d’affaires des partenaires. « C’est un sujet réel mais latent », confirme Thomas Grimonet, ingénieur sécurité et réseaux chez Nomios, qui ne voit pas de quoi mobiliser une équipe dédiée. « La protection des postes Windows doit être abordée dans le cadre d’une réflexion globale de la sécurisation du système d’information des entreprises ».
D’une manière générale, ceux qui ont vraiment des données critiques à protéger ont souvent pris les devants en migrant ce qui pouvait l’être et en isolant le reste. Quant à ceux qui ne font que découvrir le problème, « ils sont probablement déjà infectés », plaisante Thomas Grimonet. Pour ceux qui ont basé leur croissance sur cette opportunité, la fête risque donc d’être éphémère.