Arrêt du support de Windows XP - ARESU
Transcription
Arrêt du support de Windows XP - ARESU
Arrêt du support de Windows XP CNRS – RSSIC – version du 21 janvier 2014 Résumé Il est impératif d’avoir, avant le 8 avril 2014, migré vers une version plus récente ou retiré du service tous les systèmes Windows XP. Utiliser les versions les plus récentes de Windows. Privilégier les versions 64 bits de Windows. Lorsqu’il n’est vraiment pas possible de faire autrement, isoler complètement les machines qui ne peuvent être maintenues à jour. Nécessité d’avoir un système à jour Le support de Windows XP s’arrêtera le 8 avril 2014. Cela signifie qu’il n’y aura plus de mise à jour de sécurité après cette date. Si une vulnérabilité est découverte, il n’y aura aucun correctif. Il faut noter que très souvent les failles trouvées dans une version d’un logiciel préexistaient dans les versions antérieures. Il est certain qu’il y aura après le 8 avril des failles exploitables dans Windows XP et pour lesquelles il n’y aura aucun correctif. Comme il restera encore après le 8 avril 2014 de nombreuses machines avec Windows XP, il faut s’attendre à une recrudescence des attaques visant ce système, les attaquants ciblant ce qui est le plus facile à exploiter. La très grande majorité des attaques exploitent des vulnérabilités connues, publiées et pour lesquelles il existe des correctifs. Bien sûr il existe des vulnérabilités 0 day, connues de certaines personnes et pour lesquelles il n’y a encore aucun correctif disponible. Cependant pour en obtenir il faut faire de la recherche ou les acheter très chères à des sociétés comme VUPEN. Ce n’est pas à la portée de tous et un attaquant ne voudra pas gaspiller un 0 day s’il peut exploiter une vulnérabilité connue. En effet si un 0 day est découvert, il va être analysé et publié et ne sera bientôt plus un 0 day puisque des correctifs vont être mis à disposition. Le fait de n’utiliser que des systèmes à jour de tous les correctifs de sécurité permet de se prémunir d’un très grand nombre d’attaques. Il n’y a guère que des attaques ciblées et pour lesquelles l’attaquant espère un gain important qui utilisent des 0 day. Les versions successives de Windows intègrent de nombreuses améliorations en matière de sécurité qui rendent de plus en plus difficile l’exploitation de failles. Il faut donc préférer les dernières versions de Windows. Les versions 64 bits de Windows sont intrinsèquement plus sûres que les versions 32 bits. Le CERT-FR recommande de privilégier l’utilisation des versions 64 bits de Windows (première partie, deuxième partie). Que faire si l’utilisation d’un système plus récent est impossible ? Malheureusement certaines applications, certains systèmes notamment ceux intégrés dans des pilotages d’expériences ne peuvent fonctionner avec des versions plus récentes de Windows. Que peut-on alors faire pour assurer une certaine sécurité ? Les palliatifs sont coûteux, contraignants au niveau opérationnel et ne doivent donc être envisagés que s’il n’est réellement pas possible de faire autrement. Se retourner vers son fournisseur, en lui mettant un peu de pression peut, dans un certain nombre de cas, permettre de régler le problème. Il est totalement exclu qu’un système non à jour soit connecté directement à Internet ou à un réseau interne. Le risque est évidemment la compromission du système lui-même mais aussi qu’il soit utilisé comme porte d’entrée pour compromettre d’autres machines. Une solution consiste à isoler complètement la machine en ne la connectant à aucun réseau (air gap). Dans le cas où le système comprend plusieurs machines interconnectées, le réseau les reliant entre elles doit être totalement isolé. Evidemment cela rend plus difficile les transferts d’information puisqu’il faut utiliser des supports amovibles comme des clés USB. Il faut noter que cela n’empêche pas la compromission des machines si la clé USB contient un code malfaisant comme cela est arrivé avec Stuxnet. C’est pourquoi il est nécessaire d’analyser avec un antivirus à jour les supports amovibles avant de les introduire dans la machine. Nous avons vu, par exemple, des microscopes électroniques connectés à aucun réseau qui ont été infectés par un virus transmis par une clé USB. C’est contraignant puisqu’il faut faire transiter tout support par un sas de décontamination (la machine qui contient l’antivirus), l’opération n’est pas immédiate, l’analyse par l’antivirus pouvant être longue s’il y a beaucoup de données sur le support. Pour éviter les contraintes liées au transfert d’informations par support amovible, il est tentant de vouloir installer une passerelle assurant la liaison entre le réseau interne et celui de la machine ayant le système obsolète. Cela n’est envisageable que si l’on réalise une réelle rupture protocolaire. Un routeur ou un simple pare-feu ne peut suffire. Il faut alors étudier la solution à mettre en place et procéder à une appréciation des risques. A titre d’exemple, cette passerelle pourrait être un serveur de fichiers SFTP voire FTP sur lequel on dépose des fichiers depuis la machine au système obsolète et on les récupère depuis une machine du réseau interne, cette passerelle devant évidemment être munie d’un antivirus.