Articles

Le code source de Windows XP a été divulgué… et alors ?

La récente nouvelle selon laquelle le code source de XP a été rendu public a suscité des réactions variées. De façon compréhensible, certaines personnes supposent qu’il a été retiré du support depuis si longtemps que cela n’a pas vraiment d’importance. Cependant, il y a quelques façons clés dont cette exposition peut avoir un impact sérieux.

Premièrement, il y a le risque pour les verticaux critiques

Cette nouvelle m’a fait penser au problème qui persiste lié aux systèmes d’exploitation en fin de vie qui imprègnent différents secteurs. Alors que la part de marché mondiale des machines Windows XP n’est que de 0,82 %, cette prééminence augmente toutefois dans certains segments de l’industrie – notamment les guichets automatiques et les appareils médicaux.

Donc, alors que je m’asseyais pour écrire ceci, j’ai contacté des amis dans les secteurs de la finance et de la santé pour faire des recherches un peu plus poussées sur la question. Alors que la réponse idéale à la question  » Combien de guichets automatiques et d’appareils médicaux fonctionnent encore sous Windows XP ?  » serait 0 %, la réalité n’est pas aussi simple.

Le 8 avril 2014, Microsoft a mis fin au support standard de Windows XP. À cette époque, le Conseil des normes de sécurité de l’industrie des cartes de paiement (PCI SSC) a estimé que 95 % des distributeurs automatiques de billets dans le monde fonctionnaient sous Windows XP, et la migration a donc commencé vers Windows 7. Trend Micro Research et Europol ont exploré plus avant les risques de cybersécurité pour les distributeurs automatiques de billets en 2017.

Avancez de 6 ans jusqu’au 14 janvier 2020, date à laquelle Microsoft a rendu effective la fin de vie (EoL) de Windows 7. On estime que le mouvement affectera 85% de plus de 3,5 millions de guichets automatiques fonctionnant avec les OS de Microsoft dans le monde. Cette fois, cependant, la mise à niveau exigera que les distributeurs automatiques de billets mettent à niveau à la fois le logiciel et le matériel. Le coût de cette mise à niveau pour les institutions financières et les déployeurs de GAB est élevé, à la fois en termes de dépenses réelles et avec leurs ressources globales pour soutenir un changement aussi répandu.

Selon les personnes avec qui j’ai parlé, l’exposition estimée des GAB fonctionnant toujours sous Windows XP même après 6 ans est d’environ 25%. Selon une estimation approximative, cela pourrait représenter plus de 750 000 machines dans le monde, ce qui entraîne un risque non négligeable.

En raison des coûts importants de la mise en version de ces machines, certains dans le secteur financier réclament les systèmes d’exploitation Windows. Cela peut alléger le coût et le fardeau de la mise à niveau des guichets automatiques tous les quelques années, mais cela ne résout pas le risque d’attaque des guichets automatiques. Cet été, Diebold a publié une alerte décrivant une nouvelle campagne de cagnotte dans laquelle des cybercriminels utilisaient une boîte noire connectée pour envoyer des commandes de distribution illégitimes qui incluaient potentiellement des parties propriétaires de la pile logicielle Diebold. Qu’il s’agisse de Windows, de Linux ou même d’une pile propriétaire, le coût au fil du temps de l’absence de mise à jour des logiciels est beaucoup plus important que la transition initiale, à la fois en termes d’exposition et de risque.

Dans le secteur des soins de santé, l’exposition est beaucoup plus grande, et franchement, le risque l’est aussi. Une énorme partie des appareils d’imagerie connectés à Internet exposés dans les hôpitaux aux États-Unis et dans le monde entier exécutent des systèmes d’exploitation obsolètes, selon le rapport de Trend Micro Research en 2017.

Les appareils médicaux fonctionnant sous Windows XP comprennent des machines qui prennent des radiographies, des IRM, des mammographies et des tomodensitogrammes. Le risque devient tangible lorsque l’accès à ces appareils est perturbé, dégradé ou refusé.

Il y a aussi un risque au-delà des industries critiques

Si le risque pour les industries et les machines critiques est élevé, ce n’est pas le seul domaine de risque que Windows XP pose encore. Il y a deux autres façons dont l’exposition du code source peut avoir un impact plus large.

  1. Certaines parties du monde dépendent encore fortement de ce système d’exploitation. Malgré la fin du support, Windows XP prévaut sur certains marchés mondiaux. Cela crée une grande cible pour les cybercriminels à la recherche d’un gain rapide.
  2. Les systèmes hérités de Windows XP existent toujours dans Windows 10. Les cybercriminels pourraient exploiter les bogues XP dans ces codes hérités qui sont toujours pris en charge, créant ainsi une chaîne d’exploitation viable qui fonctionnerait sur les OS modernes.

Dustin Childs, responsable des communications pour l’initiative Zero Day de Trend Micro, a déclaré ceci au sujet de l’impact possible :

« En ce moment, les développeurs d’exploits sont probablement en train d’éplucher le code à la recherche de bogues qu’ils peuvent utiliser contre les OS modernes. Cependant, il ne s’agit pas d’une traduction 1 à 1. Les systèmes d’exploitation modernes disposent de mesures d’atténuation supplémentaires qui rendent l’exploitation plus difficile. C’est une autre raison pour laquelle vous devriez passer au dernier système d’exploitation pour bénéficier des nouvelles fonctionnalités défensives. »

Les mises à jour ne sont jamais simples. La refonte d’un environnement d’entreprise typique pour exécuter un nouveau système d’exploitation nécessite un ascenseur et un budget importants. Multipliez cela à l’échelle d’un gouvernement, d’un système hospitalier, d’une usine ou de guichets automatiques dispersés dans le monde entier, et vous êtes confronté à un problème que beaucoup sont incapables de résoudre.