La faille d’Internet Explorer corrigée, même sous Windows XP : une erreur ?

Microsoft a diffusé hier une importante mise à jour de sécurité pour plusieurs systèmes afin de colmater une brèche dans Internet Explorer. À la surprise générale, Windows XP a reçu lui aussi le correctif. En dépit de la volonté de l’éditeur d’atténuer le choc de la fin du support de son produit, il pourrait s’agir d’une erreur assez sérieuse.

Plus tôt dans la semaine, une importante faille de sécurité a donné lieu à plusieurs alertes. De type 0-day, donc déjà exploitée au moment où son existence devenait publique, elle touchait les versions 6 à 11 d'Internet Explorer. Alors que même la plus récente mouture sur le plus récent des Windows était affectée, la question se posait de savoir comment la situation allait évoluer sous Windows XP. Internet Explorer 8, quand il est présent sur l’ancien système, n’est en effet plus supporté.

Le correctif diffusé hier a répondu à cette question. Sous Vista, Windows 7 et Windows 8, il était normal qu’une telle mise à jour soit disponible puisque les systèmes bénéficient d’un support technique actif. Par contre, le patch a été diffusé également auprès des utilisateurs de Windows XP. Bien que certains puissent pousser un soupir de soulagement, il ne s’agit nécessairement que d’une partie remise.

L’erreur de Microsoft

Il est évident que l’éditeur de Redmond a souhaité bien faire. Sous le feu des projecteurs, la firme a estimé qu’elle n’était pas encore prête à affronter le feu nourri des critiques pour avoir « abandonné » un système utilisé encore par plus d’un quart de la population mondiale, et ce malgré plus de douze années de support technique.

Malheureusement, ce correctif pour Windows XP est probablement une erreur, et ce pour plusieurs raisons. D’une part, et il s’agit du problème principal, Microsoft vient d’envoyer le mauvais signal aux entreprises et utilisateurs. Non seulement la firme revient sur son propre message, pourtant martelé durement, mais elle fait également mentir les administrateurs qui préviennent de la fin du support technique. En d’autres termes, même quand Microsoft durcit le ton, le résultat ne change pas : Windows XP continue à recevoir des correctifs.

Et s’il s’agit du problème principal, c’est parce que les plans de migration pourraient s’en trouver ralentis. Ils sont essentiellement alimentés désormais par l’urgence puisque rester sur un système n’ayant plus de support représente un danger très concret. Difficile cependant de faire prendre conscience de l’urgence de la situation si Microsoft montre… que l’urgence n’est pas si sérieuse. Pourquoi se dépêcher si les patchs continuent à arriver ?

Un bénéfice quasiment nul 

D’autre part, le fait de corriger cette brèche en particulier se révèle pratiquement inutile. Bien entendu, le spectre d’une exploitation massive de la faille s’éloigne avec la diffusion du patch pour pratiquement tous les PC dans le monde. Microsoft défend sa décision en expliquant que le correctif est une exception due au fait que l’arrêt du support est récent. Mais d’autres failles vont suivre, et ce n’est pas une dernière séance d’acharnement thérapeutique qui changera la donne.

Il faut rappeler en effet que bien des composants sont liés. Initialement, la faille concernait les versions 9, 10 et 11 d’Internet Explorer. L’exploitation sous Windows XP est arrivée plus tard. Pourquoi ? Parce que des éléments sont identiques et que toute nouvelle faille découverte dans l’une de ces versions peut potentiellement donner lieu à une exploitation dans les versions 6, 7 et 8 sous Windows XP. En d’autres termes, il suffit d’un nouveau bulletin publié le deuxième mardi de chaque mois (les fameux Patch Tuesday) pour que les pirates soient renseignés sur une éventuelle nouvelle brèche à exploiter. Le cycle va donc se répéter inlassablement.

La communication, l'éternel problème de Microsoft 

Maintenant, que pourrait bien faire Microsoft ? Il n’existe aucune solution idéale. La firme avait cependant annoncé que le support de Windows XP était bel et bien terminé, le rappelant à de nombreuses reprises depuis plusieurs années. La date du 8 avril 2014 était connue depuis six ans et n’avait donc rien d’une surprise. Malgré la dureté du ton pourtant, de nombreuses entreprises et des gouvernements n’ont non seulement pas terminé leurs migrations, quelles qu’elles soient, mais certains n’ont même pas commencé. La Chine a par exemple annoncé qu’il n’y avait aucun plan en la matière et que des entreprises privées, mandatées par l’État, développeraient leurs propres correctifs. En France, la situation est floue, et la question de la sénatrice Frédérique Espagnac semble arriver bien tardivement.

Microsoft a besoin que le parc de machines sous Windows XP se réduise le plus rapidement possible, tout comme le monde informatique en général. Plus de 25 % des machines sur la planète sont équipées d’un système obsolète dont les technologies sont dépassées, en particulier sur le plan de la sécurité. Comme on l’a déjà vu à de nombreuses reprises, ces ordinateurs sont désormais des victimes à rebours des pirates qui en feront, tôt ou tard, des machines zombies au sein d’immenses botnets. Mais le meilleur moyen d’y parvenir n’est certainement pas d’injecter de nouveaux patchs alors que le support technique est terminé.

La question qui se pose maintenant est de savoir si les prochains bulletins de sécurité mensuels contiendront des références à Windows XP. Microsoft jure que ce ne sera pas le cas, ils le pourraient. Non seulement Microsoft vient de prouver qu’une date de fin peut ne pas être respectée, mais la firme continuer de développer dans tous les cas les patchs correctifs puisque des entreprises et gouvernements payent pour un support supplémentaire. Il s’agira alors de résister aux diverses pressions qui ne manqueront pas de s’exercer chaque fois qu’une faille critique pointera le bout de son museau.