À compter du 8 Avril 2014, le support de Microsoft XP ne sera plus assuré tout comme celui d’Office 2003. Lancé en Octobre 2001, et vendu à 400 millions de copies [1], ce système d’exploitation est vite devenu incontournable dans le milieu professionnel.
Qu’est-ce qu’implique la fin du support du système d’exploitation par l’éditeur ?
Microsoft, qui assure le support de son système d’exploitation Windows XP depuis sa sortie, arrêtera le support de ce dernier à compter du 8 avril 2014. Ceci implique que l’assistance technique de Windows XP ne sera plus disponible, y compris les mises à jour automatiques. [2]
Peut-on continuer à utiliser Windows XP malgré la fin du support ?
Rien ne vous empêche de conserver cette version de Windows. Néanmoins, si vous continuez à l’utiliser après la fin du support, sachez que celle-ci sera vulnérable étant donné qu’aucun patch correctif ni aucune mise à jour de sécurité ne seront déployés.
Vous serez donc exposé à un risque accru de compromission du SI, à des problématiques de conformité vis-à-vis de certaines normes ou réglementations (ex: PCI-DSS) ou à un arrêt de support de la part d’éditeurs de logiciels indépendants. [3]
Microsoft dispose néanmoins d’un programme supplémentaire, appelé Custom Support. Celui-ci, réservé aux grands comptes, permet de recevoir des correctifs et des patchs corrigeant les failles critiques pour un tarif d’environ 200 dollars par poste et par an. Cette offre peut s’étendre jusqu’à trois ans après la fin du support. [4]
Les impacts d’un tel arrêt
Le DSI peut voir sa responsabilité engagée en cas de dysfonctionnement prolongé du système d’information dont il est responsable. De plus, d’après la jurisprudence « Tati c/ Kitetoa » (Cours d’Appel de Paris, octobre 2002) : « une société qui ne respecterait pas l’obligation de sécurité se verrait privée de tout recours contre la personne entrée illégalement dans le système automatisé des données de l’entreprise. Le DSI peut alors être sanctionné pour faute grave ». [5]
Cette décision judiciaire montre donc l’importance, sur le plan juridique, d’avoir un parc disposant de systèmes d’exploitation supportés par les éditeurs. Cela implique donc pour les entreprises un chantier important de migration des systèmes et donc une charge financière conséquente, que ce soit par le remplacement des postes ou par leur migration (charge de main-d’oeuvre). Ce type de projet prend du temps. Selon des statistiques, le processus de déploiement moyen en entreprise peut s’étaler entre 18 et 32 mois, de l’étude de cas au déploiement complet. [6] De même, un certain nombre
d’applications métier peuvent présenter des problématiques de compatibilité avec le nouveau système d’exploitation, ce qui nécessite la modification de ces applications ou le remplacement de ces dernières par des solutions compatibles.
Au-delà de ces impacts, il faut ajouter un impact majeur sur le plan marketing, commercial et réglementaire: celui des certifications. Prenons l’exemple de la certification PCI -DSS, qui correspond à un standard de sécurité des données pour l’industrie des cartes de paiement. Cette norme impose, entre autres, une sécurisation de tout ou partie de l’infrastructure IT. Or, des postes non supportés par l’éditeur sortent du périmètre de la certification.
On peut donc se demander comment les organismes de certifications vont réagir face à la présence de postes XP et l’impact de ceux-ci sur les certifications liées à la sécurité des systèmes d’informations.
Existe-t-il un moyen de conserver XP ?
Deux solutions existent : la première, qui est utilisée par certains établissements bancaires, consiste à acquérir auprès de Microsoft une extension de garantie payante.
Pourquoi certaines banques souhaitent-elles conserver XP ?
La majorité des DAB ou distributeur automatique de billets fonctionnent sous Windows XP ce qui expose donc certaines banques à des failles et, potentiellement, à des attaques massives sur leurs systèmes. Afin de limiter les risques, JPMorgan, Bank of America, Royal Bank of Scotland, Lloyds Bank, HSBC et Barclays ont signé un accord avec Microsoft ou sont sur le point de le faire afin de bénéficier du «Custom Support» [7].
La seconde solution envisageable, bien qu’elle présente toutefois des risques, consiste à utiliser des solutions de type HIPS à installer sur les postes XP permettant d’apporter des protections supplémentaires au système d’exploitation en vue de limiter l’impact d’actes malveillants (solution ExtendedXP d’Arkoon) [8]. Ce type de déploiement reste toutefois relativement technique et complexe à mettre en œuvre.
Conclusion
Cette annonce de Microsoft, bien que connue des professionnels depuis plusieurs années, ne facilite pas le quotidien des DSI. Quelle que soit la solution temporaire choisie, une migration vers un système plus récent est nécessaire pour maintenir un parc à jour.
Ceci met toutefois en danger un parc conséquent de postes aussi bien personnels que professionnels étant donné que les solutions possibles ne sont pas forcément accessibles et/ou viables pour l’ensemble des acteurs. Les postes restant sous XP pourraient devenir une cible privilégiée pour les attaquants.
Références
[1] http://fr.wikipedia.org/wiki/Windows_XP#.C3.89ditions
[2] http://windows.microsoft.com/fr-fr/windows/end-support-help
[3] http://www.zone-numerique.com/fin-du-support-et-des-mises-a-jour-de-windows-xp-le-8-avril.html
[4] http://www.pcinpact.com/news/82033-la-fin-support-windows-xp-est-elle-vraiment-pour-avril-2014.htm
[5] http://www.bmhavocats.com/commun/pdf_colloque/cedhys.PDF
[6] http://www.microsoft.com/fr-fr/windows/enterprise/fin-support XP/default.aspx
[7] http://www.numerama.com/magazine/28852-windows-xp-les-banques-vont-payer-microsoft-pour-avoir-des-patchs.html
[8] http://www.arkoon.net/extendedxp/
__________
Adrien Wiatrowski est consultant sécurité pour Lexsi