slurps sécurité - kick #30 - Google Chrome, Windows XP et Mac OS X Mavericks

Chaque semaine ou presque, les auteurs du blog sécurité vous proposent de découvrir leurs Slurps. Bonbons acidulés et sucrés en gélatine, les Slurps sont leur carburant principal, symbole de leurs coups de cœur, coups de gueule, coups de kick.

« Le 8 avril 2014, après plus de dix ans sur les ordinateurs du monde entier, Windows XP prendra officiellement sa retraite. Comme toutes les technologies qui arrivent en fin de vie, Windows XP et la plupart de ses applications de bureau ne seront plus mis à jour et ne recevront plus de patchs de sécurité. Comme les bugs des navigateurs internet sont souvent utilisés par des malwares pour infecter des ordinateurs, nous [Google, ndlr]continuerons de mettre Chrome pour Windows XP à jour et fournirons des mises à jours régulières et des patchs de sécurité au moins jusqu’à avril 2015. » (source)

Suite à cette déclaration, et outre la stratégie (évidente) de Google de pousser les utilisateurs à aller vers Chrome OS, quels sont les décisions sous-jacentes à cette annonce ?

sortir de Windows XP : une urgence

Ce qui est clair, et toutes les boîtes de consulting vous le diront, c’est que la transition de Windows XP vers un OS plus récent est un sujet chaud pour encore beaucoup d’entreprises (selon Google, Windows XP est encore l’OS de centaines de millions d’utilisateurs !).

Et j’imagine bien les administrateurs IT un peu en retard sur leur planning (pour rester gentil J) se dire quelque chose du genre : « ah ben c’est bon, on a encore le temps ! » Or, soyons bien clair :

  1. La date de fin de support de Windows XP est connue depuis belle lurette (octobre 2011 quand même), aucune excuse de ce côté-là.
  2. Avoir un navigateur Web à jour ne sécurise pas l’OS ni les autres applications.
  3. Si les mises à jour sont importantes (en voici dix bonnes raisons), on vous laisse deviner à quel niveau se trouve l’OS.

une transition pas si facile que ça ?

Bien entendu, il est possible de se retrouver coincé : un système vital tourne sous Windows XP ? Des applications métier antédiluviennes qui ne marchent que sur XP ? Le tout irremplaçable, au moins pour le moment ? A mon humble opinion, il faut faire une évaluation des vulnérabilités : après tout, si la probabilité d’une attaque est faible et l’impact tout aussi petit… pourquoi s’inquiéter outre mesure ?

En revanche, si l’impact et les probabilités sont forts, il y a de quoi s’alarmer… En même temps, si c’est un système important et exposé, vous le saviez déjà non ?

un futur sombre pour Windows XP ?

En effet, plusieurs journaux ont relayé la théorie très intéressante selon laquelle des hackers attendent gentiment  la fin du support Microsoft pour vendre les failles découvertes à des prix d’or. Et, grâce à ce manège, Windows XP pourrait bien se voir submergé de failles dites « zéro day » dès avril 2014…

Autrement dit, si vos systèmes ne peuvent se défaire de XP et que votre analyse de risque montre des probabilités d’attaque et des impacts forts, préparez-vous au pire ! Dans tous les cas, j’imagine que les personnes dans ce cas de figure n’iront pas installer Google Chrome…

vieil OS, nouvel OS… même bataille ?

Pour finir sur une note plus nuancée, vous savez certainement que Apple a sorti mardi 22 octobre son nouvel OS (Mavericks). Et vous êtes certainement impatient de voir à quoi ça ressemble ? Moi aussi. Mais comme Graham Cluley, je ne conseillerais à personne (business comme particulier d’ailleurs) de se précipiter dessus : autant laisser passer un peu de temps.

Bien entendu, qui dit nouvel OS dit incompatibilités potentielles vis-à-vis d’applications métier ou même pertes de données et que sais-je encore. Bref, on ne change pas d’OS comme de chemise : benchmark, tests et back-up sont de rigueur !

Rémi