Arrêt du support de Windows XP - ARESU

Arrêt du support de Windows XP
CNRS – RSSIC – version du 21 janvier 2014
Résumé




Il est impératif d’avoir, avant le 8 avril 2014, migré vers une version plus récente ou retiré
du service tous les systèmes Windows XP.
Utiliser les versions les plus récentes de Windows.
Privilégier les versions 64 bits de Windows.
Lorsqu’il n’est vraiment pas possible de faire autrement, isoler complètement les machines
qui ne peuvent être maintenues à jour.
Nécessité d’avoir un système à jour
Le support de Windows XP s’arrêtera le 8 avril 2014. Cela signifie qu’il n’y aura plus de mise à jour de
sécurité après cette date. Si une vulnérabilité est découverte, il n’y aura aucun correctif. Il faut noter
que très souvent les failles trouvées dans une version d’un logiciel préexistaient dans les versions
antérieures. Il est certain qu’il y aura après le 8 avril des failles exploitables dans Windows XP et pour
lesquelles il n’y aura aucun correctif. Comme il restera encore après le 8 avril 2014 de nombreuses
machines avec Windows XP, il faut s’attendre à une recrudescence des attaques visant ce système,
les attaquants ciblant ce qui est le plus facile à exploiter.
La très grande majorité des attaques exploitent des vulnérabilités connues, publiées et pour
lesquelles il existe des correctifs. Bien sûr il existe des vulnérabilités 0 day, connues de certaines
personnes et pour lesquelles il n’y a encore aucun correctif disponible. Cependant pour en obtenir il
faut faire de la recherche ou les acheter très chères à des sociétés comme VUPEN. Ce n’est pas à la
portée de tous et un attaquant ne voudra pas gaspiller un 0 day s’il peut exploiter une vulnérabilité
connue. En effet si un 0 day est découvert, il va être analysé et publié et ne sera bientôt plus un 0 day
puisque des correctifs vont être mis à disposition.
Le fait de n’utiliser que des systèmes à jour de tous les correctifs de sécurité permet de se prémunir
d’un très grand nombre d’attaques. Il n’y a guère que des attaques ciblées et pour lesquelles
l’attaquant espère un gain important qui utilisent des 0 day.
Les versions successives de Windows intègrent de nombreuses améliorations en matière de sécurité
qui rendent de plus en plus difficile l’exploitation de failles. Il faut donc préférer les dernières
versions de Windows. Les versions 64 bits de Windows sont intrinsèquement plus sûres que les
versions 32 bits. Le CERT-FR recommande de privilégier l’utilisation des versions 64 bits de Windows
(première partie, deuxième partie).
Que faire si l’utilisation d’un système plus récent est impossible ?
Malheureusement certaines applications, certains systèmes notamment ceux intégrés dans des
pilotages d’expériences ne peuvent fonctionner avec des versions plus récentes de Windows. Que
peut-on alors faire pour assurer une certaine sécurité ? Les palliatifs sont coûteux, contraignants au
niveau opérationnel et ne doivent donc être envisagés que s’il n’est réellement pas possible de faire
autrement. Se retourner vers son fournisseur, en lui mettant un peu de pression peut, dans un
certain nombre de cas, permettre de régler le problème.
Il est totalement exclu qu’un système non à jour soit connecté directement à Internet ou à un réseau
interne. Le risque est évidemment la compromission du système lui-même mais aussi qu’il soit utilisé
comme porte d’entrée pour compromettre d’autres machines.
Une solution consiste à isoler complètement la machine en ne la connectant à aucun réseau (air gap).
Dans le cas où le système comprend plusieurs machines interconnectées, le réseau les reliant entre
elles doit être totalement isolé.
Evidemment cela rend plus difficile les transferts d’information puisqu’il faut utiliser des supports
amovibles comme des clés USB. Il faut noter que cela n’empêche pas la compromission des machines
si la clé USB contient un code malfaisant comme cela est arrivé avec Stuxnet. C’est pourquoi il est
nécessaire d’analyser avec un antivirus à jour les supports amovibles avant de les introduire dans la
machine. Nous avons vu, par exemple, des microscopes électroniques connectés à aucun réseau qui
ont été infectés par un virus transmis par une clé USB. C’est contraignant puisqu’il faut faire transiter
tout support par un sas de décontamination (la machine qui contient l’antivirus), l’opération n’est
pas immédiate, l’analyse par l’antivirus pouvant être longue s’il y a beaucoup de données sur le
support.
Pour éviter les contraintes liées au transfert d’informations par support amovible, il est tentant de
vouloir installer une passerelle assurant la liaison entre le réseau interne et celui de la machine ayant
le système obsolète. Cela n’est envisageable que si l’on réalise une réelle rupture protocolaire. Un
routeur ou un simple pare-feu ne peut suffire. Il faut alors étudier la solution à mettre en place et
procéder à une appréciation des risques. A titre d’exemple, cette passerelle pourrait être un serveur
de fichiers SFTP voire FTP sur lequel on dépose des fichiers depuis la machine au système obsolète
et on les récupère depuis une machine du réseau interne, cette passerelle devant évidemment être
munie d’un antivirus.