Après 12 ans de bons et loyaux services, Windows XP tire sa révérence. Arrivé en fin de support en 2009, il était jusqu’ici possible de continuer à recevoir les mises à jour grâce au « support étendu » de Microsoft, un abonnement optionnel auquel la majorité des entreprises avaient souscrit. À partir du 8 avril 2014, Microsoft ne diffusera plus de mises à jour, même avec ce support étendu. Un support « personnalisé » sera possible mais à un prix très dissuasif. Quelles sont alors les solutions pour les entreprises ?
Très largement déployé dans le monde – Gartner parle de plus de 1,6 milliards de machines depuis son lancement en 2001, dont quelques 500 millions encore en activité – l’OS équipe encore de nombreux postes de travail en entreprise. Dès lors, il est important de comprendre les enjeux de cette fin de support, et les différentes approches pour y faire face.
Quels sont les systèmes concernés et les conséquences de cette fin de support ?
Comme le montre l’illustration ci-dessous, le système concerné par cette date butoir est Windows XP dans sa version pour PC. . Notons que la version Embedded (pour systèmes embarqués), qui équipe par exemple certains distributeurs automatiques de billets, bénéficiera elle des correctifs jusqu’en janvier 2016.
Au-delà de l’arrêt des mises à jour fonctionnelles, l’arrêt des mises à jour de Windows XP signifie la fin des patches de sécurité : lorsqu’une nouvelle faille sera détectée, elle aura les mêmes impacts qu’une vulnérabilité 0-day. Elle sera donc immédiatement exploitable pour des actions malveillantes, et ne sera pas corrigée.
Microsoft a cependant annoncé récemment que certains produits spécifiques de sécurité pour Windows XP (tels que MSRT, l’outil de suppression des programmes malveillants) continueraient, eux, à recevoir des mises à jour de définition antivirales jusqu’en juillet 2015.
Du point de vue de la gestion des risques et de la sécurité, on peut redouter deux impacts majeurs.
En termes de protection, les postes sous Windows XP, déjà souvent critiqués pour leur piètre niveau de sécurité, deviendront de réels points de faiblesse dans la durée. Même en faible nombre, ils pourront facilement servir de porte d’entrée et de point de rebond pour une attaque plus large.
La plupart des éditeurs d’antivirus arrêteront d’ailleurs de fournir un support pour leurs versions sous Windows XP lorsque cela deviendra techniquement (et commercialement) déraisonnable, contribuant à augmenter mécaniquement la vulnérabilité de ces postes.
Dans le même temps, les entreprises vont se trouver face à un risque de perte de conformité. En effet, certains standards exigent l’utilisation de systèmes supportés par leur éditeur. Ainsi, il semblerait que les postes sous Windows XP après le 8 avril 2014 fassent perdre la conformité HIPAA (données de santé américaines). Pour l’industrie bancaire, le risque de perte d’une certification PCI-DSS apparaîtra également, la norme exigeant une correction des vulnérabilités critiques impossible dans les faits.
Comment les entreprises peuvent-elle gérer ces risques ?
Pour se parer au mieux à toute éventualité après le 8 avril, plusieurs approches peuvent être adoptées.
1) La montée de version, solution évidente mais à long terme
C’est la solution la plus évidente et, bien sûr, la plus recommandée par Microsoft. L’éditeur préconise le déploiement de Windows 8.1 Pro, là où beaucoup d’entreprises tentent actuellement de terminer (voire de commencer) leur passage à… Windows 7.
La migration vers un OS moderne est l’approche idéale, mais les retards de migration sont souvent dus à la complexité de portage d’applications historiques, à l’obligation de continuer à utiliser Windows XP car il est le seul OS supporté par une application métier critique, voire à la limitation d’un matériel pas assez puissant pour une version plus récente.
Cette situation n’a pas toujours été anticipée, et il est certain que des postes resteront encore sous XP pendant plusieurs mois, voire plusieurs années.
2) La (coûteuse) botte secrète Microsoft : le custom support
Si le « support étendu » de Microsoft s’arrête, l’éditeur propose toutefois une alternative, à travers son Custom Support Agreement, ou support personnalisé.
Il s’agit d’un contrat complémentaire, accessible uniquement aux grands comptes, et facturé au nombre de postes que l’on souhaite continuer à couvrir. Les chiffres qui circulent publiquement sont de l’ordre de 200$ par poste pour la première année de support, 400$ la deuxième, et ainsi de suite…
L’objectif est ici d’offrir une porte de secours aux grandes entreprises qui n’ont pas encore migré des systèmes critiques, tout en les poussant à le faire rapidement en rendant le coût de support de plus en plus élevé.
3) Les solutions dédiées pour sécuriser les postes sous XP
Plusieurs mesures de protection spécifiques peuvent, enfin, être mises en œuvre.
- Figer le système dans une approche liste blanche
Il est possible de figer les systèmes obsolètes, comme cela a parfois déjà été fait avec les prédécesseurs de Windows XP. Certains outils du marché, tel qu’Integrity Control de McAfee, permettent en effet de limiter la liste des exécutables autorisés sur un poste donné, vérifiant ainsi que seuls des logiciels approuvés et non modifiés sont utilisés.
Si cette méthode peut s’avérer efficace pour les postes métier ou de production industrielle subissant peu de changements, elle montrera vite ses limites avec des postes de travail bureautiques.
- Déployer des solutions spécifiques de réduction du risque
Certains éditeurs offrent des solutions ciblées, à l’instar d’Arkoon avec sa solution ExtendedXP. Dans ce cas, il s’agit alors de cumuler un service de veille dédié aux failles touchant l’OS, et un outil de détection d’intrusion (HIPS) sur les postes de travail concernés, afin de réagir en temps réel à toute nouvelle vulnérabilité, d’adapter les règles de détection de l’outil, et de réduire ainsi le risque de compromission ou d’attaque.
- Se préparer à l’éventualité d’une crise… en attendant la migration
Quelle que soit l’approche retenue, couvrir le risque tout en conservant des postes sous Windows XP sera difficile. Il peut donc être utile d’anticiper une gestion de crise, en intégrant ce cas spécifique aux processus existants : prévention auprès des utilisateurs et du Helpdesk, alerte des équipes IT, et formalisation d’une chaîne d’escalade adaptée.
Ces étapes sont déjà en cours chez nombre de nos clients. Même si elles peuvent représenter des solutions d’attente, la migration est aujourd’hui plus que nécessaire !