Opinions

Clap de fin pour Windows XP après plus de 12 ans de bons et loyaux services

Par Pierre Landry, publié le 23 mai 2014

Bernard Ourghanlian
Directeur technique et sécurité chez Microsoft France

« En toute chose, il faut considérer la fin », nous disait Jean de La Fontaine dans sa fable « Le renard et le bouc ». Pour Windows XP, après plus de 12 ans de bons et loyaux services, il était temps de tirer sa révérence. C’est ainsi que Windows XP n’est plus supporté par Microsoft depuis le 8 avril 2014 qui a vu la publication de ses derniers correctifs de sécurité.

Bien entendu, et pour citer Tite-Live, « La fin du monde n’est pas encore pour demain »… Autrement dit, les PC sous Windows XP continueront de fonctionner. Par contre, ils ne recevront plus de correctifs de sécurité comme c’était le cas le deuxième mardi de chaque mois depuis que Microsoft a introduit le fameux « patch Tuesday » en octobre 2003. Ce qui veut dire que les PC encore sous XP courront davantage de risques.
On peut se demander pourquoi mettre fin au support de ce système d’exploitation alors que Windows XP est probablement encore utilisé par des dizaines et des dizaines de millions d’internautes. Les fâcheux s’empresseront d’invoquer des raisons de nature purement mercantile pour justifier d’un tel arrêt. La réalité est tout autre : il n’était plus possible de continuer d’assurer la sécurité de Windows XP sans modifier de façon majeure le noyau du système d’exploitation. En effet, sorti officiellement le 25 octobre 2001, Windows XP a été conçu dans les années 1998-1999, à une époque où l’Internet était loin d’être aussi répandu qu’aujourd’hui. Ainsi, depuis le lancement de Windows XP, l’Internet est passé de 361 millions à plus de 2,4 milliards d’internautes. Et, alors que l’Internet prend une part de plus en plus importante dans le fonctionnement même de notre société, il est aussi devenu une cible de plus en plus prisée pour les activités malveillantes.

A l’époque de la conception de Windows XP, ces menaces n’en étaient qu’à leurs balbutiements, si bien que les mécanismes de sécurité de base du système n’avaient pas encore été renforcés pour y faire face. Ainsi, les fonctions de sécurité qui, à l’époque, étaient parmi les plus solides du marché peuvent désormais à peine ralentir le cybercriminel d’aujourd’hui. Un bon exemple d’une telle évolution est une technologie de Windows XP appelée Data Execution Prevention ou DEP, qui a été considérée à l’époque comme révolutionnaire, mais qui est maintenant couramment contournée. Pour donner quelques chiffres, en 2006, sur 14 attaques, une seule était capable de contourner DEP ; en 2012, sur 9 attaques, ce sont 6 – soit les 2/3 – qui étaient capables de contourner cette protection.
Par ailleurs, si l’on en croit les chiffres du volume 15 du Security Intelligence Report, alors que Windows 8 a fait face à un nombre similaire de malwares que Windows XP, les utilisateurs de Windows XP ont été 6 fois plus susceptibles d’être infectés pendant le premier semestre 2013.
Pour autant, peut-on être absolument affirmatif et déclarer que les utilisateurs de PC sous Windows XP seront nécessairement infectés après le 8 avril 2014 ? Certainement pas ! On peut simplement dire que la probabilité d’être victime d’attaque sera sensiblement supérieure et que les attaquants disposeront d’un avantage décisif sur les défenseurs.

Voici un exemple de cet avantage pour les mises à jour de sécurité : après le 8 avril, lorsque Microsoft publiera ses mises à jour de sécurité mensuelles pour toutes les versions de Windows supportées, les attaquants pourront « désosser » ces mises à jour afin d’identifier celles qui existent aussi au sein de Windows XP. Ceci leur permettra de développer un code malfaisant pour profiter des vulnérabilités qui ont été corrigées sur les versions postérieures. Ceci aboutira potentiellement à la création d’un « 0Day » pour Windows XP qui ne sera jamais corrigé puisqu’il n’y aura plus de mises à jour de sécurité. Or, l’année dernière, il y a eu 30 bulletins de sécurité qui ont concerné Windows 7 et Windows 8, mais aussi Windows XP. Cela signifie qu’il y pourrait y avoir potentiellement 30 vulnérabilités de type « 0Day » sur Windows XP si cette version n’était plus supportée pendant un an.

Il faut donc passer dès que possible à autre chose. Et ne pas se laisser prendre aux affirmations des fournisseurs de navigateurs internet qui affirment que, puisque leur navigateur est encore supporté après le 8 avril, les internautes pourront naviguer en toute sécurité. Ce serait un petit peu comme si l’on affirmait qu’une maison est habitable parce qu’on a repeint les volets alors que les fondations sont à refaire…
Coline verdoyante (en anglais Bliss, littéralement « félicité ») est le fond d’écran installé par défaut sur Windows XP. Le cliché a été pris en 1995 dans la vallée de Napa, près de San Francisco. Aujourd’hui, la prairie a été remplacée par des vignes…
 

Dans l'actualité

Verified by MonsterInsights